[일상Tip] 두 번째 받아보는 우체국 택배조회 스미싱 문자

 두 번째 받아보는
우체국 택배조회 스미싱문자

 

 수상한 택배배송 문자

 작년 이맘때 스미싱을 당한 적이 있습니다.
 당시, 대한통운 택배조회를 가장해서 핸드폰에 악성 앱을 깔게 하거나, 전화번호를 훔쳐가는 스미싱이 유행하고 있었습니다.  그 중에서 가장 흔한 것은 주소와 전화번호가 분명치 않으니 다시 입력해 달라는 수법이었습니다. 그 수법에 넘어가 전화번호를 입력하는 순간, 내 전화번호로 사방에 가입을 하고, 그 전화번호로 온갖 곳에 광고성 메일, 문자를 날립니다. 그렇게 전화번호를 도용당한 피해자들은 이제 일면식도 없는 사람들에게 광고를 보내지 말라는 항의성 연락에 시달리게 되는 것이지요. 그 외에 악성 앱이 깔린 경우에는 핸드폰 소액결제나 모바일 결제에 내 폰이 악용되면서 금전적인 피해가 발생할 수도 있고요. 그래서 당시 뉴스에도 보도가 되었고, 대한통운 측에서는 한동안 문자로 보내주던 실시간 배송조회 URL 제공을 중단하기도 했습니다.

 

 

 

 그런데 저는 스미싱이란 것이 있는지도 몰랐습니다.  게다가 저한테 날아온 것은 우체국 택배 문자. 이때는 일본구매대행을 이용할 때 EMS로 물건을 받아서 우체국 택배를 자주 접했습니다. 그래서 별 생각없이 URL을 누른 것이지요. 그랬더니, 뭔가 화면이 이동하려는 것 같, 다가, 아이폰이 그것을 차단시켜버리더군요. 두어 번을 더 눌렀는데도 그러기에, 안 되는 건가부다 하고 말았는데요. 그것이 바로 스미싱이었습니다. 악성앱을 깔려고 했는데, 아이폰이 자체적으로 차단해 버리는 바람에 깔리지 않은 겁니다. 아이폰은 애플이 무조건 “앱 스토어에 등록되어 있는 앱만을 받을 수 있게 해 놨기” 때문에, 좋은 의미로든 나쁜 의미로든 임의적으로 앱을 깔 수 없습니다.

 나중에 이것이 스미싱이라는 사실을 알고, 바로 공인인증서 비밀번호를 바꾸고, 핸드폰 소액결제를 차단했습니다. 그래놓고도 영 찜찜해서, 결국 공장초기화라는 극단적인 방법까지 선택했지요. 내친 김에, 복구할 때도 백업 데이터를 이용하지 않고 수동으로 복구했습니다.

 그런데, 올해도 이 스미싱 문자가 날아왔네요. 그것도 작년과 똑같은 우체국 택배 낚시입니다.

오늘 날아온 우체국 택배배송(을 가장한) 문자

 

 처음에는 별 생각없이, 정말로 택배가 온 것이라고 생각했습니다.
 저 자신은 딱히 시킨 물건이 없었지만, 이따금 어머니가 집으로 물건을 배달시키시는 때가 있습니다. 이럴 때, 대부분은 어머니가 제게 전화를 해서 택배가 올 것이라고 알려주시지만, 요즘에는 코로나로 비대면 배달이 많아져서 그럴까요. 가끔은 그냥 집앞에 슥 두고 간 뒤, 사후통보를 하는 경우도 있더군요. 그런 것에 익숙해지다보니, 집에 사람이 있는지 확인하는 전화가 안 와도 그냥, “아, 택배가 왔어? 나가서 회수해야지.”라는 정도로만 생각하게 되더군요.

 그런데, 돌아서서 다시 한 번 생각해 보니 뭔가 좀 이상했습니다.
 감이라고 할까요. 왠지 이건 그냥 택배조회 문자가 아닌 것 같다, 라는 느낌이 들었습니다. 그래서 다시 한 번 문자를 살펴봤더니, 여~엉 수상했습니다.
 원래 택배배송을 알리는 문자라면, 상품명과 보내는 사람(판매자) 정보, 그리고 취급 지점이나 택배기사의 연락처 정도는 다 들어있습니다. 받는 사람이 대체 어떤 물건이 배송되는지는 알아야 하니까 말이죠. 실제로 여러 개의 택배를 시키면, 배송문자의 그런 정보를 바탕으로 “아, 어디서 시킨 뭐가 오는구나.”라는 걸 파악합니다.

대한통운 배송시작 알림 문자

 대한통운의 배송시작을 알리는 문자입니다. 네스프레스 캡슐커피를 샀을 때 받은 문자이네요.
 보시다시피 받는 사람 및 주문자로서 제 이름을 언급하고, 상품명, 보내는 사람 등의 정보가 들어 있습니다.
 스샷에는 안 나왔지만, 이 밑에 부재시 택배를 맡길 곳을 선택하는 링크와, 실시간 배송조회 링크가 같이 들어 있습니다.
 중요한 것은 배송될 물품의 정보가 적혀 있다는 것.

 

우체국 택배 배송시작 알림 카톡

 우체국 택배의 정상적인 배송안내 문자입니다. 9월달에 페덱스로부터 위탁배송을 받았을 때의 알림입니다.
 대한통운 메시지와 마찬가지로, 받는 사람, 발송인, 송장번호, 배달원 연락처 등의 상세 내용이 적혀 있습니다.

