이수남(가명)씨도 아들을 사칭한 사기범한테 당했다. 평소 스마트폰 사용이 서툰 자신을 위해 아들이 스마트폰의 어플을 직접 설치해주는 경우가 많았다. “내가 보내준 링크를 클릭해서 어플리케이션(응용프로그램) 좀 설치해.” 아들한테 온 문자메시지를 받고 평소처럼 이씨는 시키는 대로 어플을 설치했다. 사기범들은 ‘팀뷰어 퀵서포터’와 같은 원격제어 앱을 설치한 뒤 휴대폰의 모바일뱅킹 앱을 해킹했고, 이씨 명의의 계좌에서 돈을 빼내갔다. 심지어 신분증과 계좌번호를 이용해 보험사 약관대출을 통해 수천만원을 빼돌리기도 했다.
|
◇자녀에 취약한 부모 노린다‥신종 스미싱 수법 등장
정부의 전방위 압박 등으로 전체 전화사기는 올 들어 줄어드는 추세다. 하지만 스미싱(smishing)만큼은 예외다. 탐지건수나 사기 피해가 더 늘었다. 사기범 입장에서는 스미싱은 ‘가성비’가 뛰어난 수법이다. 전화번호만 알면 다량의 문자를 뿌릴 수 있기 때문이다. 개인정보 가운데 전화번호는 구하기도 쉽다. 실제 코로나19 관련 긴급재난 지원금을 사칭한 스미싱도 올 들어서만 1만건이 넘었다.
코로나 19 사태 이후 식당의 수기 출입처 명부 역시 이들이 노리는 개인정보다. 피해금액이 소액이다 보니 피해자들의 경계심도 상대적으로 약하다. 코로나19 사태 이후 방역문자나 재난지원금을 빌미로 불특정 다수에게 일종에 미끼를 던지는 일이 빈번해졌다.
스미싱의 1차 목표는 돈이다. 주로 소액결제를 노린다. 최근에는 돈을 강탈하는 것을 넘어 피해자의 신용 혹은 개인정보를 노리는 경우가 많다고 한다. 직접적으로 자금이체를 유도하기보다 주민등록번호나 계좌번호 같은 몇 개의 정보만 확보해 결합하면 범죄용 계좌개설이나 고강도 금융사기에 활용할 수 있기 때문이다.
최근에는 가족을 사칭해 부모에게 접근한 후 개인(신용)정보를 빼내고 원격조종 앱 설치를 유도하는 신종 스미싱 수법이 활개치고 있다. 얼마 전까지 카카오톡 등 SNS를 통해 자금 이체를 유도하는 피해사례가 전파되자, SNS 대신 문자를 피해자에게 보내는 식으로 우회하는 것이다.
스미싱과 원격조정앱 같은 악성앱과 결합하면 가공할만한 위력을 가진다. 사기범이 원격조종앱(악성앱)을 통해 피해자의 모바일앱에 접근하고, 계좌 개설 등 금융회사가 제공하는 안내문자 등도 가로챈다. 심지어 피해자가 금융회사에 전화하더라도 보이스피싱 조직으로 통화가 연결되는 수법을 쓰기도 한다.
전화 가로채기란 스마트폰에 악성 앱이 깔린 사용자가 금융회사·수사기관 등의 대표 전화번호로 통화를 시도하면 보이스피싱 조직에 자동으로 연결되는 것을 의미한다. 피해자가 눈 뜨고 당할 수 있다. 실제 이런 식으로 탈취한 신분증과 신용정보를 활용해 금융회사로부터 피해자 명의 카드론, 약관대출 등 대출을 받고, 비대면으로 개설한 계좌에 이체한 경우도 적발됐다.
금감원 관계자는 “스미싱은 피해 규모로는 전체 전화 금융사기의 10%에 불과하지만, 접점 면에서 대부분 국민이 전방위 노출돼 있다고 보면 된다”면서 “몇 개의 정보가 세나가면 그걸 통해 큰 피해를 일으킬 수 있다”고 걱정했다. 이어 “사기범이 정보를 많이 알수록 정교하게 사기를 칠 수 있다”면서 “우리 정서상 자녀를 사칭하는 범죄에 취약한 편인데, 개인정보가 노출되면 다양한 사기에 악용될 수 있다”고 경고했다.
◇갈수록 대담해지는 보이스피싱…대면편취형도 급증
전통적인 보이스피싱 수법도 갈수록 교묘하고 대담해지고 있다. 얼마 전 검사실을 꾸민 뒤 화상 통화를 하는 수법으로 322명의 피해자로부터 약 140억원을 뜯어낸 일당이 경찰에 검거되기도 했다. 검사를 사칭하는 전형적인 보이스피싱 수법을 썼지만, 검사실과 똑같은 방을 차려 피해자와 직접 영상통화를 한 것으로 알려졌다. 이 조직은 베이징, 상하이 등 중국 내 7개의 도시에 사무실을 두고 범행을 저질렀으며, 확인된 조직원만 107명이다. 범죄 스케일이 일반인의 상상을 뛰어넘는 수준이라는 게 금융권의 평가다.
최근 법상 전기통신금융사기에 해당하지 않는 ‘대면편취형 금융사기’도 증가 추세다. 작년 1~8월 1879건에 불과했던 편취형 금융사기는 올 1~8월 8176건을 급증했다.
대면편취형 보이스피싱은 불특정 다수에게 일당이 전화를 걸어와 금융감독원, 수사기관, 정부기관 등으로 속여 ‘당신 금융계좌가 범죄에 이용되었으니 피해금액을 상환하라’고 속이는 방식이 대표적이다. 이후 만남을 유도한 뒤 피해자에게 위조한 신분증과 공문 등을 제시해 안심시키면서 금품을 갈취하는 수법이다.
최근 비대면 금융이 활성화하고 오픈뱅킹이나 마이데이터 시대가 본격화하면 스미싱 피해가 눈덩이처럼 커질 수 있다는 우려도 나온다. 앱 하나로 모든 은행계좌의 출금과 이체 거래가 가능해, 한번 꾐에 넘어가면 모든 계좌가 피해를 볼 수 있다.
정부도 강력한 대책을 준비하고 있다. 보이스피싱을 당한 사람의 고의나 중과실이 없는 한 원칙적으로 금융회사가 피해를 물어주도록 할 계획이다. 해킹 등으로 인한 금융사고는 전자금융법에 따라 금융사가 배상 책임을 지는데, 보이스피싱에도 같은 원칙을 적용한다는 얘기다.
검찰과 경찰, 금융감독원 등은 연말까지 보이스피싱 범죄에 대한 일제 단속에 나선다. 정부는 보이스피싱과 유사 금융사기 범죄의 법정형을 대폭 강화하는 방안을 검토하고 있다. 송금·인출책과 같은 단순 조력 행위에 대한 처벌 규정을 마련하기로 했다.