배우 이해인이 금융감독원을 사칭한 문자에 따라 문자에 알려준 웹사이트에 접속하고 개인정보를 입력해 5000만원이 인출되는 스미싱 손해를 입은 사실이 알려지면서 스미싱 피해 예방을 위한 안전수칙이 다시 한 번 관심을 끌고 있다.

22일 보안업계에 따르면 이해인이 당한 스미싱은 가짜 웹사이트(피싱 사이트)를 만들어 개인정보를 빼내고 이를 통해 현금을 인출하는 초보적인 수준의 스미싱이다. 

통상 스미싱은 악성 애플리케이션이 포함된 인터넷 주소를 알려주고 이를 클릭하면 악성 앱이 자동으로 깔리는 데 비해 이해인이 속은 방법은 가짜 주소를 단순히 알려주기만 하고, 피싱사이트를 통해 금융정보 등 개인정보를 빼냈다.

피싱 사이트는 통상 은행이나 금융당국의 홈페이지를 그대로 따라 했다. 하지만 잘 살펴보면 이를 구분할 수 있다. 우선 문자로 안내를 받으면 해당 사이트의 주소가 정확한 것인지 검색을 통해 확인해보는 것이 중요하다. 통상 금융감독기관은 go.kr이나 or.kr, kr로 끝나는 경우가 대부분. 금융감독기관의 안내 문자가 com이나 co.kr 등으로 끝나면 사기를 의심하고 해당 사이트에 접근하지 말아야 한다.

또 개인정보를 입력할 때에도 은행이나 금융감독기관은 절대 이름과 주민등록번호, 계좌번호와 비밀번호, 보안카드의 비밀번호 전부를 요구하는 일이 없다는 것을 염두에 둘 필요가 있다. 무엇보다 개인정보를 입력하는 인터넷 주소가 보안전송이 되는지를 확인해야 한다. 보안전송이 가능한 인터넷 주소는 'https://'로 시작하며 앞부분에 자물쇠 표시가 나타나지만, 대개의 피싱 사이트는 이러한 보안조치 없이 'http://'로 시작하는 경우가 대부분이다.

보안업계 관계자는 "이해인 씨는 불안한 마음에 피싱 사이트를 찾아서 연 것 같다"며 "인터넷 주소가 포함된 문자는 일단 스미싱으로 의심하고, 개인정보를 입력할 때에도 다시 한 번 피싱 사이트가 아닌지 확인해야 한다"고 말했다. 

머니투데이