□ 현황
○ 공공기관 및 기업의 전화번호를 도용해 소액결제를 유도하거나 개인정보 등을 편취하는 문자피싱(스미싱)이 지속적으로 발생
- 문자피싱의 대부분은 발신번호 변경이 용이한 인터넷발송 문자 인터넷발송 문자서비스 : 문자발송시스템을 설치하고 이동통신사업자와의 계약 또는 다른 사업자와의 재판매 계약을 통해 대량으로 문자를 발송하는 서비스(ex. 문자나라 등)
에서 발생하고 있어, 발송단계에서의 근본적인 대책이 필요한 상황임.
- 지난해 신고 된 전체 문자피싱 현황에 따르면, 인터넷을 통해 대량으로 발송한 문자(이하 웹투폰, web to phone) 스팸이 74%, 휴대폰을 통해 발송한 문자(이하 폰투폰, phone to phone) 스팸이 26%를 차지함.
□ 문제점 및 정책제언
○ <KISA, 피싱 대응 관련 전담인력 부족> 현재 피싱 대응 관련 업무는 (KISA) 침해사고탐지조치팀 내 ‘피싱대응센터’에서 이뤄지고 있으며, 정원 5명에 현원 3명(곧 2명 추가 채용 예정)으로 늘어나는 피싱 관련 피해에 비해 전담인력이 부족한 실정임.
- ‘피싱대응센터’ 인력은, 올해 초 신규로 기재부 승인을 받아 5명 T.O로 시작했으나 예산 배분 문제로 현재 3명(정규직)이 전담하고 있으며, 조직 내 스팸대응팀 등 관련 유사조직과 협업으로 업무를 하고 있음.
※ 올해 초 KISA는 기재부에 15명의 전담인력을 요청(선제대응 및 홍보, 차단인력 등)했으나 최종 5명 (기재부)승인, 내년 예산도 올해(10억 원) 보다 2억 원 깎인 8억 원 편성
☞ <질의사항> 한국인터넷진흥원 이기주 원장께 질의하겠음.
☞ <질의사항> 최근 보이스피싱이나 문자피싱 등 각종 피싱으로 인한 피해가 심각함. 보이스 피싱을 넘어 인터넷 뱅킹과정에서 금융정보를 빼내는 ‘파밍’과 문자메시지를 통해 인터넷 주소(URL)를 터치 또는 클릭할 때 소액결제를 유도하는 ‘스미싱’이 결합한 신종사기까지 등장하고 있음. 날로 다양하고 지능화되어가는 피싱을 막기 위해서는 불법 스미싱 앱 등을 발견시 신속하게 차단하는 것은 물론 피싱 피해를 막을 수 있는 선제적 대응이 중요하다고 보는데, 이에 대한견해는?
☞ <질의사항> 현재 KISA내 ‘피싱대응센터’ 인력은 3명(2명 추가 예정) 뿐임. 내년 예산도 올해 10억 원에서 2억 깎인 8억 원이 편성돼 일상적인 피싱 차단조치 이외에 선제적 대응 기술개발인력이나 대국민 홍보업무가 불가한 실정임. 피싱 대응과 기술개발 인력 등 전담인력에 대한 지원이 필요하다고 보는데, 이에 대한 견해는? 인력 확충 방안은 있나?
○ <인터넷발송 문자서비스사업자에 대한 사후 관리 한계> 현재 인터넷발송 문자서비스는 신고만으로 가능한 부가통신사업으로서 정부의 규제와 완화되어 사후적인 관리 ․ 감독으로는 한계가 있는 실정임.
부가통신사업자 : 기간통신사업자(SKT, KT 등)에게 전기, 통신, 회선 설비를 임차하여 기간 통신 역무를 제공하기 위해 미래창조과학부 장관에게 신고하고 사업을 하는 자
- 인터넷발송 문자는 서비스 특성상 발송자가 회신 받고자 하는 전화번호(회신번호)를 임의로 입력할 수 있어 전화번호 조작이 용이함.
- 문제는 현행 「전기통신사업법시행령」에 따르면, ‘자본금이 1억 미만인 사업자는 신고의무가 면제’되어, 사업자 관리 ․ 감독은 물론 사업자 실태파악도 어려운 실정이라는 것임.
- 관계자에 따르면, 웹투폰 스팸의 대부분은 ‘자본금이 1억 미만으로 신고 되지 아니한 영세사업자’일 가능성이 크다고 함.
‣ 「전기통신사업법시행령」제30조(부가통신사업자 신고의 면제)
① 법 제22조제1항 후단에서 "대통령령으로 정하는 기준에 해당하는 소규모 부가통신사업"이란 인터넷을 이용하여 부가통신역무를 제공하는 자본금 1억원 이하인 부가통신사업자를 말한다.
○ <인터넷발송 문자서비스사업자에 대한 본인확인 절차 미흡> 인터넷발송 문자서비스의 가입은 인터넷홈페이지를 통해 무대면으로 이뤄지고 있으나, 본인확인 절차가 다소 미흡함.
- 서비스 가입시 간단한 대인정보 입력과 SMS인증절차만 거치면 손쉽게 가입이 가능해 타인명의를 도용하여 부정한 목적으로 사용하기 용이
☞ <질의사항> 현행 「정보통신사업법시행령」에 따라, ‘자본금이 1억 미만인 사업자는 부가통신사업 신고의무가 면제’되어 인터넷홈페이지 등을 통해 서비스 가입 시 간단한 대인정보만 입력하고, SMS 인증절차만 거치면 손쉽게 인터넷발송 문자 서비스사업을 할 수 있음.
때문에 이런 영세한 사업자들에 대한 관리와 감독은 물론 사업자실태도 파악이 어렵고, 인터넷발송 문자서비스 가입 시 타인의 명의를 도용해 부정적 목적으로 사용할 수 있어 쉽게 피싱 범죄에 악용할 수 있음.
관계자에 따르면, 최근 늘어나고 있는 웹투폰 문자 피싱은 대부분 자본금 1억 원 미만의 (부가통신사업자로) 신고 안 된 영세한 사업자들인 경우가 많다고 하는데, 어떻게 생각하나? 이런 실태에 대해 파악한 것이 있는지?
☞ <질의사항> 최근 급속하게 늘어나고 있는 웹투폰으로 이뤄지는 문자 피싱을 줄이기 위해 제가 미래부와 관련 전문가 등의 의견을 취합해 법 개정을 준비하고 있는데, 내용은 다음과 같음. 「전기통신사업법」개정을 통해 인터넷발송 문자서비스를 ‘특수한 유형의 부가통신역무’에 포함시켜, 발신번호 조작을 방지하기 위한 ‘기술적 조치’와 부정한 목적의 서비스가입을 제한할 수 있는 ‘본인확인 절차 강화’ 등을 등록요건으로 규정하려는 것임.
관계 전문가에 따르면, 이 정도의 내용으로 「전기통신사업법」이 개정된다면, 상당부분 웹투폰으로 발생하는 문자피싱은 사전에 차단이 가능하다고 하는데, 어떻게 생각하나? 이 내용에 좀 더 보완이 필요한 것이 있다면, 무엇인가?