[파이낸셜뉴스] 금융감독원은 스팸·스미싱 문자로 인한 금융소비자 피해를 예방하기 위해 ‘문자메시지 안심마크 서비스’를 도입했다고 19일 밝혔다. 안심마크 서비스는 금감원이 발송하는 문자메시지에 ‘안심마크’와 ‘금감원 로고’를 표시, 수신자가 해당 문자의 출처를 쉽게 확인할 수 있도록 돕는 시스템이다. 기존 문자메시지보다 발전한 차세대 문자메시지 규격(RCS)를 적용해 카드형 이미지 등 다양한 정보 전달이 가능해질 전망이다. 안심마크는 한국인터넷진흥원(KISA)이 지정한 기관에만 부여되며, 위·변조가 어렵다. 금감원은 업무안내 및 민원 진행상황 통지 등을 위해 매년 약 165만건의 안내문자를 발송하고 있다. 이번 서비스 도입으로 금융소비자들이 금감원을 사칭한 스미싱 문자에 대한 우려 없이 민원 처리 진행상황 등 안내문자를 확인할 수 있을 것으로 기대하고 있다. 한국인터넷진흥원에 따르면 올해 상반기 스미싱 문자메시지 신고·탐지 건수는 총 88만7859건이며, 이 가운데 공공기관 사칭 스미싱이 68만1868건으로 가장 높은 비중을 차지했다. 안심마크 서비스는 2018년 이후 출시된 삼성전자 단말기에서 지원된다. 금감원은 도입기관을 기존 81개에서 확대할 방침이다. localplace@fnnews.com 김현지 기자

[파이낸셜뉴스] 경찰청은 베트남에서 사무실을 차려 국내 조직원들과 함께 모바일 스미싱 범행을 해온 해외 조직원 7명을 베트남 공안과의 공조수사를 통해 검거하고, 총책 등 3명을 지난 14일 인천국제공항을 통해 강제송환했다. 20일 경찰에 따르면 모바일 스미싱 혐의를 가지고 있는 국내외 피의자 총 86명을 검거한 가운데, 특히 해외에서 활동하는 조직원 8명 중 7명을 검거했다. 이후 현지에 수감(별건으로 현지 구금 중)되어 있는 1명을 제외한 총책과 자금 세탁책 등 핵심 조직원 총 6명을 국내로 송환했다. 경상북도경찰청 사이버범죄수사대는 지난해 7월 모바일 청첩장을 받고 사기 피해를 입었다는 피해신고 최초 접수 후, 악성프로그램이 설치되는 일명 '모바일 스미싱' 사건이라고 판단하여 본격적으로 수사에 착수했다. 이들은 해외에서 모바일로 발송한 '청첩장', '부고장', '택배 문자', '자녀사칭 문자' 등 실제 규모가 피해자 230명, 피해 금액이 약 100억 원에 이르는 역대 최대 모바일 스미싱 조직을 운영한 혐의를 받고 있다.  수사팀은 피해금을 송금받은 가상계좌, 법인계좌 등 약 70개 계좌에서 무려 30만 건에 이르는 거래 내용을 분석하는 등 집요한 수사를 통해 국내 조직원인 베트남인 2명을 검거, 1명을 구속했다. 이후 집중적인 수사로 해외 조직원 8명을 특정하고 해외 거점 조직을 와해하고 추가 피해를 예방하기 위해 지난해 9월부터 현지 법 집행 기관 등과의 본격적인 국제공조가 시작되었다. 경찰청은 베트남 공안부와 평소 쌓아온 신뢰 관계를 바탕으로 범죄 조직에 대한 첩보를 상호 공유하며 검거를 추진했고, 지난 6월 서울에서 개최된 '인터폴 도피사범 추적 작전'을 통해 조직원들의 소재 단서 등을 인접국 경찰과 공유, 제3국으로의 도피를 차단했다. 그 과정에서 압박을 느낀 조직원 2명이 자수를 하고, 지난 8월 베트남 공안이 조직원 3명을 검거했다. 