"어머니, 카드발급 되셨네요?"…고령층 노리는 '콜백 스미싱' 급증

등록 2025.04.15 06:01:00수정 2025.04.15 07:16:24

카드 발급, 결제 완료, 연체 안내, 배송 및 수사기관 사칭

URL 없이 전화로 유도…"점검해 주겠다"며 악성 앱 설치 유도

전화로 앱 설치 권유하는 경우, 반드시 의심·즉시 전화 끊어야

[그래픽]

[서울=뉴시스]송혜리 기자 = #우리(3575)승인 1,571,510원 일시불 03/2611:17 타인결제 우려시 문의
#[승인완료] 5,000,000원 연7.76% 2시간후 입금예정 본인 아닐 시 신고

누구나 받아보면 당황할 수 밖에 없는 이런 문자 메시지를 악용한 '콜백 스미싱(Callback Smishing)'이 최근 빠르게 확산되고 있어 각별한 주의가 요구된다.

이러한 수법은 스마트폰에 설치된 보안 프로그램을 우회하기 위한 전략으로 해석된다. 대부분의 스미싱 차단 솔루션은 문자 메시지 내에 포함된 악성 링크(URL)를 탐지해 사기 여부를 판단하는 방식이기 때문에, 전화번호만 포함된 콜백 스미싱 메시지는 기존 보안 시스템의 탐지를 쉽게 피할 수 있다.

결제되셨네요?…순간 당황해 전화걸도록 유도

15일 이스트시큐리티에 따르면, 최근 사용자가 직접 전화를 걸도록 유도하는 '콜백 스미싱'이 급증하고 있다.

이 수법은 카드 발급, 결제 완료, 연체 안내, 배송 및 수사기관 사칭 등의 허위 내용을 담은 문자 메시지로 사용자가 직접 전화를 걸도록 유도해 개인정보를 탈취하거나 악성 앱 설치를 유도하는 신종 스미싱이다.

기존의 피싱은 주로 악성 URL을 통해 이뤄졌지만, 최근에는 보안 기술의 발전과 사용자 보안의식이 높아지면서 URL 클릭률이 감소했다. 이에 따라 공격자들은 스마트폰 사용에 익숙하지 않은 고령층을 대상으로 직접 전화를 걸게 만드는 콜백 스미싱 수법을 활용하고 있다.

실제 사례로는 '[Kb국민 알림] 고객님 (3695) 카드 발급 완료 본인 요청 아닌 경우 즉시 문의', '[우리카드] ***님 정상 발급 완료 고객님 신청 아닐 시 즉시 문의', '[경기경찰서] 선생님 사건 조사를 위해 연락드렸습니다' 등의 문자가 발견됐다. 특히 결제 승인 알림 문자에서는 인증번호까지 함께 발송해 피해자를 더욱 정교하게 속이고 있다.

피해자가 당황해 "카드를 발급한 적이 없다"며 전화를 걸게 되면, 발급 취소를 요청하는 과정에서 본인 확인을 명목으로 개인정보를 요구한다. 이어 공격자는 피해자에게 "악성앱 설치 여부 등을 검사를 해주겠다"며 특정 앱 설치를 요구하는데, 이 앱은 휴대폰을 원격제어 하는 악성 앱이다.

이 과정에서 피해자가 앱 설치에 어려움을 보일 경우, 공격자는 "원격으로 도와드리겠다"며 피해자 스스로 공식 앱스토어에서 원격제어 앱을 설치하게 만들어 휴대폰을 장악한다.

전화로 앱 설치 요구하는 경우 반드시 의심…스마트폰 최신버전 유지해야

이러한 피해를 예방하기 위해서는 ▲스마트폰 운영체제(OS)를 항상 최신 버전으로 유지하고 ▲URL이 포함된 문자 메시지를 통해 앱 설치를 하지 않으며 ▲전화로 앱 설치를 권유하는 경우 반드시 의심하고 즉시 전화를 끊어야 한다. 또 ▲모바일 보안 백신 프로그램을 설치해 상시 대비하는 것이 필수적이다.

이스트시큐리티는 "콜백 스미싱 의심 문자를 받았을 때 문자 속 번호로 직접 연락하지 말고, 반드시 해당 기관이나 기업의 공식 연락처를 별도로 확인해 문자 내용의 진위를 확인해야 한다"고 강조했다.

◎공감언론 뉴시스 chewoo@newsis.com