진화하는 '스미싱 범죄' 개인정보 유출·금전 피해 속출
모르는 전화번호 클릭하지 말고 상대방 확인 습관 필요
포항시민 A씨는 최근 눈 깜짝할 사이에 70만 원을 사기당했다.
휴대폰이 망가졌다며 처음 보는 번호로 문자를 보낸 ‘딸’에게 도움을 주려다가 생긴 일이다. 실제로 딸 아이의 휴대폰 액정이 파손된 상태였던 게 기억난 A씨는 결국 교체할 때가 왔다는 생각이 들었고, 큰 의심 없이 신용카드와 신분증을 촬영해 ‘딸’에게 보냈다. 그 후 몇 분 만에 총 8회에 걸쳐 70만 원이 결제됐다.
A씨는 “당시에는 무슨 일이 벌어졌는지 이해할 수 없었다”며 “이상함을 느낀 카드회사 직원이 카드 사용을 일시 정지하지 않았더라면 더 큰 피해로 이어졌을 것이라고 생각하니 아찔하다”고 말했다. 이어 “피해를 신고하려 찾은 경찰서에서 비슷한 수법에 당해 1000만 원 가량의 피해를 입은 2명의 피해자도 있었다”고 덧붙였다.
개인정보를 악용한 ‘스미싱’이 여전히 기승을 부리고 있다. 수법도 다양하고 그럴듯해 ‘아차’하는 순간 피해자가 될 수 있다.
△날로 교묘해지는 스미싱.
스미싱(Smishing)이란 문자메시지(SMS)와 인터넷, 이메일 등으로 개인 정보를 알아내 사기를 벌이는 피싱(Phishing)의 합성어로 스마트폰의 소액 결제 방식을 악용한 사기수법이다.
비대면으로 이뤄지는 범죄의 대표격인 전화금융사기(보이스피싱)와 메신저를 이용한 피싱 범죄 등은 매년 증가하고 있다.
2일 경찰대학 치안정책연구소의 ‘치안전망 2021’ 보고서에 따르면 지난해 1~9월 기준 사이버 범죄는 전년 같은 기간 대비 29.5% 증가했다.
스미싱 범죄는 집계를 시작한 2019년 하반기(7월∼12월)에만 총 2756건 발생했고, 지난해는 1만2402건으로 전년 대비 4배 이상 늘었다. 검거율은 2019년 811건, 지난해 2873건으로 각각 29%, 23%다.
범행 대상도 과거엔 노인층이 주 범죄대상이었던 반면, 최근 수법이 다양화되면서 연령대를 가리지 않는다.
최근 5년간 발생한 보이스피싱 피해자 가운데선 50대(29%)와 40대(24%) 등 중년층의 비중이 가장 컸으며 20대 이하와 30대도 각각 17%, 14%에 달한다.
한국인터넷진흥원이 지난해 1∼12월 탐지한 스미싱 문자 또한 95만843건으로 전년 36만4586건보다 2.6배 늘어났다.
스미싱 방법 또한 △택배 관련 스미싱 △공공기관 사칭 스미싱 △지인 사칭·선물 관련 스미싱 △코로나19 사칭·긴급재난지원금 관련 스미싱 등 다양하다.
실제로 피싱 범죄는 일반 온라인 사기 범죄에 비해 수사가 까다롭다.
조직적으로 범행을 저지르고 관리를 하는 총책이 한국 경찰의 사법권이 미치지 않는 해외에 있을 가능성이 크기 때문이다. 경찰은 치안이 좋지 않거나 범행에 필요한 비용이 덜 드는 국가에서 선진국을 상대로 주로 범행하는 것으로 판단하고 있다. 특히, 국내에는 범죄 자금을 직접 운반하는 인출책뿐만 아니라 이를 관리하는 국내 총책이 따로 있고, 이보다 더 상위 조직원은 해외에 거주해 추적이 어려운 경우가 많다.
△스미싱 사기 예방법.
먼저 택배 조회, 모바일 상품권·승차권·공연예매권 증정 등의 문자 속 출처가 확인되지 않은 인터넷주소(URL)은 클릭하지 않아야 한다.
알 수 없는 출처의 앱이 함부로 설치되지 않도록 스마트폰의 보안 설정을 강화하고, 앱 다운로드 시 출처가 불분명한 URL에서 다운로드받지 않고 공인된 앱마켓을 통해 다운로드와 설치를 하는 게 권장된다.
