"추석 선물로 상품권 보내드려요"…문자 확인만 했는데 '날벼락' [최예린의 사기꾼 피하기]

사진=게티이미지뱅크
"[00택배] 송장번호 주소불일치로 물품 보관 중입니다. 아래 링크를 눌러 문의 부탁드립니다."

"000님 명절 선물로 모바일 상품권을 보내드립니다. 아래 링크를 눌러 확인 부탁드립니다."인터넷 주소가 포함된 이런 내용의 문자, 한번쯤 받아보신 적 있을텐데요. 주소를 잘못 적어 택배가 제대로 도착하지 않은건지, 지인이 선물로 모바일 상품권을 보내온건지 싶어도 절대 링크를 누르면 안 됩니다.


문자 사기 절반이 명절에 발생

택배사를 사칭한 스미싱 문자. 링크를 클릭하도록 유도해 개인정보를 빼낸다.
사기입니다. 문자 메시지에 포함된 인터넷 링크(URL)를 클릭하도록 유도해 악성 앱으로 휴대폰을 해킹하는 ‘스미싱’인데요. 선물로 택배나 모바일 상품권이 자주 오고가는 명절에 특히 기승을 부립니다. 금융위원회 등에 따르면 최근 3년간 발생한 문자결제사기(스미싱) 사건 중 42.2%가 명절 기간에 발생했습니다. 이 기간동안 신고된 스미싱 사건이 151만7705건이었는데, 이 중 63만9809건은 설과 추석이 껴있는 1·2·9월에 발생한 겁니다.

가장 많이 발생하는 유형은 택배 사칭입니다. 지난해 신고된 택배사칭 스미싱은 17만5753건으로 전체 스미싱 사건 중 87%를 차지했습니다. 코로나19로 택배 이용이 급증한 점, 명절 기간 동안 선물 배송이 늘어나는 점을 악용하는 겁니다.
금융위원회 등에 따르면 가장 많이 발생하는 스미싱 사건은 택배사칭이다. 지난 3년 간 발생한 스미싱 사건 중 84%는 택배를 사칭했다.
주로 ‘주소가 확인되지 않아 택배가 배송될 수 없으니 주소를 확인해달라’거나 ‘미수령 택배가 있다’는 내용으로 링크를 클릭하도록 유도합니다. ‘명절 선물로 모바일 상품권이 도착했다’든가 ‘추석 선물 50% 할인쿠폰 지급 완료’ 등의 문구도 자주 사용됩니다.
스미싱 문자의 대표적인 유형.

휴대폰 악성 앱 설치…소액결제 될 수도


이런 링크를 클릭하면 갤럭시 등 안드로이드 스마트폰에 앱을 설치하는 apk 파일이 다운됩니다. 휴대폰을 해킹하는 악성 앱이 설치되고, 주소록·문자 메시지·사진 등 개인정보는 물론 금융정보까지도 유출될 수 있습니다. 자신도 모르게 소액결제가 이뤄질 수도 있고요. 또 이렇게 유출된 정보는 보이스피싱 일당이 정교한 범죄를 저지르는데 쓰이기도 합니다.

모양이 그럴듯한 가짜 사이트로 개인정보를 빼내는 수법도 있습니다. 링크를 클릭하면 CJ대한통운 등 택배사 홈페이지나 구글, 애플, 네이버 등의 로그인 페이지를 똑같이 베낀 가짜 사이트로 연결되는 겁니다. 피해자가 이 사이트에 스스로 ID와 비밀번호 등 개인정보를 입력하면 그 정보가 사기일당에게 그대로 전달됩니다.
택배사 CJ대한통운 홈페이지를 사칭한 가짜 사이트. 사이트에 정보를 입력하고 아이콘을 클릭하는 사이 악성 앱이 다운될 수 있다.

○상품명·택배기사 이름...자세한 정보 있어야 정상


이런 스미싱 메시지, 어떻게 피해가야 할까요. 택배 사칭 문자는 언뜻 봐선 진짜 같지만 실제로는 정상적인 택배 안내 문자와 분명한 차이가 있습니다. 정상 메시지에는 상품명이 뭔지, 보낸 사람과 받는 사람이 누구인지, 도착 예정시간이 언제인지, 배송해주는 택배기사가 누구인지 등의 정보가 자세히 담겨있습니다. 반면 스미싱 문자에는 이런 정보가 전혀 담겨있지 않죠.

번호로 구분하기는 쉽지 않습니다. 스미싱 문자를 보내는 번호는 개인 휴대전화 번호인 ‘010’이나 서울 지역번호인 ‘02’로 시작하는 경우가 대부분입니다. 메시지 발신인으로 표시된 번호는 대부분 도용 번호로, 여기에 전화를 걸면 문자메시지와 상관없는 전혀 엉뚱한 사람이 받게 됩니다.

○이미 클릭했다면 118에 전화


만약 이미 링크를 클릭했다면 어떻게 대처해야 할까요. 우선 국번 없이 118, 한국인터넷진흥원에 전화하면 대처 방안을 안내해줍니다.

보다 구체적으로는, 본인이 사용하는 통신사에 바로 전화해봐야 합니다. 이미 본인 모르게 승인된 모바일 결제가 있는지 확인하고, 향후 모바일 소액결제를 차단해달라고 요청합니다. 또 자신의 전화번호가 도용될 수 있기 때문에 통신사에 번호도용 차단서비스도 신청합니다.

공인인증서도 폐기하고 새로 발급 받아야 합니다. 해킹으로 통장에서 돈이 빠져나가는 등 금전적인 피해를 입을 수 있습니다. 118번으로 전화해 ARS 서비스를 이용하면 안내에 따라 기존 공인인증서를 폐기할 수 있습니다.아이폰을 사용하는데 애플 아이디와 비밀번호가 유출됐다면, 애플 고객지원센터로 문의해 아이디를 정지합니다.

최예린 기자 rambutan@hankyung.com