[아이티데일리] 스미싱(Smishing) 공격이 해마다 증가하는 가운데, 정부가 한국인터넷진흥원(KISA)에서 구축한 ‘악성문자 엑스레이(X-ray) 시스템’ 도입을 의무화하는 등 본격적인 차단 노력에 나선다.

31일 KISA에 따르면 스미싱 탐지 건수는 2022년 3만 7,000건에서 2024년 219만 건으로 2년 만에 59배가량 늘었다. 올해 상반기에도 약 100만 건을 기록하며 증가세를 이어갈 전망이다.

스미싱은 문자메시지에 첨부된 링크(URL)로 피싱 사이트 접속이나 악성 앱 설치를 유도해 피해자의 개인정보, 금융정보 등을 탈취하는 사이버 범죄 수법이다. 범칙금 안내나 택배 배송 등의 내용으로 위장하거나 가짜로 만들어진 청첩장·부고장으로 피해자를 속이는 방식이 널리 쓰이고 있다.

최근 스미싱 수법은 더욱 교묘해지고 있다. 일례로 스미싱 탐지를 피하고자 보이스피싱과 연계해 전화 통화 과정에서 URL를 불러주며 악성 앱 설치를 유도하는 사례가 나타나고 있다. 설치된 악성 앱은 스마트폰에 저장된 연락처 등을 수집한 뒤 피해자의 지인들을 대상으로 스미싱을 퍼뜨리는 데 활용됐다.

KISA는 급증하는 스미싱에 대응하기 위해 악성문자 엑스레이 시스템을 구축하고 지난 4월 9일부터 시범 운영을 시작했다. 그간 공격자들은 문자발송 이용자의 계정을 탈취한 뒤 대량으로 스미싱을 유포해 왔다. 악성문자 엑스레이 시스템은 문자메시지 발송 과정에서 첨부된 URL의 악성 여부를 판별해 차단함으로써 이 같은 대량 스미싱 유포를 선제적으로 막을 수 있다.

시범 운영에는 문자판매사인 에스엠티엔티가 참여했다. 회사는 자체 개발한 악성 문자 탐지 시스템인 ‘모바(MOVA)’와 KISA의 악성문자 엑스레이 시스템을 연계해 이중 탐지 체계를 마련했다.

에스엠티엔티 김문식 대표는 “시범 운영 동안 메시지 5억 건 중 URL이 포함된 9,000만 건을 검사했다. URL 탐지율은 99% 이상을 기록했으며 8건의 스미싱을 발견하는 데 성공했다”며 “문자 처리량이 많게는 초당 수십 만 건에 이르는데 엑스레이를 도입한 뒤에도 발송 지연이나 장애는 발생하지 않았다”고 설명했다.

이 같은 성과를 바탕으로 정부는 악성문자 엑스레이 시스템을 통해 스미싱 근절에 나선다. 지난 28일 발표된 ‘보이스피싱 근절 종합대책’에는 대량문자 전송을 서비스하는 모든 문자 사업자가 엑스레이 시스템을 도입하도록 의무화하는 방안이 담겼다.

KISA 김은성 스미싱대응팀장은 “영세한 문자재판매사업자들도 엑스레이 시스템을 도입할 수 있도록 악성 문자 정보 등을 API로 무료 제공할 계획”이라며 “시스템 운영 과정에서 수집된 정보를 상호 공유하며 스미싱으로 인한 피해를 예방할 수 있는 체계를 갖춰 나갈 것으로 기대한다”고 밝혔다.

한편, KISA는 탐지를 회피하고자 해외문자발송 사이트로 우회하는 스미싱 공격에 대한 대응책도 준비하고 있다. 해외에 서버를 둔 문자발송업체는 국내 문자 사업자들을 거치지 않는 관계로 엑스레이 시스템 같은 제도의 적용이 어렵다. ‘국제발신’이라는 키워드로 시작하는 문자는 이러한 방법으로 발송된 스미싱일 가능성이 높다.

김은성 팀장은 “엑스레이 시스템이 국내 사업자 대상으로 의무화된다면 해외 사이트를 통해 우회하는 스미싱 공격이 늘어날 것으로 예상한다”며 “이에 대비해 해외 문자 발송을 중개하는 업체와 함께 악성 문자를 사전 탐지 및 차단하는 방안을 논의하고 시스템 도입을 위한 기술적 검토를 진행 중”이라고 말했다.