전 국민을 대상으로 긴급재난지원금이 지급되고 있다. 신종 코로나바이러스 감염증(코로나19) 위기 극복을 위해 정부가 내놓은 특단의 지원제도다. 가뜩이나 힘들었던 국민들에게 모처럼 웃음꽃이 피고 있다.
긴급재난지원금 신청 접수가 시작된 것은 지난 5월11일이다. 이에 따라 정부, 지자체, 카드사 등에서 관련 안내 문자를 발송하고 있다. 그런데 이때를 기다렸다는 듯 긴급재난지원금을 노린 보이스피싱 범죄자들이 등장했다. 이들의 대표적인 수법은 일명 ‘스미싱’이다.
스미싱은 주로 휴대전화 문자를 보내 해당 문자나 첨부된 인터넷 주소(URL) 링크의 클릭을 유도한다. 만약 의심 없이 클릭하면 악성코드가 설치돼 소액결제가 되거나 휴대전화에 저장된 연락처·사진·공인인증서 등 개인정보와 금융정보가 유출될 수 있다.
소상공인들 지원금도 노려
긴급재난지원금 안내를 빙자한 문자메시지도 절차 진행을 위한 앱 설치나 링크 클릭을 유도하고 있다.
발송 문자의 내용도 다양하다. ‘[국제발신] 위축된 경제위기 극복을 위해 지급하는 ‘재난지원금’ 신청하기▼http://***’ ‘긴급재난자금 상품권이 도착했습니다 https://***’ 등이 최근 확인된 스미싱 수법의 사례다. 문자에는 인터넷 주소(링크)가 있는 것이 특징이다.
무심코 링크를 클릭하면 자신의 개인정보나 금융정보 등이 보이스피싱 조직에게 넘어간다고 봐야 한다. 유출된 개인정보는 향후 친인척을 가장해 돈이나 문화상품권 PIN 번호 등을 요구하는 보이스피싱에 활용된다. 당장 피해가 발생하지는 않아도 언제든 이들의 먹잇감이 될 수 있는 것이다.
코로나19로 인해 소비심리가 위축되고 소상공인들은 경제적 어려움을 겪고 있다. 정부는 이런 상황을 감안해 소상공인에 대한 정부 지원 대출을 대폭 늘리고 있다.
보이스피싱 범죄자들에게는 이것도 좋은 기회가 되고 있다. 한 푼이라도 더 아끼려는 소상공인들을 저금리 대출로 전환해 주겠다며 유인하는 방식이다. 이들은 정부 지원 대출을 빙자한 문자메시지를 보내고 상담번호를 남긴다. 여기에 전화를 걸면 ‘신용등급 상향이 필요하다’는 명목으로 계좌이체를 요구하거나 원격제어 앱 설치를 유도한다. 이후 공인인증서, OTP(일회용 비밀번호) 등의 금융정보를 빼내 금원을 편취하는 수법이다.
피해자와 직접 만나 돈을 갈취하는 ‘대면 접촉형’도 있다. 이런 경우 대부분은 금융기관 직원을 사칭한다. 이들은 자신들이 빼낸 개인정보를 통해 돈이 필요한 사람들에게 전화를 건다. 피해자의 절박한 현실을 악용해 “정부지원금을 통해 저금리 대출을 해 주겠다”며 솔깃한 제안을 한다. 그러면서 “상환능력 확인을 위해 직접 만나자”고 한 후 돈을 갈취한다.
한 피해자의 경우 “기존 대출을 상환하면 마이너스 통장을 개설해 주겠다”는 금융기관 직원을 사칭한 전화에 속아 악성 앱을 설치했다. 이 앱을 통해 그의 개인정보를 확인한 보이스피싱 콜센터는 거짓 계좌를 보내 수백만원을 가로챘다.
이처럼 최근 코로나19와 관련, 정부 등에서 지원하는 긴급재난지원금이나 정부지원대출 안내 메시지를 가장한 보이스피싱 및 스미싱 범죄가 기승을 부리고 있다.
경찰은 정부지원대출 안내를 빙자해 계좌이체를 요구하는 사례, 원격제어 앱을 설치하도록 유도한 뒤 공인인증서, 일회용 비밀번호(OTP) 등 금융정보를 알아내 돈을 편취하는 사례 등도 주의해야 한다고 당부했다.
