지난해 스미싱 위협 4배 급증…URL 탐지 우회 공격 기승

[아이티데일리] 지난해 국내에서 약 2백만 건의 스미싱(Smishing)이 탐지된 것으로 집계됐다. 2023년 대비 약 4배 증가한 수치다. 방법면에서는 URL 탐지를 우회하려는 시도가 특히 두드러졌다. 이에 새로운 스미싱 대응 전략이 필요하다는 분석이다.

31일 한국인터넷진흥원(KISA)에 따르면 스미싱 위협이 가파른 속도로 증가하고 있어 이용자들의 각별한 주의가 필요하다. 스미싱은 문자메시지를 이용한 피싱(Phishing) 공격으로, 신뢰할 수 있는 사람이나 기업이 보낸 듯 가장해 피해자로부터 개인정보를 뺏거나 금전을 탈취한다.

KISA 자료를 보면 2024년 스미싱 탐지 건수는 219만여 건으로 2023년 50만 건 대비 4배가량 증가했다. 2022년 수치와 비교하면 증가세는 더욱 두드러진다. 2021년 20만 2천 건을 기록한 후 그다음 해인 2022년에는 3만 7천 건으로 줄었는데, 고작 2년 새 약 70배가 늘어났다.

사칭 유형별로는 공공기관이 125만 건으로 가장 많았고 지인 사칭이 36만 건으로 그 뒤를 이었다. 택배 사칭이 2만 9천 건으로 3위를 기록했는데 이는 전년 대비 3분의 1 수준이었다. 반면 금융기관 사칭 사례는 2023년 164건에서 2만 1천 건으로 약 120배 증가했다.

스미싱 위협이 단기간 내 빠른 속도로 증가함에 따라 차단에도 어려움이 따르고 있다. 2024년 스미싱 차단 건수는 1만 9천 건을 기록했다. 같은 해 탐지 건수가 219만 건에 이른 점을 고려하면 이는 현저히 부족한 차단 건수다.

갈수록 발전하는 공격 전략은 스미싱 대응을 더욱 힘들게 만든다. 기존에는 사칭 URL을 통한 악성 앱 배포 시도가 주를 이뤘다. 이전에는 메시지에 사칭 URL을 첨부하거나 공공기관·지인 등 사칭 대상과의 대화 중 링크를 넘기는 식으로 악성 앱 설치를 유도했다.

최근 들어 URL에 대한 탐지 시도가 늘어나며 공격자들은 이를 피하는 방법을 택하기 시작했다. 가령 미끼 문자를 보낸 후 전화를 유도해 정상 원격제어 앱 설치를 유도하고 이후 피싱 공격을 이어가는 식이다.

KISA 김은성 스미싱대응팀장은 “탐지를 우회하기 위해 URL을 넣지 않고 통화상으로 전달하는 형태로 진화하다 보니 일일이 신고하는 형태로 대응하는 데 한계가 생겼다. 특히 공격자가 설치를 유도하는 원격제어 앱은 정상적인 스토어에서 제공되는 형태라 모바일 보안 프로그램에서 감지하지 못한다”고 설명했다.

이에 KISA에서는 ‘악성문자 엑스레이(X-ray) 시스템’ 도입을 계획하고 있다. 이는 전화번호, 메시지 내 URL에 대해 발송 과정에서 악성 여부를 판별해 사전 차단하는 구조다. 일차적으로 많은 스미싱 위협을 막고 탐지 우회 시도 등 고도화된 공격에 집중한다는 목표다.

관건은 문자 발송업체의 협조다. 이 시스템은 기업 메시징 서비스 제공 사업자가 요청받은 대량 발송 문자에 포함된 URL을 분석 후 악성 판정 시 발송을 차단하는 형태이기 때문이다. 현재 이 서비스와 관련한 기업은 이동통신사업자, 문자중계사업자, 문자재판매사업자 등으로 나뉜다. 이통사와 중계 사업자는 그 수가 비교적 적으나 재판매사업자는 1천여 곳에 달한다.

정부는 스미싱 위협을 포함한 불법 스팸 문자 차단에 강경한 태도를 견지하고 있다. 특히 문자재판매사의 경우 과태료 처분에도 위법행위를 지속하거나, 잠시 영업하다 폐업하는 식으로 관리망을 피하는 사례도 나타난다. 이에 정부는 부적격 사업자를 시장에서 퇴출하는 방안도 고려하고 있다.

KISA 김은성 팀장은 “눈에 띄게 늘어난 악성문자를 두고 발송업체에서 책임을 면하기 어렵다”며 “악성문자 엑스레이 시스템을 비롯해 자체적으로 스미싱 위협을 걸러내는 체계를 마련할 필요가 있다. 만약 이를 지키지 않을 시 사업을 정지시키는 등 엄격한 대응을 검토해 봄 직하다”고 강조했다.