새로운 수법에 당할 뻔…진화한 피싱 사기에 발칵

"새로운 수법에 당할 뻔"…진화한 피싱 사기에 '발칵' [이슈+]

김영리 기자

입력2024.04.01 20:55 수정2024.04.01 21:47

지난해 12월 1인당 보이스피싱 피해액 3094만원
"사회공학적 공격, 금융취약계층 당하기 십상"

"카드 개설 확인 안내. 고객님, **1611 카드 개설 확인 아니시면 신고 바랍니다."

60대 이모 씨는 지난달 28일 이러한 문자를 받았다. 해당 금융사의 카드는 발급하지 않았지만, 마침 타 금융사의 신용카드를 갱신한 뒤였다. "문자에 포함된 웹주소(URL)를 누르지 말라"는 스미싱 피해 수법은 익히 들어 알고 있었다. 그런데 이 문자는 URL도 없고, 국외 번호도 아니며 심지어 발신 번호도 여느 고객센터 번호와 비슷한 '1899'로 시작했다. 순간 '내가 이번에 이 카드사에서 카드를 새로 발급했던가' 착각할 뻔했다.

수상쩍게 여긴 이 씨는 문자가 온 번호가 아닌 해당 금융사의 고객센터 번호를 다시 검색해 문의했다. 상담원으로부터 새롭게 발급된 카드가 없다는 사실을 확인받았다. 상담원은 이 씨에게 "요즘 이런 내용으로 들어오는 문의가 많다"며 "스미싱 문자가 온 번호로 다시 전화를 걸지 말라"고 당부했다.

해당 스미싱 문자와 관련, KB국민카드 측은 "당사는 1588-1688인 대표 번호로만 카드 발급 안내 문자를 보내고 있다"며 "이러한 스미싱 문자는 해당 번호로 발신을 유도하는 목적이므로 대표번호 외의 번호로 오는 문자에 대해서는 발신하지 말고 반드시 삭제해야 한다"고 당부했다. 이어 "피싱 피해 고객 최소화를 위해 안내 메시지로 주의사항과 피싱 사기 사례를 지속해 안내하고 있다"고 덧붙였다.

잠잠했던 피싱 사기가 지난해부터 다시 활개를 치는 모양새다. 특정 수법이 알려지면 이후에는 더 교묘해지고 정교해졌다. 국외 번호로 연락이 와 알아채기 쉬웠던 보이스피싱은 이제 국내 번호로 전화가 걸려 오고, "문자의 URL을 누르지 말라"고 홍보하니 URL은 없애고 실제 고객센터와 유사한 번호로 문자가 온다.

보이스피싱 범죄 시작점은 스미싱 문자다. 앞선 사례처럼 카드가 발급됐다거나, 교통법 위반으로 과태료 통지서를 확인하라는 등의 내용으로 피해자를 당황하게 만든다. 이어 문자 속 URL 접속을 유도하거나, 해당 번호로 다시 전화를 걸게 한다. 스미싱 문자를 발송한 일당은 이런 수법으로 피해자의 개인정보를 빼돌린다. 이렇게 모은 개인정보는 정교한 보이스피싱을 위한 '재료'가 된다.

최근 스미싱 문자 발송량과 보이스피싱 피해액 관련 통계를 살펴보면 두 사기 행각 간 유기성을 확인할 수 있다. 지난달 31일 한국인터넷진흥원(KISA)에 따르면 지난해 스미싱 문자 탐지 건수는 50만3300건으로 2022년 3만7122건에서 15배 가까이 증가했다. 특히 지난해 하반기부터 급증했다. 10월부터 5만건을 넘어서더니 12월에는 9만4906건을 기록했다. 12월의 경우 전년 동월 대비 무려 116배 늘어난 수치다. 급기야 올해 1월에는 15만4706건을 기록했다. 스미싱 문자 공격이 사그라지지 않고 있다.

스미싱 문자의 경우 2020년 95만843건에서 2021년 20만2276건으로 크게 감소했고 2022년에는 더 감소했지만 지난해 큰 폭으로 다시 늘어났다. KISA 관계자는 "과거 택배 사칭 문자가 절반 이상이었으나 지난해에는 공공기관이나 지인을 사칭하는 경우가 급속도로 늘었다"고 전했다.

보이스피싱 범죄도 지난해 말부터 급증했다. 경찰청에 따르면 보이스피싱 피해액은 12월에 연간 최고치인 561억원을 기록했다. 같은 해 1월 257억원과 비교하면 2배 이상 늘어난 수치다. 발생 건수는 1813건으로, 1인당 피해액으로 환산했을 때 무려 3094만원에 이른다. 관련 통계 집계 이래 최대치다.

이에 경찰은 보이스피싱(전기통신금융 사기)을 비롯해 미끼성 스미싱 문자도 '10대 악성 사기'에 포함해 대응에 나섰다. 경찰청은 올해 2월 보이스피싱 관련 범죄에 대응하기 위해 전담부서 '피싱범죄수사계'를 신설했고, 3월부터는 보이스피싱·스미싱을 겨냥한 신규 특별 단속을 진행했다. 각 경찰서 수사과에 '악성사기 추적팀'도 설치해 보이스피싱을 비롯한 사기 피의자에 대한 집중적인 검거 활동에도 나설 계획이다.