정부도 이와 관련해 대응하고 있다. 개인정보 불법 유포를 집중 모니터링하고 있으며 탐지된 개인정보는 ‘정보통신망’법에 따라 사업자와 협력해 삭제 조치를 하고 있으며, 개인정보 법령 위반사항이 발견되면 수사기관에 즉시 수사 의뢰하도록 하고 있다.
더욱 심각한 것은 최근 ‘보이스피싱 장비’ 밀수입이 급증하고 있다는 점이다. 인천본부세관에 따르면 올해 4월 이후 인천공항을 통해 들여오는 보이스피싱 기기의 적발 건수가 부쩍 늘어났다. 지난해부터 올해 3월까지와 비교하면 약 10배 이상 증가했다고 한다.
‘보이스피싱 기기’는 해외 범죄자가 인터넷 전화로 발신하면 국내 수신자에게는 불법으로 확보된 국내 전화번호로 바꿔 표시해 주는 일종의 중계기 역할을 하는 것이다.
한 번 당하면 회복 불능… “예방이 최선”
세관 측은 이런 현상에 대해 보이스피싱 조직이 정부 긴급재난지원금을 노린 것으로 보고 있다. 이들 장비 대부분은 해외직구(직접 구입)를 통해 들여오고 있다. 기존에는 보따리상이 직접 해외에서 가져왔으나 코로나19로 해외 출입국이 어려워지자 경로를 바꾼 것이다. 이에 따라 세관 측은 경찰 등 유관기관과 정보를 공유하며 단속을 강화하고 있다.
보이스피싱 피해는 한 번 피해를 당하면 사실상 회복 불능이다. 실제 피해 회복 비율이 0.5%인 것을 감안하면 갈취당한 돈을 찾는다는 건 현실적으로 어렵다고 봐야 한다. 이 때문에 피해를 당하지 않는 가장 최선의 방법은 ‘철저한 예방’이다.
먼저 현행 긴급재난지원금 관련 공공기관이나 지자체가 보내는 문자메시지에는 인터넷 주소 링크가 포함돼 있지 않다. 경찰은 “받은 문자메시지에 인터넷 주소가 포함돼 있으면 일단 스미싱으로 의심하고 절대 클릭하면 안 된다. 이럴 경우 문자에 첨부된 링크를 인터넷을 통해 검색해 본다거나 즉시 삭제해야 한다”고 당부하고 있다.
휴대전화 보안을 강화하는 방법도 있다. 문자에 포함된 악성 링크를 클릭했을 경우를 대비해 ‘보안 설정’에서 ‘출처를 알 수 없는 앱’을 ‘허용하지 않음’으로 설정하는 것이 좋다. 이렇게 하면 링크를 클릭한 후에 자신도 모르는 사이에 정체불명의 앱이 내 스마트폰에 설치되는 것을 막을 수 있다.
통신사 고객센터를 통해 소액결제 한도를 축소해 놓거나 차단해 놓는 것도 피해를 막거나 줄이는 방법 중 하나다. 그래도 불안하다면 스미싱 여부를 판별할 수 있는 관련 앱을 설치하는 것을 권하고 있다.
이들 앱은 스미싱 탐지기능이 제공되기 때문에 의심되는 휴대전화 문자가 오면 ‘위험 정보’가 뜬다. 이렇게 이중 삼중 보안을 강화하면 스미싱 사기 피해를 당할 확률이 훨씬 작아진다. 만약 피해를 당했을 경우에는 경찰청 사이버테러 대응센터(전화번호 182)로 신고한다.
“나는 절대 안 당한다”는 절대적 자신감이 가장 위험하다. 인터넷 사기나 스미싱 사기 피해자가 되지 않으려면 이와 관련한 예방이 최선이라는 것을 명심해야 한다. 새로 등장한 수법들은 ‘아차!’ 하는 순간에 당하는 게 특징이다. 말 그대로 ‘눈 감으면 코 베어가는 방식’이다.
국내 정치나 사회현상 악용한 ‘맞춤형 보이스피싱 수법’들
보이스피싱 범죄는 국내 정치나 사회현상에 민감하다. 이슈와 시의성을 이용해 신상품처럼 끊임없이 기발한 수법들을 개발하기 때문이다.
보이스피싱은 고도의 전문성이 필요한 지능범죄다. 전화를 거는 조직원들은 ‘심리 전문가’ 뺨칠 정도로 사람 속이는 데 능숙하다. 인간 본성에서 가장 취약한 곳을 찾아 겁을 주고, 믿음을 갖게 하면서 소중한 재산을 빼앗아간다.