그 결과 베트남 호찌민시 일대에서 조직원들의 은신처 등을 특정, 경찰주재관 및 현지 공안의 적극적인 협조를 통해 지난 9월 4일, 총책을 검거하면서 해당 '모바일 스미싱 사기단'을 와해시키는 성과를 거두었다. 경찰청 관계자는 "경찰이 현지 사법기관 및 경찰주재관과 한팀이 되어, 해외거점 범죄 조직을 와해한 모범사례다"며 "앞으로도 신종·악성 사기 등 조직화한 범죄척결을 위해 경찰청 전 기능 간 협력뿐만 아니라 긴밀한 국가 간 공조를 통해 강력히 대응해 나가겠다"고 했다. beruf@fnnews.com 이진혁 기자

[파이낸셜뉴스] 폴라리스오피스는 5일 생성형 인공지능(AI)을 기반으로 한 모바일 피싱·스미싱 탐지 어플리케이션(앱) ‘폴라리스 시큐원(Polaris SecuOne)’을 출시했다고 밝혔다. 이 앱은 안드로이드 구글플레이 에서 무료로 다운로드할 수 있다. 회사 측은 “최근 '악성 앱' 및 '파밍' 등으로 인해 올해 1~7월 보이스 피싱 피해액은 3909억원으로 전년 동기 대비 약1500억원 늘어났다“며 “보안이 취약한 스마트폰 환경을 개선하고 사용자들의 편의성을 높이기 위한 서비스”라고 설명했다. 폴라리스 시큐원은 기존 폴라리스오피스의 서비스인 모바일 백신 브이가드에 인터넷주소(URL) 탐지 서비스를 더한 신규 솔루션이다. 생성형 AI 기술과 피싱·스미싱 URL 탐지 기술을 접목해 스마트폰 사용자에게 강력하고 안전한 서비스를 제공한다. 기존 URL 데이터베이스(DB) 검색을 통한 단순 진단이 아닌 AI가 URL을 실시간으로 분석하고, 판단 및 평가해 사용자에게 결과를 제공하는 형태다. 특히 사용자는 직접 URL에 접속하지 않아도 스크린샷을 통해 해당 사이트를 확인할 수 있다. 또 큐알(QR)코드 기반의 피싱 공격인 ‘큐싱’ 탐지를 위해 QR코드 추출 및 분석도 가능하다. 폴라리스오피스 관계자는 “생성형 AI가 발전하면서 기존 기술로는 탐지하기 어려웠던 신종 및 변종 사이트가 생겨나며 관련 시장이 커지고 있다”고 말했다. 이어 “개인사용자도 이용할 수 있을 뿐만 아니라 모바일 서비스를 제공하는 기업과 공공기관에서도 사용가능한 제품”이라며 “향후 당사 보안 솔루션을 강화하여 기존 문서 솔루션 제품들과 연계해 시너지를 높일 수 있도록 노력할 것”이라고 전했다. dschoi@fnnews.com 최두선 기자

[파이낸셜뉴스] 국내 텔레그램 사용자가 300만명을 넘어서면서, 문자를 이용한 스미싱(Smishing)사이버 공격이 날로 기승을 부리고 있다. 23일 안랩 모바일 분석팀은 텔레그램 계정 탈취를 목표로 한 스미싱이 지난해 국내에 처음 등장한 이후 최근까지도 꾸준히 이어지고 있다고 경고했다. 공격자들은 사용자를 속이기 위해 '정책 위반', '보안 위험 발생', '계정 재인증 필요', '업데이트 필요' 등의 문구를 포함한 문자 메시지를 보내고, 이를 통해 피싱 사이트로 유도한다. 이달에는 "텔레그램 정책을 위반했다"는 내용의 메시지가 유포됐다. 사용자가 메시지에 포함된 링크를 클릭하면 실제 텔레그램과 유사한 피싱 사이트로 연결된다. 그러나 이 사이트의 주소는 'taiegram'로, 텔레그램과 비슷하지만 다른 도메인을 사용하고 있다. 