구글, 전 세계 사용자 매달 100억건 이상 악성 메시지 공격에 노출
스미싱, 많은 이용자가 업무 시작하는 오전 8~10시 사이에 가장 활발
"출처가 불분명한 링크는 절대 클릭하지 말아야"
참고용 이미지. 재판매 및 DB 금지/ 유토이미지 *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 전 세계적으로 스미싱 공격이 정교하게 진화하고 있는 가운데 이러한 공격은 월요일 오전 8~10시 사이에 가장 많이 유입되는 것으로 나타났다. 특히 공격자들은 구인·구직 사칭과 그룹 채팅을 악용한 방식을 적극 활용하며 수법을 다변화하고 있다.
스미싱은 문자 메시지를 통해 사용자의 개인정보나 금융 정보를 탈취하는 대표적인 사기 유형이다. 공격자는 출처를 알 수 없는 링크, 거짓 청구서, 투자 기회, 택배·정부기관 사칭 메시지 등 다양한 형태의 미끼를 활용해 피해자를 속인다.
구글이 전 세계 사용자가 올해 제출한 SMS 및 RCS 스팸 메시지 신고를 기반으로 분석한 최신 자료에 따르면, 전 세계 사용자는 매달 100억건 이상의 악성 메시지 공격에 노출되고 있으며 스미싱 방식은 사용자의 일상 속 빈틈을 정확히 노리는 방향으로 빠르게 고도화되고 있다.
구글은 해당 보고서를 통해 "휴대폰은 우리가 소중한 사람들과 연결되고, 일정을 관리하며, 세상을 탐색하게 해주는 필수 도구지만 그 편리함이 동시에 범죄자들에게 새로운 기회를 제공하고 있다"면서 "문자 기반 사기는 이제 정교하고 글로벌한 범죄 산업으로 진화해, 아무런 의심 없이 사용하는 피해자들에게 막대한 금전적 손실과 감정적 고통을 가하도록 설계되고 있다"고 언급했다.
보고서에 따르면 스미싱은 무작위로 전송되는 것이 아니라 명확한 일일·주간 패턴을 따라 움직인다.
미국의 경우 태평양 표준시(PT) 기준 오전 5시경에 시작해 많은 이용자가 업무를 시작하는 오전 8~10시 사이에 가장 활발해지는 것으로 나타났다.
주간 단위로도 뚜렷한 흐름이 관찰됐다. 스미싱은 월요일에 가장 많이 집중됐는데, 월요일 아침은 업무가 몰리고 정신적 여유가 부족해 수신자가 메시지 내용을 면밀히 확인하기 어려운 시간대다. 이에 더해 '업무 시작 시점'이라는 맥락이 더해지면서, 합법적인 기업을 사칭한 메시지의 신뢰도가 상대적으로 높아지는 효과까지 발생한다는 게 구글 측의 분석이다.
가장 흔한 유형은 구직자를 노린 취업 사기다.
'면접 기회 제공드립니다' 혹은 '지원서 검토 결과를 안내드립니다'처럼 자연스러운 메세지로 접근해 개인 정보나 금융 정보를 탈취하는 방식이었다.
아울러 금전적 이득을 노린 사기도 광범위하게 발생하고 있다. 특히 가짜 미납 청구서, 구독료, 각종 수수료 청구, 암호화폐 등 자산 투자 사기가 대표적이다. 이 밖에 택배 배송 위장, 정부 기관 사칭이 눈에 띄게 보고됐으며 로맨스 스캠과 기술 지원(Tech Support) 등은 상대적으로 신고 비중이 낮았다.
스미싱 공격자들이 '그룹 채팅'을 적극 활용하고 있는 정황도 포착됐다.
스미싱은 공격자가 직접 문자를 보내는 일대일 채팅 방식과 여러 잠재적 피해자가 포함된 그룹 채팅방을 이용하는 두 가지 경로로 유입되는 것으로 나타났다. 그간 일대일 방식이 압도적으로 많았으나, 최근에는 흐름이 완전히 뒤집히며 그룹 채팅이 일대일 방식보다 약 5대 1 비율로 더 많이 발생하는 주요 공격 수단으로 부상한 것으로 확인됐다.