염흥렬 순천향대 정보보호학과 교수는 "보이스피싱, 스미싱 일당이 개인정보를 수집하기에 더 편안한 환경이 조성됐다"며 "국제 전화 발신이나 문자 발송도 모두 비용이 드는데 이 비용이 저렴해지면서 과거보다 범죄를 저지르기 쉬워졌다"고 진단했다.

그러면서 "보이스피싱 일당은 설비나 인원을 대규모로 구축하고 있기 때문에 소위 '투자 대비 수익'이 나야 한다고 생각할 것"이라며 "사후적으로 피싱 사례를 홍보한다고 해도 더 고도화된 사기 수법이 생길 수밖에 없는 구조"라며 주의를 당부했다. 이어 "이러한 사회공학적 공격은 금융 취약계층, 인터넷 취약계층이 쉽게 당한다"면서 "피해자에 대한 보상에 관해서도 사회적으로 논의를 해야 할 시점"이라고 말했다.

김영리 한경닷컴 기자 smartkim@hankyung.com

관련 뉴스

1

현직 경찰이 보이스피싱 피의자에 수사정보 유출

현직 경찰관이 경찰 내부망에 접속해 보이스피싱 범죄 관련 수사정보를 알아내 피의자에게 유출한 혐의로 체포됐다.연합뉴스에 따르면 충북경찰청 형사기동대는 1일 서울 강북경찰서 형사과 A경위를 공무상 비밀 누설 등의 혐의로 체포해 피의자와의 관계 및 금전거래 여부를 조사하고 있다. 앞서 보이스피싱 사건을 수사하던 충북청 소속의 한 경찰서는 현직 경찰이 수사 정보를 유출했다는 첩보를 입수해 충북청으로 이첩했다.충북청은 이날 강북서를 압수수색하고 A경위를 붙잡았다.한경우 한경닷컴 기자 case@hankyung.com
2

"택배 대신 공공기관 사칭"…KISA, 스미싱 범죄 급증

문자메시지로 수신자를 속이는 스미싱 범죄가 증가세로 돌아섰다.31일 한국인터넷진흥원(KISA)에 따르면 지난해 스미싱 문자 탐지 건수는 50만3300건으로 집계됐다. 2020년 95만843건, 2021년 20만2276건, 2022년 3만7122건으로 최근 몇 년 동안 감소세가 이어지다 다시 큰 폭으로 늘어난 모습이다.유형별로는 공공기관과 지인을 사칭한 스미싱 문자가 급증했다. 건강검진 진단 결과나 교통 법규 위반 과태료 안내를 위장한 공공기관 사칭 문자가 전체 탐지 건수의 69.5%(35만10건)였다. 청첩장으로 위장한 지인 사칭 문자도 5만9565건으로 11.8%에 달했다. KISA 측은 “원래 택배 사칭 문자가 절반 이상이었는데 지난해 트렌드가 확 바뀌었다”고 설명했다.강경주 기자 qurasoha@hankyung.com
3

"사기 범죄 결백하다면 현금 출금해야" 보이스피싱 수거책 구속

전국을 돌며 보이스피싱 피해자로부터 돈을 받은 범인이 붙잡혔다. 청주 흥덕경찰서는 28일 보이스피싱 피해자들로부터 억 단위의 금액을 가로챈 혐의로 수거책 20대 A씨를 구속했다고 전했다. A씨는 지난달 20일부터 27일까지 서울, 수원, 과천, 청주 등지에서 4명의 보이스피싱 피해자들로부터 현금 약 1억4000만원을 건네받은 혐의를 받는다.A씨는 지난달 22일 오후 2시쯤 청주시 오송읍의 한 공원에서 피해자 B씨로부터 현금 5000만원을 건네받았다가 다음날 피해 사실을 뒤늦게 인지한 B씨의 신고로 현장 CCTV 영상을 확인한 경찰에 검거됐다.A씨는 구직 사이트에서 건당 10만원을 준다는 게시물을 보고 범행에 가담했으며, "고용주가 시키는 대로만 했을 뿐 불법적인 일이라는 것은 전혀 인지하지 못했다"고 진술한 것으로 전해졌다.이 보이스피싱 조직은 검찰을 사칭하며 "사기 사건에 당신의 계좌가 연루됐다. 당신이 가담하지 않았다는 것을 확인하기 위해 현금의 일련번호를 일일이 확인해야 하니 모조리 출금해 직원에게 직접 전달해야 한다"고 피해자들을 속인 것으로 파악됐다.경찰은 A씨가 돈을 건넬 때 만난 다른 조직원을 추적하는 한편 A씨가 이들과 소통할때 사용한 카카오톡과 텔레그램 계정을 분석해 공범들에 대한 추가 수사를 이어가고 있다.김경림 키즈맘 기자 limkim@kizmom.com