Security

스미싱 100만건...대량 문자 발송 기업, 악성 문자 차단 시스템 의무 도입

CheifEditor

Published: 17:16, 31 Aug 2025 (Updated: 15:00, 02 Sep 2025)

김은성 KISA 국민피해대응단 스미싱대응팀장 [이미지 KISA]

💡

Editor’s Pick
- KISA, 6월 스미싱 탐지 1,005,434건...계정탈취, 공공기관과 지인 사칭
- 대량 문자 발송 서비스 기업, 19일부터 사전 차단 'X-ray' 도입 의무

2025년 상반기 스미싱 유포가 기승을 부렸다. 주요 스미싱 유포 사례는 ▲음식물무단투기로 과태료 부가 ▲미결제확인 ▲신호미준수 범칙금 청구 ▲국민연금 복지변경통지서 발송 ▲배송정보 확인 ▲청첩장 및 부고 사칭 스미싱이 주를 이뤘다. 이에 대량문자 전송 서비스 사업자는 9월 19일부터 전기통신사업법 시행령과 대량문자 전송자격인증제에 따라 악성 문자 탐지·차단 시스템(X-ray)을 의무 도입해야 한다.

김은성 KISA 국민피해대응단 스미싱대응팀장은 "음식물무단투기로 과태료 부가 스미싱은 환경관리부와 전국 지자체명을 사칭해 유포한다"며 "분리수거가 잘못됐다는 내용 등으로 링크 클릭을 유도해 악성코드에 감염, 핸드폰 정보 유출, 보이스피싱 타깃으로 연결된다"고 설명했다.

이어 김 팀장은 "지난 1년 한 달 간 탐지된 최상위 스미싱 문자 중 하나가 신호 미준수 범칙금과 과태료 위장 스미싱"이라며 "항상 상단에 위치, 경찰청을 사칭해 뿌려진다"고 밝혔다.

최근 공공기관 사칭은 최근 국민연금 공단을 사칭, 연금 조회 형태로 악성앱이 유포되고, 택배 배송 스미싱은 작년에 비해 줄은 듯 하다가 최근 들어 다시 상승 추세다. 또한 청첩장과 부고장 사칭 스미싱은 꾸준히 발생하고 있단 분석이다.

한국인터넷진흥원(KISA)이 발표한 6월 기준 스미싱 탐지 건수는 1,005,434건으로 집계됐다. 이 가운데, 계정탈취가 556,367건으로 활개를 쳤다. 이어 공공기관 사칭 342,687건, 지인사칭 98,524건 순으로 집계됐다.

김은성 팀장은 "계정탈취 유형이 늘었고, 지인사칭이 증가했다"며 "택배 사칭 스미싱 유형도 한동안 감소 추세였다가 다시 늘어나는 추세"라고 밝혔다.

이어 김은성 팀장은 "미결제확인 문자 경우 상반기 양이 상당했다"며 "최근 스미싱 기법 같지 않았다. 쇼핑몰을 사칭해 클릭하면 카드 정보를 받는데, 이러한 사이트 숫자가 1000여개에 달했다"고 말했다.

스미싱 유포방식은 3가지로 대포폰 문자 발송, 1차피해자 핸드폰 통해 재유포 스미싱, 악성앱, 대량 문자 발송 서비스 관리자 계정을 탈취한 방식이다. 특히 문자 발송 서비스 기업의 관리자 계정 탈취는 공격자 수고를 덜 수 있고, 이용자가 더 쉽게 속을 수 있어 보안 강화가 요구되는 곳이다.

이에 정부는 오는 19일부터 대량문자 전송 서비스 사업자 대상으로 악성 문자 탐지·차단 시스템(X-ray) 도입을 의무화했다. 유예 기간은 6개월로 문자 전송 사업자를 통해 악성 문자 전송을 1차 단계에서 사전 차단하겠단 방침이다.

엑스레이는 악성 문자 실시간 탐지 시스템이다. 발신자 번호 기반으로 실시간 탐지가 가능하며, AI 기반 패턴 분석, 외부 시스템 연동이 가능하다. 지난 4월부터 KISA가 스미싱사전 탐지 차단을 위해 시범 도입해 운영 중이다.

김문식 SMTNT 대표가 엑스레이 도입 성과에 대해 설명하고 있다. [KISA]

엑스레이 도입 성과에 대해 김문식 SMTNT 대표는 "엑스레이 시범 도입 기간 10억건 이상 검사, 발송 지연 장애 없이 안정적 운영이 가능하다"며 "2중 탐지 구조로 스미싱 탐지 정확도가 향상됐다. URL 탐지율 99% 이상 달성, 탐지율은 5억건 중에 9천만건 탐지했다"고 밝혔다.

김 대표는 "스미싱 문자 발송 구간에서 차단하지 않으면 수신 구간에서 이용자 피해가 줄지 않는다"며 스미싱 차단의 중요성을 강조했다.