일상에서 널리 사용되는 QR코드를 악용해 취업준비생 등을 대상으로 사기를 치는 신종 피싱 범죄가 기승을 부리자 정부 기관이 선제 대응 방안을 마련한다. 피싱 문자의 발신 자체를 차단하고 악성 QR코드를 변별할 수 있는 서비스를 시행해 관련 범죄를 근절하겠다는 계획이다. 신종 피싱 범죄는 정보기술(IT)에 익숙지 않은 고령층뿐 아니라 스마트폰 사용이 활발한 20~30대 일상에까지 침투해 피해 규모가 커지고 있다.
1일 한국인터넷진흥원(KISA)에 따르면 스미싱 피해 수법이 매년 고도화하면서 세대를 가리지 않고 피해가 발생하고 있다. 최근엔 취업준비생들을 대상으로 화상 면접을 진행한다며 악성 앱 설치를 유도한 뒤, 면접비 지급에 필요하다고 속여 개인 금융 정보를 탈취하는 사례가 적발됐다. 범죄자들은 피해자 명의로 휴대전화 개설, 예금 출금, 비대면 대출을 실행해 최대 수천만원의 부당이득을 취했다.
카카오톡·라인 등 메신저 대화방으로 피해자를 유도한 뒤 채팅을 하다가 자연스럽게 악성 앱을 설치하게 하는 수법도 기승을 부리고 있다. 개인 간 대화방을 통해 전송되는 앱 설치 URL은 정부·공공기관이 기술적으로 탐지하기 어렵다.
QR코드로 피싱 범죄를 저지르는 이른바 ‘큐싱’ 범죄도 잦아지고 있다. 전동 킥보드의 결제 QR코드 자리에 가짜 QR코드 스티커를 붙여 피싱 사이트로 접속을 유도하는 사례가 대표적이다. 사업에 어려움을 겪는 소상공인을 대상으로 저금리 대출 상품을 소개하면서 금융사기 예방 앱을 설치해야 한다고 속인 뒤 가짜 QR코드를 촬영하게 하는 등의 사례도 있었다.
문자메시지에 악성 링크를 삽입해 접속을 유도하는 스미싱 범죄는 빠르게 증가하고 있다. KISA 국민피해대응단에 따르면 스미싱 탐지 건수는 2022년 3만7122건에서 2024년 10월 150만8879건으로 50배가량 급증했다. 유형별 탐지 건수를 보면 공공기관 사칭이 96만123건으로 가장 많았고, 지인 사칭이 27만9757건, 금융회사 사칭이 2만1063건으로 뒤를 이었다.
KISA는 범죄 발생을 원천적으로 차단할 수 있는 기술을 개발 중이다. 이동연 KISA 국민피해대응단장은 “피싱 문자의 발송 자체가 불가능하게 하는 기술을 개발 중”이라며 “SNS나 클라우드로 접속을 유도해 악성 앱 설치 링크를 보내는 미끼 문자에 대한 차단도 강화할 것”이라고 말했다.
피싱 문자가 오더라도 이용자가 단말기에서 확인할 수 없도록 하는 기술도 개발 중이다. KISA는 또 악성 앱에 감염된 기기를 치료할 수 있는 모바일 체계도 구축할 계획이다. 피싱 피해가 발생하면 문자 유통 경로에 있는 기업에 방조 책임을 부과한다는 방침이다. KISA 관계자는 “피싱 피해는 목숨까지 앗아가는 사고로 이어지는 만큼 스미싱 확인 서비스를 개선해 관련 범죄에 효과적으로 대응할 것”이라고 말했다.
나경연 기자 contest@kmib.co.kr