스미싱은 문자메시지(SMS)와 피싱(phising)의 합성어로, 악성 앱 주소가 포함된 휴대폰 문자(SMS)를 대량 전송 후 이용자가 악성 앱을 설치하도록 유도해 금융·개인정보 등을 탈취하는 신종 사기수법이다.

공격자는 주로 사회공학기법을 사용해 스미싱 문자를 보내고 있다. 추석이나 설날과 같은 명절 때에는 선물세트 배송이 많은 점을 악용해, 배송정보 확인 등을 가장한다.

연말연시와 명절 기간에 안부인사가 많은 점도 이용되고 있다. 결혼식 청첩장과 돌잔치 초대장 등도 스미싱에 활용되고 있으며, 연말 정산 기간을 노리기도 한다. 민방위, 관공서 사칭도 비일비재하다.
 

이처럼 공격자는 이용자들이 의심하지 않고 악성 앱 주소를 클릭할 수 있는 방법과 시기를 고안해 사이버위협을 가하고 있다. 심지어 SNS 앱을 이용해 지인처럼 대화를 걸어 사기를 치기도 한다.

지난해에는 보이스피싱과 연계한 스미싱이 출현하기도 했다. 기존에는 스팸 메시지에 첨부한 링크를 통해 악성 앱을 다운로드하도록 유도하는 방식이 주를 이뤘는데, 여기에 전화통화까지 더해진 것이다.

공격자는 사회공학기법을 이용해 공격 대상과 전화 통화를 진행하며 악성 앱을 설치하도록 유도했다. 이렇게 설치된 악성 앱은 스마트폰에 저장된 민감한 개인 정보를 유출하고 전화 및 문자 메시지의 수·발신을 차단하는 등의 악의적인 행위를 수행한다.

특히, 택배를 이용한 스미싱은 가장 조심해야 할 부분이다. 스미싱뿐 아니라 랜섬웨어를 비롯해 다양한 사이버위협이 이메일을 통해 접근되고 있는데, 택배를 사칭하는 비율도 꽤 높다. 해외직구족이 늘어나고 있어 해외배송업체로 사칭하기도 하고, 국내 대표 택배기업으로 위장하기도 한다.

과학기술정보통신부와 한국인터넷진흥원 조사결과에 따르면 지난해 탐지된 스미싱 50만2027건 중 택배사칭은 31만7618건으로 절반 이상인 63%를 차지했다. 지인 사칭은 1만5080건, 공공기관 사칭은 6156건으로 뒤를 이었다.

올해에는 8월 기준 전체 탐지 스미싱 16만1112건 중 택배 사칭이 13만6398건으로 나타났다. 이는 전체의 85%에 달하는 규모다.

이용자들이 스미싱 피해를 예방하려면 기본적인 보안 수칙을 숙지해야 한다. 우선, 출처가 확인되지 않은 문자메시지의 인터넷주소(URL)를 클릭하지 않아야 한다. 관련성이 있더라도 URL 클릭과 앱 설치는 신중을 기해야 한다. 또, 스마트폰 보안설정도 강화해야 한다. 필요하다면 백신이나 스팸차단 앱을 이용하면 된다.