최근 보이스피싱은 이전과는 다른 풍속도를 보여주고 있다. 신종 수법은 피해자들의 상상을 초월하며 ‘허’를 찌른다. 국내 이슈와 현안을 이용한 기발한 수법도 등장했다. 대학수학능력시험 때는 특정 학교의 수험생 명단을 입수한 후 “대학 입시에 추가 합격됐다”고 속여 등록금을 자신들의 계좌로 보내도록 유도한다. 대학수학능력시험 합격자가 발표되는 12월에 가장 극성을 부린다.
전화로 통화하고 얼굴을 직접 마주하는 ‘대면형 보이스피싱’ 피해도 크게 늘어나고 있다. 금융감독원 직원을 사칭한 19살 남성에게 결혼자금 1억원을 넘긴 피해 여성도 있었다. 정장을 입고 서류가방을 들고 금감원 직원을 사칭한 보이스피싱 행동책에게 꼼짝없이 속은 것이다. 위조한 가짜 신분증으로 피해자를 믿게 했다.
이뿐만이 아니다. 피해자에게 전화를 걸어 금융기관 직원을 사칭한 후 “개인정보가 유출돼 예금이 위험하다”며 돈을 인출하라고 했다. 그런 다음 돈을 집에 보관하도록 한 뒤 그 집에 침입해 훔치는 ‘절도형 보이스피싱’까지 등장했다.
미분양된 아파트를 ‘프리미엄’이 붙어 전매된 아파트라고 속여 비싼 값에 분양하거나, 분양권을 보유하지 않았으면서 계약서를 위조해 싼값으로 분양해 주겠다고 접근하는 방법도 있다.
2006년 중반 이후부터 시작된 중국발 보이스피싱의 전통적인 수법은 ‘국세청이나 건강보험공단 등’ 기관을 사칭하고, 피해자에게 “공공요금을 환급해 준다”며 현금인출기(ATM) 앞으로 달려가게 하는 것이었다. 금융기관이나 수사기관을 사칭해 피해자의 계좌가 범죄에 연루돼 안전 조치가 필요하다며 계좌에 있는 돈을 이체하도록 요구하는 일도 있었다.
전화로 공공기관(경찰, 검찰, 금융감독원 등)이나 금융기관(은행 등)을 사칭할 때는 의심부터 해야 한다. 이런 때는 전화를 건 사람이 어느 부서의 누구인지를 물어본 후 전화를 끊는다. 해당 기관에 문의해 전화를 건 당사자가 실제 근무하는지를 확인한 후 직접 통화해야 한다. 녹음된 멘트로 시작되는 전화도 마찬가지다. 열에 아홉은 사기 전화 아니면 영업용 전화다. 수사기관에서 녹음된 멘트로 전화하는 일은 없다. 공공기관이나 신용카드사 등에서도 대개 서면(우편)을 이용한다.
전화로 개인정보나 금융정보를 상세히 물을 때도 사기 전화일 확률이 높다. 공공기관이나 금융기관에서는 신분을 확인하기 위해 주민등록번호 뒷자리까지 물어보지는 않는다. ‘현금지급기 조작’을 지시하는 경우에는 100% 사기로 보면 된다. 은행 직원이나 타인에게 이야기하지 말라고 하는 것도 의심받을 행동이다.
휴대전화에 뜨는 상대방의 전화번호를 그대로 믿어서는 안 된다. 보이스피싱 조직들은 신뢰성을 높이기 위해 수사기관이나 공공기관인 것처럼 전화번호를 바꾼다. 일명 ‘전화번호 변작’ 수법이다. 사기범들은 얼마든지 원하는 전화번호로 바꿀 수 있다. 여기에는 국내 별정통신업체들이 관여돼 있다는 의혹도 제기된다.
자녀가 있는 부모에게 아들과 딸이 납치된 것처럼 꾸며 돈을 요구하는 수법은 고전 중의 고전이다. 그런데도 여전히 먹히고 있다. 자녀의 안전이 걱정된 부모들은 사기범의 요구에 따를 수밖에 없기 때문이다. 해외 유학생이나 군 복무 중인 자녀의 부모도 예외가 아니다.
자녀들과 바로 연락이 안 되는 특수 상황인 것을 알고는 납치나 사고를 빙자해 돈을 요구한다. 주로 50대 이상 장년층과 노년층을 대상으로 한다. 이런 전화를 받았을 경우에는 조직원의 요구에 즉각 대응하지 말고, 자녀의 소재를 파악하거나 수사기관에 신고해야 한다.