피싱 사이트에서는 사용자의 국가와 휴대폰 번호를 입력하도록 유도하며, 이후 텔레그램 로그인 코드가 자동으로 발송된다. 사용자가 이 코드를 입력하면, 공격자는 이를 통해 텔레그램 계정을 탈취할 수 있다. 이로 인해 사용자는 개인정보와 대화 내용이 유출되는 등 심각한 2차 피해를 입을 수 있다. 전문가들은 스미싱 공격의 위험성을 강조하며, 텔레그램 사용자들에게 2차 인증을 적용하는 등 추가적인 보안 조치를 취할 것을 권장하고 있다. 피싱 문자로 인한 피해를 줄이기 위해선 △메시지 본문에 포함된 URL을 클릭하지 않는다 △의심스러운 문자의 발신자 번호를 인터넷에 검색한다 등의 보안 수칙을 기억해야 한다. 아울러 △메시지 본문에 [국제 발신], [국외 발신]과 같은 단어가 포함돼 있다면 피싱 문자를 의심해야 하며 △메신저 앱 친구 추가를 요구하거나, 메신저 앱 및 밴드 오픈 채팅방으로 연락하라는 내용의 문자는 경계하는 것이 좋다. 안랩은 "피싱 공격을 완전히 막을 수는 없지만, 생활 속 보안 수칙만 지켜도 예방 및 피해는 최대한 줄일 수 있다"고 강조했 camila@fnnews.com 강규민 기자

실생활과 밀접한 우체국소포나 택배를 사칭한 스미싱 피해가 늘면서 소포상자와 스티커를 활용한 보이스피싱 예방이 시도된다. 과학기술정보통신부 우정사업본부은 금융감독원, 전국상인연합회, 한진 등과 손잡고 소포상자 및 스티커를 활용한 보이스피싱 등 민생금융범죄 예방에 나선다고 15일 밝혔다. 스미싱은 악성 앱 주소가 포함된 휴대폰 문자(SMS)를 대량 전송 후 이용자가 악성앱을 설치하거나 전화를 하도록 유도해 금융정보 등을 탈취하는 보이스피싱 수법이다. 최근 스미싱 피해 사례가 빈번한데다 추석이 다가오면서 선물배송을 위장한 다양한 보이스피싱 범행 시도가 계속될 것이라는 것이 우본 등의 판단이다. 이에 따라 우본은 우체국망을 활용해 스미싱 등 민생금융범죄 피해예방 홍보에 나섰다. 오는 19일부터 서울과 수도권지역 우체국(686국)에 피해예방 안내가 담긴 소포 상자 10만 개를 배포해 판매된다. 일상생활에서 자주 쓰이는 소포 상자에 스미싱 주의 메시지를 담아 자연스럽게 위험성을 알릴 수 있어 피해예방에 도움이 될 것이라고 보고 있다. 전국상인연합회와 한진도 전국 66개 전통시장에서 전국각지로 배송되는 택배상자에 민생범죄 예방문구를 담은 스티커를 부착하기로 했다. 한편, 우본은 스미싱 의심 문자를 수신했을 때 메시지 속에 포함된 인터넷 주소를 절대 클릭하지 말고 메시지를 반드시 삭제해야 한다고 당부했다. 만약 악성앱을 이미 설치했다면 △모바일 백신앱(최신 버전 업데이트)으로 검사 후 삭제하거나 △데이터 백업 후 휴대폰 초기화 △또는 지인이나 휴대폰 서비스센터 등에 도움을 요청해야 한다. yjjoe@fnnews.com 조윤주 기자

