범죄자 일당은 최씨의 이름으로 새로운 이메일 계정까지 만들었다. 비밀번호를 몰라 삼성 계정 로그인이 안되는 모습. /사진=독자 제공
범죄자 일당은 최씨의 이름으로 새로운 이메일 계정까지 만들었다. 비밀번호를 몰라 삼성 계정 로그인이 안되는 모습. /사진=독자 제공
"엄마, 나 핸드폰 액정이 아예 나갔어. 내 폰은 수리하는 중이라, 여기 수리해주시는 분 폰 빌려서 문자 보내. 휴대폰 보험 가입해둔 거로 보험금 받으려고 하거든. 우선 엄마 신분증 사진 먼저 찍어서 보내주고, 그다음 이 문자 아래 웹주소(URL)로 들어가서 애플리케이션(앱) 다운받고 1시간 정도 핸드폰 건드리지 말고 있어 봐."

지난 월요일인 4월 15일 오후 4시경. 경기 용인에 거주하는 50대 최모 씨는 모르는 번호로 이러한 문자를 받았다. 공교롭게도 최씨는 딸인 20대 김모 씨가 몇개월째 휴대폰 액정에 금이 간 채 사용했다는 걸 알고 있었다. 안 그래도 '휴대폰 좀 수리하라'며 잔소리를 해왔던 터였다.

'그러게 수리하라니까. 바빠서 막 쓰다가 떨어뜨렸나 보다.' 마침 그의 딸은 최근 대학원에 입학하면서 생애 처음 서울로 독립한 상황. 최씨는 걱정되는 마음에 아무 의심 없이 얼른 문자의 지시대로 했다.

그때부터 뭔가 이상했다. 휴대폰에선 검은색 화면만 나오고 켜지지도, 꺼지지도 않았다. 터치나 버튼 어떤 것도 말을 듣지 않는 완전한 '먹통' 상태였다.

4시간 뒤인 저녁 8시. 최씨는 남편의 휴대폰으로 수업을 마친 딸과 통화하며 "휴대폰은 이제 잘 되니? 그런데 내 폰이 좀 이상하다"고 말했다. 이어 딸인 김씨가 "휴대폰? 무슨 소리야. 나 오늘 종일 학교였는데"라는 말에 화들짝 놀라고 말았다.

김씨는 자초지종을 듣자마자 이상한 낌새를 차리고 경찰에 신고했다. 하지만 최씨의 통장에서 이미 3089만원이 빠져나간 상태였다.

휴대폰을 이용한 금융거래가 활발해지는 가운데, 한국인터넷진흥원(KISA)에 따르면 지난해 악성 문자를 통해 금융 사기를 시도하는 스미싱(Smishing) 사례는 50만3300건으로 1년 새 13배 급증했다. 스미싱은 문자메시지(SMS)를 이용해 피싱(Phishing·개인 정보를 낚아 올림)을 한다는 뜻이다.

최씨의 사례는 스미싱 중에서도 '자녀 사칭' 사기 사건에 해당한다. 최씨가 딸이 보낸 문자로 착각해 악성 앱을 다운받으면, 그때부터 피싱 범죄 일당이 최씨의 휴대폰을 원격조종할 수 있게 된다. 하드웨어는 그대로 최씨가 갖고 있더라도 내부 소프트웨어, 개인정보는 전부 범죄 일당이 다룰 수 있게 된다. 여기에 신분증 사진까지 있으니 비대면 시대엔 사실상 최씨의 휴대폰을 장악한 셈이다.
스미싱 일당이 최씨의 휴대폰과 신분증 사진으로 각 은행 사이트, 통신사, 불법 사이트 등에  본인인증을 시도한 내역. 15일 오후 4시30분께부터 8시까지 15회 이상 본인 인증 했다. /사진=독자 제공
스미싱 일당이 최씨의 휴대폰과 신분증 사진으로 각 은행 사이트, 통신사, 불법 사이트 등에 본인인증을 시도한 내역. 15일 오후 4시30분께부터 8시까지 15회 이상 본인 인증 했다. /사진=독자 제공
범죄 일당은 김씨가 경찰에 신고하기 직전까지 최씨 휴대폰으로 할 수 있는 모든 것을 했다. 휴대폰에 깔려있던 모바일 뱅킹 앱으로 인출할 수 있는 돈을 최대한 빼냈다. 인출 비밀번호를 모르니 신분증 사진을 이용해 비밀번호를 일부러 틀리게 누르고 다시 본인 인증을 해서 새로운 비밀번호로 바꿔 돈을 여러 번 인출한 것으로 추정된다. 본인 인증 확인 절차가 까다로운 적금 같은 계좌는 빼고, 일반 예금 계좌 2개에 있던 돈 3089만원을 인출했다. 사업을 하는 최씨가 직원들에게 급여를 주기 위해 잠시 옮겨놓았던 돈이 모두 털렸다.

4시간 새 최씨의 이름으로 알뜰폰도 3개나 개통했다. 보통 이렇게 개통된 대포폰은 또다른 스미싱 문자를 발송하거나, 소액 결제에 사용된다. 최씨의 이전 이메일 계정에도 모두 접근해 추가로 구글 이메일과 삼성 계정도 만들었다. 각 계정에 등록돼있는 간편 결제 기능에 등록된 카드 정보를 알아내기 위해서다. 불행 중 다행인 건지 최씨는 간편 결제 기능을 사용하지 않아, 앞선 계좌 피해 외 별도 피해는 없었다.