구글은 "이러한 변화는 단체 메시지가 수신자에게 덜 의심스럽게 느껴질 수 있기 때문으로 보인다"면서 "특히 공범을 같은 그룹에 포함시켜 초기 메시지를 지지하게 하면, 대화를 더 합법적이고 자연스러운 소통처럼 보이게 만들기 쉽기 때문"이라고 설명했다.
시간대별 스팸 신고 건수(Spam reports per hour)(사진=구글) *재판매 및 DB 금지
전문가들은 스미싱 피해를 예방하기 위해 몇 가지 기본 수칙을 반드시 지켜야 한다고 강조한다.
무엇보다 출처가 불분명한 링크는 절대 클릭하지 말아야 하며, 택배·은행·정부기관을 사칭한 메시지는 반드시 공식 경로를 통해 다시 확인해야 한다. 아울러 앱 설치를 유도하는 메시지는 모두 의심해야 하며, 가족이나 지인에게서 온 메시지가 평소와 다르다면 즉시 전화로 직접 확인하는 것이 안전하다. 스미싱 문자를 받았다면 즉시 신고하고 삭제해 추가 피해를 막아야 한다.
이스트시큐리티는 "구글은 안드로이드 내장 AI 방어 체계가 매달 100억건 이상의 스팸·피싱을 차단하고 있다고 밝혔지만, 이 수치는 '막아낸 공격'일 뿐"이라며 "실제로 사용자에게 도달하는 공격은 이보다 훨씬 많고, 단 한 건만 놓쳐도 치명적인 피해로 이어질 수 있다"고 경고했다. 이어 "스미싱은 한 번 피해가 발생하면 복구에 오랜 시간과 비용이 들 수 있다"면서 "사전 차단이 최선이 며, 유일한 해결책"이라고 강조했다.
스미싱, 많은 이용자가 업무 시작하는 오전 8~10시 사이에 가장 활발
"출처가 불분명한 링크는 절대 클릭하지 말아야"
[서울=뉴시스]송혜리 기자 = 전 세계적으로 스미싱 공격이 정교하게 진화하고 있는 가운데 이러한 공격은 월요일 오전 8~10시 사이에 가장 많이 유입되는 것으로 나타났다. 특히 공격자들은 구인·구직 사칭과 그룹 채팅을 악용한 방식을 적극 활용하며 수법을 다변화하고 있다.
스미싱은 문자 메시지를 통해 사용자의 개인정보나 금융 정보를 탈취하는 대표적인 사기 유형이다. 공격자는 출처를 알 수 없는 링크, 거짓 청구서, 투자 기회, 택배·정부기관 사칭 메시지 등 다양한 형태의 미끼를 활용해 피해자를 속인다.
구글이 전 세계 사용자가 올해 제출한 SMS 및 RCS 스팸 메시지 신고를 기반으로 분석한 최신 자료에 따르면, 전 세계 사용자는 매달 100억건 이상의 악성 메시지 공격에 노출되고 있으며 스미싱 방식은 사용자의 일상 속 빈틈을 정확히 노리는 방향으로 빠르게 고도화되고 있다.
구글은 해당 보고서를 통해 "휴대폰은 우리가 소중한 사람들과 연결되고, 일정을 관리하며, 세상을 탐색하게 해주는 필수 도구지만 그 편리함이 동시에 범죄자들에게 새로운 기회를 제공하고 있다"면서 "문자 기반 사기는 이제 정교하고 글로벌한 범죄 산업으로 진화해, 아무런 의심 없이 사용하는 피해자들에게 막대한 금전적 손실과 감정적 고통을 가하도록 설계되고 있다"고 언급했다.
그룹 채팅 활용해 의심 갖지 않도록 유도
보고서에 따르면 스미싱은 무작위로 전송되는 것이 아니라 명확한 일일·주간 패턴을 따라 움직인다.