스미싱 피해자도 모르게 비대면 대출이 시행되는 과정에서 은행이 본인확인을 제대로 하지 않았다면 대출금을 갚지 않아도 된다는 법원 판결이 나왔다. 법원은 비대면 대출이라도 금융사 측이 영상 통화 등으로 본인 확인 절차를 충분히 거쳤어야 했다고 봤다. 8일 법조계에 따르면 서울중앙지법 민사83단독(한나라 판사)은 스미싱 피해자 A씨가 케이뱅크·미래에셋생명보험·농협은행을 상대로 제기한 6000여만원 규모의 채무부존재 확인 소송을 원고 승소로 판결했다. 재판부는 "이 사건 대출거래약정 등을 체결하는 과정에서 이용자가 본인인지 확인하는 조치를 다할 의무를 피고들이 제대로 이행했다고 보기 어려워 채무는 존재하지 않는다"고 밝혔다. A씨는 지난해 3월 30일 모바일 청첩장 문자메시지를 받아 무심코 웹주소(URL)를 클릭했다. A씨 스마트폰에는 악성 앱이 설치됐고, 운전면허증 사본과 금융정보 등 개인정보가 빠져나갔다. 스미싱 조직은 4월 1일 오후 2시 37분 A씨의 명의로 종전과 같은 번호로 스마트폰을 신규 개통했다. 이들은 A씨 명의로 앱을 통해 대출을 받거나 주택청약종합저축을 해약해 불과 2시간 30여분 만에 총 6000여만원의 피해를 입혔다. A씨는 각 금융기관이 본인확인조치나 피해방지를 위한 노력을 다하지 않았다며 대출과 해약을 무효로 해달라는 취지로 소송을 냈다. 금융기관들은 통신사기환금법 등에서 규정한 본인확인 조치를 모두 이행했으므로 대출이나 보험 해지가 모두 유효하다고 항변했지만, 법원은 A씨의 손을 들어줬다.재판부는 스미싱 범행에서는 비대면 인증 방식의 허점이 악용된다는 측면에서, 본인 확인 절차 준수 여부를 판단할 때 더 엄격한 기준을 적용해야 한다고 판시했다. 앱 설치 과정 등에서 운전면허증·기존 계좌 1원 이체·모바일OTP·문자메시지·ARS 인증 등 본인 확인 절차가 있기는 했지만, 스미싱 조직은 A씨의 신분증 사본까지 빼돌린 터라 범행을 막을 수 없었다. 은행연합회·금융투자협회가 마련한 '비대면 실명확인방안'에 따르면 필수적인 검증방법 중 2가지 이상을 중첩해 실명 확인을 해야 한다. 재판부는 세 회사 모두 이를 거쳤다고 볼 수도 없다고 판단했다. 재판부는 "비대면 금융거래를 주된 업으로 한다면 고객의 얼굴이 직접 노출되도록 실명확인증표(신분증)를 촬영하도록 하거나, 영상통화를 추가로 요구하는 방식을 택해 본인확인 방법을 보강했어야 하고 기술적으로 현저히 어려운 조치도 아니었다"라고 지적했다. 스마트폰 안에 신분증을 사진 파일 형태로 보관하는 등 A씨의 과실도 참작돼야 한다는 주장에도 "사회 통념상 이례적인 행위가 아니다"라고 받아들이지 않았다. jjw@fnnews.com 정지우 기자

【파이낸셜뉴스 하남=노진균 기자】 경기 하남시가 공공기관이 보낸 쓰레기 불법투기 과태료 안내 문자메시지인 것처럼 위장해 접속을 유도하는 ‘신종피싱 사기 문자(스미싱)’에 주의보를 내렸다. 30일 하남시에 따르면 최근 시민들을 대상으로 '쓰레기 무단투기로 단속되어 과태료가 부과되었다'라는 내용으로 링크 접속을 유도하는 스미싱 문자메시지가 무차별 배포되고 있다고 밝혔다. 내용을 확인한 시민들이 링크를 클릭하면 '가짜 정부24 홈페이지'로 이동해 인증을 유도하거나 '가짜 민원신고 홈페이지'로 이동해 개인정보를 탈취하는 방식으로 금융결제 사기를 당하는 방식이다. 현재 시는 생활폐기물 불법투기 과태료 부과 시 공문과 고지서를 첨부해 우편물로 통지하는 방식을 사용하고 있으며, 문자 메시지는 발송하지 않고 있다.  이에 따라 공공기관이 발송한 것처럼 위장한 문자메시지를 받았을 경우 링크를 누르지 말고 하남시 자원순환과로 전화해 생활폐기물 불법투기 과태료가 부과된 것인지 먼저 사실을 확인할 것을 당부했다. 