전화 한 통 없이, 최씨의 신분증 사진만으로 최씨의 휴대폰을 원격조종하면서 이 모든 걸 할 수 있다. 김씨는 "경찰은 '이 정도면 빠르게 알아차리고 신고한 것'이라고 했다"며 "특히 이런 스미싱 문자는 금요일 오후에 많이 발생한다고 하더라"고 전했다. 전자기기가 익숙하지 않은 노년의 피해자는 단순히 휴대폰이 고장 난 줄 알고 월요일 아침까지 기다렸다가, 휴대폰 대리점에 먹통 된 휴대폰을 들고 가서야 스미싱 범죄에 걸려들었다는 사실을 알게 된다는 것. 이렇게 2~3일씩 개인정보가 무방비로 노출되면 범죄 일당은 모든 수단을 동원해 피해자의 정보와 재산을 털어간다.

경찰에 신고한 이후부터 은행 지급 정지 처리, 개인정보 유출 피해 조회, 피싱수사팀에 사건 접수, 알뜰폰 통신사 고객센터를 통한 개통 건 해지, 휴대폰 번호 변경, 주민등록번호 변경 신청, 금융 피해 구제 신청, 각종 온라인 계정 해지까지 모든 걸 피해자가 도맡아야 한다.

김씨는 어머니를 모시고 이 절차를 처리하면서 이틀 동안 밤을 꼴딱 새웠다. 이번주 내내 경찰과 은행을 오가며 김씨는 "'50, 60대 부모님이 피싱 사기를 당해 20, 30대 자녀분들과 함께 방문하는 경우가 잦다'는 말을 많이 들었다"고 전했다.

증거 수집도 쉽지 않다. 휴대폰이 완전히 마비돼, 휴대폰 메인보드를 교체하지 않으면 조작이 안 되는 상황이었기 때문이다. 메인보드를 바꾸면, 기존에 있던 모든 기록은 사라진다. 스미싱 일당이 보낸 문자도 사라진다는 소리다. 김씨는 "이렇게 앱으로 휴대폰을 마비시켜 원격 조종하는 건 증거 인멸 목적도 있는 것"이라며 "경찰도 범죄 일당을 잡거나 돈을 돌려받을 수 있는 가능성에 대해 회의적으로 말했다"고 토로했다.
사건을 접수하면서 조회해본 최씨 명의의 알뜰폰 개통내역. 사건 발생 당일 3개의 대포폰이  최씨 명의로 순식간에 개통됐다. 최상단의 기존 휴대폰 번호를 제외하고 모두 스미싱 일당이 범죄 목적으로 개통한 것이다. /사진=독자 제공
사건을 접수하면서 조회해본 최씨 명의의 알뜰폰 개통내역. 사건 발생 당일 3개의 대포폰이 최씨 명의로 순식간에 개통됐다. 최상단의 기존 휴대폰 번호를 제외하고 모두 스미싱 일당이 범죄 목적으로 개통한 것이다. /사진=독자 제공
가장 어려운 건 모든 과정을 피해자가 스스로 찾아서 해결해야 한다는 점이었다. 예컨대 일부 알뜰폰 통신사는 비대면으로 손쉽게 휴대폰을 개통할 수 있음에도 불구하고, 평일 고객센터 운영시간에만 해지가 가능하다던가 소액 결제 내역을 즉각적으로 파악할 수 없는 등 피싱 범죄에 대한 대응법이 부족했다.

경찰청의 '최근 3년간 통신사별 대포폰 적발 현황' 자료에 따르면 지난해 전체 대포폰 적발건수 3만577건의 75.0%가 알뜰폰을 취급하는 가상이동통신망사업자(MVNO)에서 집계됐다. 대포폰 4대 중 3대가 알뜰폰인 셈이다.

이어 김씨는 "각종 금융 정보가 담긴 온라인 계정들도 비밀번호를 알아야만 탈퇴가 가능한 식으로 명의도용 혹은 피싱 범죄에 대한 매뉴얼이 미비했다"고 전했다.

현재 최씨의 사건은 거주지 인근 파출소를 통해 용인동부경찰서 피싱수사팀에 접수됐다가 3000만원 이상의 금융 피해가 발생한 것이 확인돼 경기남부경찰청으로 이관된 상태다. 김씨에 따르면 어머니 최씨는 자책감과 두려움에 시달려 새로 바꾼 휴대폰을 만지지도 못하는 상황이다. 김씨는 "수사 기관, 금융 기관 등에서 '이거 전형적인 수법인데 모르셨어요?'라며 피해자 탓을 하는 말을 몇 번이나 들었다"며 "이런 말들이 피해자를 더 위축되게 한다"고 지적했다.

금전적 피해를 떠나, 최씨는 모든 개인정보가 유출돼 휴대폰 번호, 주민등록번호까지 모두 변경해야 하는 상황이다. 김씨는 "뛰는 수사기관, 금융기관, 통신사 위에 날아다니는 범죄 일당이 있다"며 "이번 일을 겪고 나니 휴대폰을 통해 모든 금융 거래를 하는 2030세대가 피싱 범죄에 속으면 정말 '끝'이겠다"라는 생각이 들었다"며 주의를 당부했다.

김영리 한경닷컴 기자 smartkim@hankyung.com