메시지 이용한 휴대전화 결제사기 스미싱 방법 다양화
문자 내 인터넷 주소 클릭 금지, 한도 조절 등 예방 필요

지난해 8월. 32세 신모씨는 친한 후배의 결혼 소식을 접했다. 후배는 직접 청첩장을 보내준다고 했으나 지방 출장이 잡힌 까닭에 신씨는 모바일로 청첩장을 보내라고 말했다. 우연히 그날 저녁 문자메시지로 모바일 청첩장이 도착했고 인터넷 주소를 클릭하자 웨딩사이트와 앱 설치 안내창이 열렸다. 신씨는 ‘요즘은 앱으로 청첩장을 보는구나’라고 생각하며 의심 없이 앱을 다운받았다. 실행 된 앱이 제대로 작동하지 않았지만 인터넷 접속 환경이 좋지 않은 이유 때문이라고 생각한 신씨는 며칠 뒤 결혼 장소와 시간을 묻기 위해 후배에게 직접 전화를 걸었다. 그러나 후배는 아직 청첩장을 보내지 않았다고 대답했다. 뒤늦게 소액결제 내역을 확인한 결과 30만 원이 결제된 것을 알 수 있었다.

클릭하는 순간 자동 결제

문자메시지(SNS)를 이용해 개인정보/금융정보를 낚는다(fishing)의 합성어 ‘스미싱(Smishing)’.
스미싱은 ‘문자메시지 내 인터넷 주소 클릭→스마트폰 악성코드 설치→범인에게 소액결제 인증번호 전송→범죄자가 게임아이템이나 사이버머니 구입→소액결제 대금청구 방식’으로 진행되는 신종금융사기 수법중 하나다. 한때 수많은 피해자를 만들어냈던 보이스 피싱은 올해들어 피해자가 급격히 줄고 있는 반면 스미싱 사기 피해는 증가했다. 지난해 보이스 피싱 피해 사례가 4천여 건인데 반해 스미싱 피해 건수는 무려 2만8000건을 넘어섰다.

박모(43)씨는 며칠 전 휴대전화 문자메시지로 온 피자 무료 쿠폰을 눌렀다가 15만 원이 결제됐다. 뒤늦게 통신사, 경찰서, 게임업체 등에 전화해봤지만 15만 원을 돌려받지 못했다. 지모(28)씨는 휴대전화 연체금 법원통지서 문자메시지를 보고 놀라서 링크를 눌렀다가 10만 원이 결제 됐다. 지씨는 “마침 휴대전화 요금이 연체돼서 너무 놀랐다”라며 “사기인지 실제인지 문자만으로는 구별이 안 된다”고 한탄했다. 이렇듯 처음에는 문자메시지 내 링크를 클릭해 앱을 다운받아야만 결제가 이뤄졌다면 지금은 링크 클릭만으로도 결제가 이뤄져 피해를 입게 된다. 링크를 클릭하는 순간 자동으로 결제가 되는 것이다.

스미싱 피해가 급격히 증가하자 경찰과 지자체에서는 스미싱 예방에 대한 홍보를 시작했다. 이제는 많은 사람들이 확인되지 않은 번호로 발신된 문자메시지의 링크를 쉽게 클릭하지 않는다. 그럼에도 불구하고 스미싱 피해자 수가 지속적으로 늘고 있는 이유는 무엇일까. 그 이유는 바로 스미싱 방법이 다양해졌기 때문이다. 모르는 사람이 보내는 문자메시지의 링크를 확인할 수밖에 없게 만드는 스미싱의 방법은 어떤 것들이 있을까.

대학입시 결과에서 장성택 처형 동영상까지

위 같은 신씨의 사례처럼 모바일 청첩장과 돌잔치 초대장이 있다. 지난 가을에 유독 많은 피해자가 발생했다. 자신의 휴대전화 목록에 저장돼 있지 않더라도 연락이 끊긴지 오래된 동창이나 옛 회사동료들이 보내는 경우도 있기 때문에 클릭을 유도한다. 택배 배송 조회도 많은 피해자를 만들어내는 방법 중 하나다. 택배를 시킨 경우 기사의 번호가 저장돼있지 않다는 점을 노린 것이다. 피자·치킨·햄버거 무료 쿠폰은 의심 없이 누르는 사람들이 많다. 통신사, 카드사 등 다양한 업체에서 이벤트로 많이 진행되기 때문에 ‘당첨됐나보다’하고 가볍게 생각하는 경우가 많다. 데이터 사용요금이 초과됐다는 수법도 있다. 요금 확인을 위해 링크를 클릭하도록 유도한다. 법원 등기 확인, 건강검진 등 시기를 가리지 않는 수법이 있는 가 하면, 그 시기에 딱 맞는 사기 방법도 있다.

지난 4월에는 북한의 전쟁위협을 이용한 사기 수법이 등장했다. “북한이 연평도에 폭탄을 발사해 62명이 숨졌다”는 글과 함께 동영상 인터넷 주소를 첨부한 것이다. 이 동영상 주소를 클릭한 사람들은 소액결제로 25만 원의 피해를 입었다.
뿐만 아니라 지난달에는 “북한 장성택 처형 장면 보기”라는 사기 문자메시지가 발송됐다. 연평도 영상과 같은 수법이며 동영상 주소 클릭 시 마찬가지로 25만 원이 결제됐다. 연말이 다가오자 연말정산 환급금 조회와 새로 바뀌는 도로명 주소 확인, 교통법 위반 문자메시지가 주를 이뤘다.

최근에는 지인을 가장한 새해인사 카드 인터넷 주소 문자와 대학입시 결과, 입학금 통지 등과 같은 사기 문자가 극성을 부리고 있다. 이에 대해 경찰청 사이버테러대응센터 관계자는 “출처가 불분명한 문자메시지의 링크주소는 물론 지인에게서 온 문자메시지도 인터넷 주소가 포함돼있다면 클릭 전 확인이 필요하다”고 말했다.

피해 입은 즉시 경찰서에 가야

스미싱에 사용된 변종 악성코드는 소액결제 인증번호를 가로채는 것에 그치지 않는다. 최근에는 피해자 스마트폰에 저장된 주소록 연락처, 사진(주민등록증·보안카드 사본), 공인인증서, 개인정보 등까지 빼내 더 큰 범죄로 이어질 가능성도 있다.
경찰 관계자는 “스미싱 피해를 입은 즉시 경찰서에서 ‘사건사고 사실 확인원’을 발급받아 이동통신사와 게임사, 결제대행사 등 관련 사업자에게 제출해야 한다”며 “또 악성파일 삭제를 위해 스마트폰 내 ‘다운로드’ 앱에서 확장자명이 apk인 파일은 삭제하는 것이 좋다”고 말했다. 사건사고 사실 확인원을 제출하면 이동통신사에서 피해액수를 보상받을 수 있다.

그러나 피해를 입은 모든 사람들이 보상을 받는 것은 아니다. 박모(23)씨는 휴대전화 데이터 요금 관련 스미싱 피해를 입었다. 소액결제 확인 문자를 받고 당황한 박씨는 설치한 앱과 문자메시지를 삭제했다. 뒤늦게 스미싱 피해 보상 방법을 알게 된 박씨는 경찰서를 찾았지만 증거 불충분으로 ‘사건 확인서’를 받을 수 없었다. 이에 경찰 관계자는 “스미싱 피해를 입은 경우 해당 문자메시지와 앱을 삭제하지 말고 바로 경찰서로 와 신고를 해야 한다”고 말했다. 

이지혜 기자 jhooks@ilyoseoul.co.kr

이지혜 기자 다른기사 보기