실수로 피싱 사기 문자메시지의 링크에 접속했다면, 경찰청에서 개발한 '시티즌 코난' 앱을 설치해 악성 앱 유무와 개인정보 유출 여부를 확인하고 경찰서에 즉각 신고해야 한다고 강조했다.  시 관계자는 "신종피싱 사기 문자에 대해 각별한 주의가 필요하다"며 "피해 방지를 위해 이러한 사실을 주변 사람들과 적극 공유해주시길 바란다"고 당부했다. njk6246@fnnews.com 노진균 기자

[파이낸셜뉴스] LG유플러스는 보이스피싱·스미싱 등 디지털 사기 예방 캠페인을 시작한다고 17일 밝혔다. 사이버 보안 분야에 대한 관심도와 친근감을 높이기 위해 LG유플러스의 대표 캐릭터 '무너'를 접목했다. LG유플러스는 유플러스닷컴 홈페이지 내 U+무너쉴드 코너를 통해 개통, 부가서비스, 수신, 발신 등 통신서비스 이용 단계별 민생사기 피해 예방법을 안내할 예정이다. 예방법은 LG유플러스 내 사이버보안 전문가로 구성된 사내협의체가 만들었다. LG유플러스는 캠페인 첫 순서로 스미싱 문자를 통한 악성 애플리케이션(앱) 감염 시 행동요령을 소개한다. 악성앱에 감염되면 명의도용, 개인정보 유출 피해로 이어질 가능성이 상당히 높고, 이 같은 사례가 증가하고 있는 점을 감안했다. LG유플러스는 "악성앱 감염 시 우선 추가적인 피해를 막기 위해 경찰청 전기통신금융사기 통합신고대응센터(112)에 연락해 '계좌 지급정지'를 요청하고, 휴대전화에 저장된 공동인증서가 악용되지 않도록 PC에서 주 거래은행의 홈페이지에 접속해 새로운 공동인증서를 재발급해야 한다"고 소개했다. 이후에도 △통신·금융 명의도용 방지서비스 '엠세이퍼' 사이트에서 가입사실현황조회서비스 확인 △가입 제한서비스 등록 △신규 계좌 개설과 신용카드 발급을 막기 위한 '개인정보노출자 사고예방시스템' 등록 등의 대응이 필요하다고 덧붙였다. LG유플러스는 향후 오프라인 매장에서도 팸플릿과 영상 등을 통해 디지털 민생사기 피해 사례와 대응책을 안내하는 활동을 강화해 나간다는 방침이다. 연말에는 U+무너쉴드 활동을 종합한 백서를 발간할 계획이다. 홍관희 LG유플러스 사이버보안센터장 겸 최고정보보호책임자(CISO)는 "갈 수록 지능화·고도화되는 민생사기 위협에 대응하기 위해 전사적인 대응역량을 결집해 U+무너쉴드 캠페인을 개시하게 됐다"며 "고객이 통신서비스를 이용하는 전 주기에 걸쳐 취약점을 발굴하고 개선해 모든 고객이 안심하고 이용할 수 있도록 적극 소통하겠다"고 전했다. jhyuk@fnnews.com 김준혁 기자

지난해 스미싱 문자 탐지 건수가 총 50만 3300건으로 큰 폭으로 늘어난 것으로 나타났다. 3월 31일 국인터넷진흥원(KISA)에 따르면 스미싱 문자 탐지 건수는 지난 2020년 95만843건, 2021년 20만2276건, 2022년 3만7122건으로 뚜렷한 감소세를 보이다 지난해 다시 큰 폭으로 증가했다. 스미싱은 문자메시지(SMS)+피싱(Phishing)의 합성어로, 보이스피싱, 피싱메일처럼 상대방을 속여 금전적 이득을 취할 목적의 사기행위를 의미한다. 