스미싱을 '스마트폰 피싱'으로 착각하는 사람이 적지않다. 이는 단순히 단어의 흡사함 때문이 아닌 스마트폰의 등장으로 스미싱이 증가했으며, 그에따른 피해가 커지고 있기 때문이다. 뉴스와 미디어를 통해 이미 '스미싱을 방지하기 위해선 수상한 문자메세지는 피하라'는 조언을 들었겠지만, 이 수법은 이 '수상함' 조차 감추려 하고 있다.
'무료'라는 말로 불특정 다수의 사람들을 유혹하기만 했던 스미싱이었지만, 이제는 특정대상을 노린공격이 성행하고 있다. 만약 'OO브랜드 강남점 오픈기념, OOO님 무료 쿠폰이 도착 했습니다.'라고 메세지가 왔다면 어떨까? 본명으로 왔다면 말이다. 더군다나 해당브랜드의 가입자이며, SMS 수신을 허용하고 있다면 수상함을 덜어내는데 무리가 없다. 이것조차 해당브랜드의 안내를 받은후 확인하면 된다고 치자. 그럼 동창회는 어떨까? 'OOO야. OOO초 동창모임 갖기로 했다. 꼭참석바란다. 장소약도는 아래 주소에 있다.', 사용자가 의심할 수 있는 여지가 얼마나 생길까? 그리고 약도를 보기 위해 링크로 접속했다면 악성 어플리케이션이 설치될 것이고, 그대로 소액결제를 통한 금전피해를 맞이할 것이다. 물론 다른친구에게 물어볼 수도 있겠지만, 특정대상을 지정해 피싱을 행하는 방법으로 예전에 비해 교활해진것은 분명하다.
우린 여기서 몇가지 의문점을 가질수 있다. '내 이름은 어떻게 알고 있는 것인가?', '내 번호라는 사실은 어떻게 알고 있는 것인가?', '내 초등학교는 어떻게 알아낸 것인가?'
이미 인터넷이라는 세상에는 자신이 뿌려둔 개인정보가 떠다니고 있다. 딱히 특정대상을 정하는것이 아니라 스미싱을 할만한 대상이라면 그사람의 스미싱 성공확률을 검토하고 저격하는 것이다. 일명 '신상털기'가 스미싱을 위해 벌어지고 있다는 말이다. 이런 개인정보유출을 어려워 말자. 예를들어 중고거래를 하기 위해 중고거래카페에 자신의 번호를 게제했는가? 개인정보를 스스로 유출한 것이다. 입금한다는 정보로 이름까지 알아내면 준비는 끝이고, 배송하기 위해 주소지를 불러달라고 한다면 어렵지 않게 개인정보를 취득하는것이 가능하다. 몇가지 개인정보를 통해 상대방을 추척해 나가면 충분히 스미싱 할거리를 만들어 내는것이 가능하다. 이것은 이름과 전화번호를 몰라도 가능하다. 대부분 여러사이트에 동일한 아이디를 사용한다는 점을 착안하면 아이디만으로 거슬러 올라 개인정보를 획득하는것도 가능하다. 해킹을 통한 유출이 개인정보유출의 전부가 아니라는 것이다. 그렇게 돌아보면 스스로 개인정보를 얼마나 공유하며 다녔던것인가? 그것들이 모두 특정대상을 향하는 스미싱으로 되돌아 오는 것이다.
그렇다면 어째서 스마트폰의 등장으로 이런 스미싱이 더 급증하게 된 것일까?
과거 피쳐폰이 최대이던 시기에는 URL을 전달하는식의 스미싱을 하기 위한 조건이 좋지 못했다. 웹브라우징이 가능한 휴대폰을 찾아야 했으며, 데이터 사용료가 비쌌기 때문에 접속하라는 내용의 문자메세지를 대부분이 거부했었다. 그래서 특정대상을 다뤄봐야 소용이 없었으며, 차라리 불특정다수를 대상으로 한 명이라도 걸리길 바라는식의 스미싱만 일어났던 것이다. 하지만 스마트폰이 보급되면서 남녀노소 웹에 쉽게 접근할 수있게 되었다. 국내 스마트폰 사용자가 3천만을 넘어섰으니, 이중 개인정보를 얻을 수있는 웹에 접근한 사람 대부분이 스마트폰을 사용한다고 보면 된다. 그리고 데이터 사용료도 낮아지면서 데이터를 사용하는데 있어 반사적인 거부를 하지 않게 되었다. 여기서 개인정보까지 덧씌우면 한 명에게 스미싱을 가해도 성공확률이 높아지는 것이다. 보이지 않던 표적을 맞추기 위해 기관총을 쏘았었다면, 지금은 다드러난 상대에 저격총을 쏘고 있는 것이다. 스마트폰으로 인해 스미싱이 더악랄해진 이유다.
이렇게 고도화된 스미싱을 대처하는 방법으로 '수상한 문자메세지를 피하라'는 것만으로 끝낸다는것은 수법은 악랄해 졌음에도 대처방법은 변함없음을 뜻한다. 보안의식 수준은 제자리걸음이라는 것이다. 만약 필자에게 스미싱을 어떻게 대처해야 하느냐고 묻는다면 상대적으로 스미싱을 당할확률이 매우 적은 아이폰이나 윈도폰등을 사용하거나 (스미싱의 대부분은 안드로이드를 대상으로 .apk 파일을 설치하는 방법이 사용 되지만, 아이폰과 윈도폰에는 .apk가 설치되지 않는다.) 개인정보를 감추기 위한 세컨드폰 사용하는것으로 개인적으로 사용하는 휴대폰 하나와 전화번호를 노출해도 상관없는 휴대폰 하나를 동시에 사용하길 권할 것이다. 그 두가지 방법이 고도화된 스미싱을 99.9% 탈출하는 방법이다. 하지만 이는 제품에 대한 선택권을 좁히고 통신비 부담으로 이어질 수 있다.
그렇다면 'URL이 포함된 문자메세지는 무조건 삭제하라'고 하는 것이 가장 현실적인 대처법일 것이다. 그리고 이맥락은 사용자가 신경쓰지 않는 이상은 현상태에서 스미싱을 벗어날 방법이 없음을 뜻한다. 스미싱을 완전히 신경쓰고 싶지 않다면 필자가 제시한 위 3가지 방법을사용하라는 것이다. 스미싱은 더욱 심해질 것이다. 정부차원에서 스미싱을 막을 수있는 방법? 단호히 없다고 선을 긋겠다. 우리는 스미싱이 더욱 악랄해졌음을 인지 해야하며, 우리 스스로 보안을 키우는 방법을 택하도록 하자.
<외부 필자의 원고는 본지의 편집 방향과 다를 수 있습니다.>
< 저작권자 © 에브리뉴스 무단전재 및 재배포금지 >
< 기사제보 : 편집국(02-786-6666),everynews@everynews.co.kr >
에브리뉴스 EveryNews에서는 독자 여러분의 소중한 제보를 받습니다.
이메일: everynews@kakao.com
