스미싱 문자 사전 차단…KISA ‘엑스레이‘ 체계 가동

By곽중희

시범 도입한 SMTNT, 시범 운영서 탐지율 99% 입증

스미싱 공격이 갈수록 정교해지고 있다. 이에 대응 기관인 한국인터넷진흥원(KISA)은 최근 민간 메시징 사업자와 함께 문자 발송 단계에서 악성 URL을 원천 차단하는 ‘엑스레이(X-ray)’ 체계를 본격 가동 중이다. 올해 4월 시범 운영을 시작한 엑스레이는 탐지율 99%를 기록하며 효과를 입증했고, 이를 계기로 기존 사후 대응 중심이던 스미싱 대책이 사전 차단 체계로 전환되는 변곡점을 맞고 있다.

스미싱, 전화·검색·계정 탈취로 진화

스미싱 공격은 더 이상 단순한 ‘택배 배송 안내’나 ‘모바일 청첩장’ 사칭에 그치지 않는다. 최근에는 공격자가 피해자에게 직접 전화를 걸어 특정 주소에 접속하도록 유도하는 방식까지 등장했다. 전화 상담을 빙자해 URL을 불러주고 앱 설치를 안내하는데, 피해자가 스스로 설치하는 과정이 포함돼 의심을 덜 느끼게 한다. 공격자는 특히 취약한 노년층을 주요 표적으로 삼고 있다.

또 다른 유형은 검색 결과를 이용하는 방식이다. 예를 들어 ‘개인정보 유출 보상’ 같은 키워드를 포털에서 검색하면, 상단에 정부기관을 사칭한 악성 사이트가 노출된다. 이용자는 이를 정상적인 공공 서비스로 오인하고 이름, 연락처, 금융 정보 등을 입력하게 되며, 이후 다른 보이스피싱 공격으로 이어지기도 한다.

아울러 대량 문자 발송 서비스 계정을 해킹해 실제 기업 고객을 사칭하는 경우도 늘고 있다. 정상적인 기업 명의로 발송되기 때문에 수신자가 쉽게 속을 수 있고, 발송 계정의 마일리지가 고스란히 소진돼 기업 역시 금전적 피해를 입는다.

김은성 KISA 국민피해대응단 스미싱대응팀장은 “스팸 건수는 전반적으로 감소했지만 스미싱은 오히려 전화·검색·계정 탈취형으로 진화하고 있다”며 “하지만 보이스피싱과 연계되면 피해 규모는 기하급수적으로 커지는 추세”라고 설명했다. 실제로 올해 상반기 스미싱 탐지 건수는 100만건에 달했고, 신호 위반 과태료 통지, 국민연금 안내 등 공공기관을 사칭한 유형이 상위권을 차지했다.

KISA, 발송 단계서 원천 차단하는 ‘엑스레이‘ 마련

이 같은 상황에 대응해 KISA는 발송 단계에서 스미싱 문자를 원천 차단하는 ‘엑스레이(X-ray)’ 체계를 마련했다. 엑스레이 체계는 문자 사업자가 발송 요청을 하면 메시지 전체를 수집하지 않고 URL만 추출해 검사하는 방식으로 작동한다. 추출된 URL은 악성 여부를 신속히 판별하기 위해 KISA의 악성 URL 데이터베이스와 화이트 도메인 목록과 대조되며, 사이트의 HTML 구조나 리디렉션, 개인정보 입력 유도 여부 등도 함께 분석된다. 이 과정에서 개인정보나 발신자 정보는 저장되지 않도록 설계돼 프라이버시 침해 위험을 최소화했다.

운영 구조는 KISA, 문자중개사, 메시징 사업자가 연동되는 형태다. 사업자가 발송을 요청하면 URL만 추출돼 엑스레이 체계로 전달되고, 악성으로 판정된 경우 발송이 즉시 중단된다. 정상으로 확인된 메시지만 이동통신 3사를 거쳐 수신자에게 전달되는 구조다. 별도 장비 구축 없이 애플리케이션 프로그래밍 인터페이스(API) 연동만으로 적용할 수 있어, 영세 사업자도 부담 없이 도입 가능하다는 게 KISA의 설명이다.

악성으로 판정되면 발송 자체가 중지돼 수신자에게 전달되지 않는다. 이를 통해 국민 피해를 예방하고, 발송 계정이 탈취되서 발생하는 추가 고객 재산 피해도 막을 수 있다. 또, KISA는 탐지 정보를 경찰청과 공유해 수사 지원으로 연계하고, 참여 사업자 간 위협 정보를 상호 교환하는 체계도 마련했다.

정부는 9월 19일부터 문자 재판매사, 메시징 사업자에게 엑스레이 도입을 의무화한다. 유예기간은 6개월이다. 영세 사업자의 비용 부담 우려에 대해 KISA는 “API와 악성 URL 데이터베이스를 무상 제공해 저비용으로 적용할 수 있다”며 “상위 사업자와 협업해 도입할 수 있도록 지원하겠다”고 밝혔다.

SMTNT, 시범운영서 99% 탐지율 달성

메시징 사업자 에스엠티엔티(SMTNT)는 지난 4월부터 엑스레이를 시범 도입해 성과를 검증하고 있다. 김문식 SMTNT 대표는 “작년 스미싱 등 디지털 사기 피해액이 8545억원에 달했고, 특히 고령층을 겨냥한 공격이 급증했다”며 “이용자 보호는 선택이 아니라 기업의 윤리적 책무라는 판단 아래 시스템을 도입했다”고 설명했다.

SMTNT는 URL 정규식 탐지, 화이트 도메인·악성 데이터베이스(DB) 대조, HTML 구조·앱 설치 파일(APK) 유도 여부를 분석해 위험도를 평가한다. 사이트 인증서, 도메인 생성일자 등 정상 사이트가 가진 속성을 점수화해 오탐률을 최소화했으며, URL만 추출해 검사하는 구조라 개인정보 유출 위험도 최소화했다.

또한, 자체적으로 개발한 ‘모바(MOVA)’ 시스템과 엑스레이를 병렬 운영해 이중 탐지 체계도 구축했다. 실제 운영 결과, URL 탐지율은 99% 이상이었으며, 발송 지연이나 장애도 발생하지 않았다. 김 대표는 “사전 차단 구조 덕분에 사용자 신뢰가 높아졌고, 기업 고객 계정이 해킹돼 마일리지가 소진되는 2차 피해도 막을 수 있었다”고 강조했다.

김은성 KISA 팀장은 엑스레이를 “사후 분석 중심에서 사전 차단 중심으로 전환하는 전환점”이라며 “실제로 민간에서도 엑스레이를 스미싱 차단에 있어 긍정적으로 바라보는 시각이 늘고 있다”고 강조했다. 한 통신업계 관계자는 “통신사나 단말 차단만으로는 피해를 줄이기 어려웠다”며 “발송 단계에서 걸러내는 구조가 정착되면 모든 국민이 문자 서비스에 대해 느끼는 신뢰도가 크게 높아질 것”이라고 말했다.

한편, KISA는 향후 해외 관문 사업자와 협력해 국제 발신 스미싱까지 엑스레이 체계를 도입해, 사전 차단 범위를 점차 넓혀갈 예정이다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.