한국인터넷진흥원(KISA)은 31일 급변하는 스미싱 수법에 대응해 ‘악성문자 엑스레이(X-ray) 시스템’을 도입, 문자에 포함된 URL을 사전 분석해 악성 문자 발송을 차단하고 수사 의뢰까지 연계한다고 밝혔다.
핵심 사실
- 스미싱은 문자(SMS)와 피싱이 결합한 공격으로 최근 전화유도형·검색 노출 유도형 등 수법이 다양화됐다.
- KISA는 발송 전 문자중계사·재판매사가 엑스레이에 URL 검사를 요청하면 악성이면 발송을 차단하는 절차를 운영한다.
- 엑스레이는 문자 내용은 수집하지 않고 URL만 추출해 분석하며, 사용자 식별정보는 연계하지 않는다고 KISA는 설명했다.
- KISA의 스미싱 탐지 건수는 2022년 762건, 2023년 2,764건, 2024년 19,227건으로 증가세를 보였다.
- 같은 기간 관련 조사·검출 건수는 37,122건(2022), 503,300건(2023), 2,196,469건(2024)으로 급증했다.
- 엑스레이 참여업체 SMTNT는 URL이 포함된 문자 9천만 건 중 99.9%의 악성문자를 잡아냈다고 주장했다(회사 발표).
- 엑스레이가 악성으로 판단한 경우 URL 차단·악성앱 분석·정보유출지 차단 등을 수행하고, 필요 시 경찰에 수사 의뢰한다.
검증된 사실 상세
스미싱은 전통적 택배·금융 사칭 메시지에서 발전해 최근에는 전화로 URL을 알려주거나(전화유도형), 검색결과 상위에 악성 페이지를 노출시켜 피해자를 유도하는(검색 노출 유도형) 방식이 늘고 있다. 공격자는 해외 서버·대포폰·대량문자 발송서비스를 이용해 광범위하게 유포한다.
KISA가 도입한 엑스레이 시스템은 문자 발송 절차의 전 단계에 들어가 작동한다. 문자 발송자가 중계사나 재판매사에 전송을 요청하면 중계사 쪽에서 해당 문자에 포함된 URL을 KISA 엑스레이로 전송해 스미싱 여부를 확인받는다. KISA는 검사 결과를 회신하고, 중계사는 회신 결과에 따라 정상 전송 또는 발송 거부를 결정한다.
엑스레이의 운영 원칙 가운데 하나는 개인정보 비식별 처리다. KISA는 문자 내용 수집 없이 URL만 추출해 분석하며, URL 분석 과정에서도 사용자 신원이나 개인정보를 연계하지 않는다고 밝혔다. 악성으로 판정되면 해당 URL을 차단하고 관련 악성앱·피해 유발지점을 추가로 분석해 차단 목록을 확장한다.
맥락과 영향
스미싱 탐지·검출 건수의 급증은 공격 기법의 고도화와 대량 유포 구조가 결합한 결과다. 특히 공공기관·계정 탈취·지인사칭·택배·금융 순으로 사칭 유형이 보고되며, 피해 발생 시 개인·기업 모두 민감한 금융정보와 인증정보를 잃을 위험이 크다.
엑스레이 방식의 선제 차단은 발송 단계에서 악성 메시지를 걸러내기 때문에 소비자 피해를 줄이는 데 효과적일 수 있다. 다만 운영의 실효성은 중계사·재판매사와의 협업 수준, 실시간 대응 능력, 악성 URL의 빠른 생성·변형 속도를 따라잡는지에 달려 있다.
기업과 이용자는 출처 불명 URL 클릭 금지, 문자 발신번호 확인, 모바일 보안 설정 및 앱 설치 시 권한 검토 등 기본 보안 수칙을 지켜야 위험을 낮출 수 있다.
“신규로 생성되는 도메인 중 생성 기일이 일주일~한 달 이내인 도메인을 스미싱으로 의심해 집중 모니터링하고 있다.”
김은성, KISA 스미싱대응팀장
불확실성
- SMTNT의 “URL 포함 문자 9천만 건 중 악성 문자 99.9% 포착”이라는 수치는 회사의 자체 분석 결과로, 독립적 검증 자료는 공개되지 않았다.
- 엑스레이의 장기적 차단 효과는 악성 도메인 생성·전환 속도와 중계사 참여 확대 여부에 따라 달라질 수 있다.
총평
KISA의 엑스레이 시스템은 발송 전 URL을 검사해 악성문자 유통을 막는 실무적 장치로, 스미싱 피해를 줄이는 데 기여할 가능성이 크다. 다만 관련 업체의 참여 확대와 외부 검증을 통한 투명성 확보, 이용자의 기본 보안 인식 제고가 병행돼야 실효성이 더 높아질 것이다.