 

 

 오늘 날아온 문자와는 천지차이지요. 
 그 문자는 그냥 “우체국 택배가 배송완료 되었습니다.”라는 문장 하나와 URL 하나만 덜렁 쓰여 있었습니다.
 게다가 밑에 첨부된 URL 주소도 이상한 것이, 너무 짧고 간결하더군요. 지금까지 살면서 특정한 목적을 갖고 자체적인 URL을 따로 만드는 쿠팡 파트너스를 제외하고는 이런 날씬한(?) URL은 본 적이 없었습니다. 정상적인 업체라면 굳이 단축 URL을 쓸 필요가 없는 것이죠.

 거기까지 생각하니, 이번에는 바로 딱 감이 왔습니다.

 

“아, 이건 스미싱 문자다. ”

 

 괜스레 건드렸다가는 저만 피를 볼 것이 뻔했기 때문에, 한 번 비웃어 주고 그냥 나왔습니다.
그리고 그대로 무시하려다가, 실수로라도 클릭을 할 수 있었기 때문에 스샷 한 방 남겨주고 바로 삭제해 버렸네요.

 

 스미싱에 대처하는 방법

 그러나 올해는 쿨하게 비웃어줄 수 있었으나, 작년의 저는 이 낚시에 낚였습니다. 핸드폰이 아이폰이 아니었다면 큰 낭패를 볼 뻔 했죠. 안 그래도 어머니는 아이폰을 쓰시지만, 아버지는 갤럭시를 쓰십니다. 성격상, 당신이 잘 모르시는 문자는 그냥 지워버리시니 큰 걱정은 없습니다만, 그래도 만일의 사태를 대비해 스미싱에 걸렸을 때의 대처 방법을 알아봤습니다.

 수상한 배송조회문자의 URL은 클릭하지 않는다

 아이폰은 무조건 애플이 앱 스토어에 등록을 승인한 어플만 깔 수 있게 돼 있습니다. 반면, 안드로이드는 굳이 구글 플레이에서 내려받지 않은 앱이라도 임의적으로 설치가 가능합니다. 그래서 폰 소유자가 자유롭게 어플을 설치하기도 하는 것 같더군요. 이 때문에 앱 마켓이 아닌 다른 경로로 (당연히 스토어에 등록을 할 수 없으므로) 악성앱을 깔려는 스미싱에는 아이폰이 상대적으로 강하다고 합니다. 안드로이드는 클릭하는 순간, 앱이 깔려버리죠.
 스미싱에 있어 안드로이드는 시망. 아이폰도 어디까지나 상대적인 것이기 때문에 안심만 하고 있을 수는 없습니다.
 그러니, 군자는 위험한 곳에는 접근하지 않는다고 아이폰 유저가 됐든 안드로이드 사용자가 됐든, 수상쩍은 택배조회 문자와 URL은 쿨하게 무시해 주는 것이 가장 좋을 것 같습니다.  그 외에, 안드로이드는 “출처를 알 수 없는 앱 설치하지 않기”를 활성화해두는 것도 좋습니다. 이통사에 핸드폰 소액결제를 막거나 최소화해두는 것도 방법이고요. 저도 아이폰 유저이기는 하지만, 핸드폰 소액결제는 막아두었습니다.

 혹시나 인터넷으로 주문한 것이 있어서 낚시인지, 진짜 배송문자인지 헷갈린다면 귀찮더라도 수동으로 검색합시다. 앱을 이용하신다면 자기 폰의 앱을 직접 열어서 조회하시고, 아니면 네이버나 해당 택배 업체의 홈페이지에 들어가 직접 배송조회를 하는 겁니다. 백보 양보해서, 물건을 산 사이트에서 배송조회를 하는 방법도 있겠죠.
 문자의 내용도 확인해 보세요. 위에서 말했듯이, 정상적인 배송문자는 배송품목과 판매자 혹은 발송자 이름이 표시됩니다. 이걸 보면 어디서 산 어떤 물건이 발송됐는지 확인이 가능합니다. 그게 없다면, 일단 의심해 보는 것이 좋을 겁니다.

 

  이미 URL을 눌렀다면, 하단의 조치를 취한다

이미 URL을 눌러서 앱을 깔아버렸다면, 118번 전화 혹은 다음 사이트에 접속해 도움을 받습니다. 불법 해킹이나 바이러스 등으로 피해를 받았을 때 도움을 받을 수 있는 곳입니다.

https://www.boho.or.kr/main.do

KISA 인터넷 보호나라&KrCERT

 

이곳에 상담을 한 분의 경험에 따르면, 다음과 같이 조치를 취할 수 있도록 안내를 했다고 합니다.

1. 모바일 백신으로 악성 앱 (APK앱) 지우기

2. 수동으로 악성 앱 지우기

3. 이통사를 통해 모바일 결제 확인 및 취소

4. 전화번호 도용을 통한 항의성 전화와 관련해, 이통사를 통해 번호도용차단 서비스 신청

5. e- 프라이버시 클린 서비스(주민번호 이용내역 검색 서비스) 에서 주민번호 이용내역 검색. 해당 사이트로 이동해 로그인 -> 회원탈퇴. 단, 해당 주민번호로 실제로 회원가입이 됐는지 여부는 해당 사이트에서 확인해야 한다고 합니다.

 

  결론

  다행히, 스미싱에 걸렸을 때 대처할 방법이 잘 정리되어 있기는 하지만, 클릭 한 번으로 처리하고 감내해야 할 작업이 너무나도 많습니다. 그러니 역시나 제일 좋은 방법은 수상한 문자는 무시하는 것 같습니다. 카톡을 쓰다보면, 단톡방 멤버 중에 분명히 지인이지만 친구로는 등록돼 있지 않은 사람이 있습니다. 이런 사람들이 보낸 링크를 누르면, 카톡이 친구로 등록되지 않은 사람이 보낸 링크이니 주의하라고 경고를 합니다. 이처럼, 출처가 불분명한 URL, 링크는 누르지 맙시다!