김은성 KISA 탐지대응팀장은 지난달 29일 '국민생활을 위협하는 스미싱 대응 현황'을 주제로 한 발표에서 "지금까지 공공기관과 지인 사칭(스미싱)은 그렇게 많지 않았는데, 갑자기 지난해 확 늘어났다"면서 "공공기관 사칭 유형을 보면 건강검진이 많았고, 지인 사칭은 청첩장, 부고장 등이 많이 유포됐다"며 주의를 당부했다. 공공기관 사칭 문자는 지난해 35만10건으로 전체의 69.5%를 차지했다. 김 팀장은 "최근 스미싱은 전문가들도 URL 등을 구체적으로 보지 않으면 구분하기 어렵다"면서 "과거 스미싱 문자들이 피싱사이트로 유도하는 형태가 많았다면 최근엔 악성앱을 설치해서 개인정보를 탈취하고 이를 통한 협박, 금전 탈취까지 일어나고 있다"고 말했다. 악성앱은 보통 정상앱과 달리 과도한 권한을 요구한다. 지난해 탐지된 스미싱 문자는 50만3300건이며 악성앱 분석 대응은 907건에 이른다. 이에 관계 당국은 악성앱 분석 자동화와 대량탐지 긴급차단체계 운영을 통해 악성앱 조기 차단에 나섰다. 구자윤 기자

지난해 스미싱 문자 탐지 건수가 총 50만 3300건으로 큰 폭으로 늘어난 것으로 나타났다. 3월 31일 국인터넷진흥원(KISA)에 따르면 스미싱 문자 탐지 건수는 지난 2020년 95만843건, 2021년 20만2276건, 2022년 3만7122건으로 뚜렷한 감소세를 보이다 지난해 다시 큰 폭으로 증가했다. 스미싱은 문자메시지(SMS)+피싱(Phishing)의 합성어로, 보이스피싱, 피싱메일처럼 상대방을 속여 금전적 이득을 취할 목적의 사기행위를 의미한다.  김은성 KISA 탐지대응팀장( 사진)은 지난달 29일 ‘국민생활을 위협하는 스미싱 대응 현황’을 주제로 한 발표에서 “지금까지 공공기관과 지인 사칭(스미싱)은 그렇게 많지 않았는데, 갑자기 지난해 확 늘어났다"면서 “공공기관 사칭 유형을 보면 건강검진이 많았고, 지인 사칭은 청첩장, 부고장 등이 많이 유포됐다”며 주의를 당부했다. 공공기관 사칭 문자는 지난해 35만10건으로 전체의 69.5%를 차지했다.  김 팀장은 “최근 스미싱은 전문가들도 URL 등을 구체적으로 보지 않으면 구분하기 어렵다”면서 “과거 스미싱 문자들이 피싱사이트로 유도하는 형태가 많았다면 최근엔 악성앱을 설치해서 개인정보를 탈취하고 이를 통한 협박, 금전 탈취까지 일어나고 있다”고 말했다. 악성앱은 보통 정상앱과 달리 과도한 권한을 요구한다. 지난해 탐지된 스미싱 문자는 50만3300건이며 악성앱 분석 대응은 907건에 이른다. 이에 관계 당국은 악성앱 분석 자동화와 대량탐지 긴급차단체계 운영을 통해 악성앱 조기 차단에 나섰다. 기존에 분석가에 의한 악성앱의 악성행위를 찾아 유포지 및 정보유출지를 차단했다면 이제는 자동분석 후 유포지를 선차단하는 형태로 국민 피해 최소화에 나섰다. 이로써 기존에 3시간 가량 걸리던 차단 시간도 10분으로 크게 단축했다. 아울러 KISA는 카카오톡을 통해 수신문자에 대한 스미싱 여부를 KISA가 직접 확인해주는 ‘스미싱 확인 서비스’를 도입했다. 카카오톡에서 ‘보호나라(KISA 인터넷침해대응센터)’ 채널을 검색해 친구 추가를 하고 채널 내 스미싱을 클릭한 뒤 스미싱 문자를 복사해 붙여넣기 하면 ‘주의’, ‘악성’, ‘정상’ 등의 결괏값이 나온다. solidkjy@fnnews.com 구자윤 기자