미국의 경우 태평양 표준시(PT) 기준 오전 5시경에 시작해 많은 이용자가 업무를 시작하는 오전 8~10시 사이에 가장 활발해지는 것으로 나타났다.
주간 단위로도 뚜렷한 흐름이 관찰됐다. 스미싱은 월요일에 가장 많이 집중됐는데, 월요일 아침은 업무가 몰리고 정신적 여유가 부족해 수신자가 메시지 내용을 면밀히 확인하기 어려운 시간대다. 이에 더해 '업무 시작 시점'이라는 맥락이 더해지면서, 합법적인 기업을 사칭한 메시지의 신뢰도가 상대적으로 높아지는 효과까지 발생한다는 게 구글 측의 분석이다.
가장 흔한 유형은 구직자를 노린 취업 사기다.
'면접 기회 제공드립니다' 혹은 '지원서 검토 결과를 안내드립니다'처럼 자연스러운 메세지로 접근해 개인 정보나 금융 정보를 탈취하는 방식이었다.
아울러 금전적 이득을 노린 사기도 광범위하게 발생하고 있다. 특히 가짜 미납 청구서, 구독료, 각종 수수료 청구, 암호화폐 등 자산 투자 사기가 대표적이다. 이 밖에 택배 배송 위장, 정부 기관 사칭이 눈에 띄게 보고됐으며 로맨스 스캠과 기술 지원(Tech Support) 등은 상대적으로 신고 비중이 낮았다.
스미싱 공격자들이 '그룹 채팅'을 적극 활용하고 있는 정황도 포착됐다.
스미싱은 공격자가 직접 문자를 보내는 일대일 채팅 방식과 여러 잠재적 피해자가 포함된 그룹 채팅방을 이용하는 두 가지 경로로 유입되는 것으로 나타났다. 그간 일대일 방식이 압도적으로 많았으나, 최근에는 흐름이 완전히 뒤집히며 그룹 채팅이 일대일 방식보다 약 5대 1 비율로 더 많이 발생하는 주요 공격 수단으로 부상한 것으로 확인됐다.
구글은 "이러한 변화는 단체 메시지가 수신자에게 덜 의심스럽게 느껴질 수 있기 때문으로 보인다"면서 "특히 공범을 같은 그룹에 포함시켜 초기 메시지를 지지하게 하면, 대화를 더 합법적이고 자연스러운 소통처럼 보이게 만들기 쉽기 때문"이라고 설명했다.
문자로 받은 링크 클릭은 '조심 또 조심'
전문가들은 스미싱 피해를 예방하기 위해 몇 가지 기본 수칙을 반드시 지켜야 한다고 강조한다.
무엇보다 출처가 불분명한 링크는 절대 클릭하지 말아야 하며, 택배·은행·정부기관을 사칭한 메시지는 반드시 공식 경로를 통해 다시 확인해야 한다. 아울러 앱 설치를 유도하는 메시지는 모두 의심해야 하며, 가족이나 지인에게서 온 메시지가 평소와 다르다면 즉시 전화로 직접 확인하는 것이 안전하다. 스미싱 문자를 받았다면 즉시 신고하고 삭제해 추가 피해를 막아야 한다.
이스트시큐리티는 "구글은 안드로이드 내장 AI 방어 체계가 매달 100억건 이상의 스팸·피싱을 차단하고 있다고 밝혔지만, 이 수치는 '막아낸 공격'일 뿐"이라며 "실제로 사용자에게 도달하는 공격은 이보다 훨씬 많고, 단 한 건만 놓쳐도 치명적인 피해로 이어질 수 있다"고 경고했다. 이어 "스미싱은 한 번 피해가 발생하면 복구에 오랜 시간과 비용이 들 수 있다"면서 "사전 차단이 최선이 며, 유일한 해결책"이라고 강조했다.
댓글목록
등록된 댓글이 없습니다.