보안강화와 업데이트 명목으로 앱에서 개인정보나 금융정보 등을 요구하는 경우에도 절대 입력하거나 알려줘서는 안 된다.
스미싱 의심 문자를 수신했거나 악성앱 감염 등이 의심되는 경우 국번 없이 118상담센터로 문의하면 24시간 무료로 상담받을 수 있다.
금융감독원은 자녀가 휴대전화가 고장 나거나 파손돼 전화 통화를 할 수 없다며 모르는 번호를 카카오톡에 추가해 달라고 하면 무조건 거절하라고 조언했다.
실수로 휴대전화에 악성 앱을 설치했다면 최신 버전의 모바일 백신 앱으로 검사해 삭제하고 휴대전화를 초기화한 뒤 휴대전화 서비스센터 등에 도움을 요청할 필요가 있다.
선물주문 악용 보이스피싱 사례도 있다. 선물주문 오류입금으로 인한 차액 재이체 요청 시 실제 이체내역 확인 등 사실관계를 재확인할 필요가 있다.
소액결제가 발생했다며 결제내역 확인을 유도하는 문자메시지에 담긴 URL도 의심해야 한다.
또 생일·명절 등을 축하하기 위해 지인이 보낸 문자도 마찬가지다.
본인 모르게 개설된 계좌, 대출이 있는지 확인하려면 계좌정보 통합관리서비스를 이용하면 된다. 금감원 금융소비자정보포털 파인에서 ‘개인정보노출 등록’을 신청하면 해제할 때까지 신규계좌 개설, 신용카드 발급 등을 제한할 수 있다. 한국정보통신진흥협회는 본인 모르게 휴대전화가 개통됐는지 확인하고, 온라인 가입 등을 차단할 수 있는 명의도용 방지서비스를 제공한다.
△스미싱 피해를 입었다면.
많이 당황스럽겠지만 스미싱 피해가 발생한 경우에는 우선, 악성 APK 파일을 삭제해야 한다.
악성 앱뿐만 아니라 해당 APK 파일까지 삭제해야 추후 악성 앱이 재설치 될 가능성을 예방할 수 있다.
APK 파일은 스마트폰에 기본적으로 설치된 ‘파일관리자’ ‘내 파일’ 등 파일 관리 애플리케이션에서 ‘Download 폴더’ 목록을 확인해 삭제할 수 있다.
또한, 스미싱 악성 앱에 감염되면 금전 피해가 발생할 수 있는 만큼 이동통신사에 모바일 결제내역이 있는지 확인해야 한다.
먼저 통신사 고객센터를 통해 최근 모바일 결제 내역을 확인하고, 모바일 결제 피해가 확인되면 피해가 의심되는 스미싱 문자 캡처해 스미싱 피해 신고 및 ‘소액결제 확인서’ 발급받는다.
소액결제 확인서를 지참해 관할 경찰서 사이버수사대 또는 민원실을 방문하면, ‘사건·사고 사실 확인서’를 발급받게 된다.
이후 사건·사고 사실 확인서 등 필요 서류를 지참해 통신사 고객센터 방문 또는 팩스나 전자우편을 발송하면 통신사나 결제 대행 업체에 사실 및 피해 내역 확인 후 피해 보상받을 수 있다.
악성 앱에 감염됐던 스마트폰으로 모바일 금융서비스를 이용했다면 공동인증서, 보안카드 등 금융 거래에 필요한 정보가 유출됐을 가능성이 있다. 따라서 해당 정보를 폐기하고 재발급을 받아야 유출된 금융 정보로 인한 2차 피해가 발생하는 것을 예방할 수 있다. 스마트폰에 공동인증서가 저장되어 있지 않았더라도 보안카드 등 금융 거래에 필요한 정보를 사진첩, 메모장에 기록했다면 폐기 처분하고 재발급 받아야 한다. 아울러, 해커는 악성코드에 감염된 스마트폰을 새로운 사이버 범죄 도구로 사용하기 때문에 주소록을 조회해 다른 사람에게 유사한 내용의 스미싱을 발송하는 등 2차 피해가 발생할 수 있으므로 주변 지인들에게 스미싱 피해 사실을 알려야 한다.