스미싱 당했다, 뭣부터 해야 돼?…이 순서대로 하세요 [여기 잇(IT)슈]
# 부산 사상구에 거주하는 자영업자 A씨는 문자메시지에 첨부된 인터넷주소(URL)를 눌렀다가 하루 아침에 3억8000만원을 잃었습니다. 택배 수신주소가 잘못됐다며 정정을 요구한 문자메시지에 깜빡 속아넘어간 겁니다. 링크를 클릭하자 원격제어 앱이 설치됐고 이후 휴대전화가 먹통이 됐습니다. 스미싱범들은 휴대전화에 저장된 A씨의 운전면허증 사진 등 개인정보를 탈취해 일회용 비밀번호 생성기인 OTP를 발급받았습니다. 이후 스마트뱅킹을 통해 8시간에 걸쳐 수차례 예금을 인출해간 겁니다.
스미싱 피해규모가 갈수록 커지고 있습니다. 문자메시지(SMS)와 ‘개인정보 낚시’인 피싱(Phising)의 합성어인 스미싱은 악성 앱 설치를 유도하는 문자메시지를 대량으로 발송해 금융정보 등을 탈취하는 사기 수법입니다. 정희용 국민의힘 의원실이 경찰청으로부터 제출받은 자료에 따르면 2018년 2억3520만원이던 스미싱 피해액은 2021년 49억 8550만원으로 21.2배, 피해자수는 2018년 187명에서 2021년 1321명으로 7.1배 늘었습니다.
클릭 한번으로 평생 모은 재산을 날릴 수 있는 무서운 범죄입니다만, 막상 닥쳤을 때 뭣부터 해야 할지 머릿속이 혼란스럽기만 합니다. 한국인터넷진흥원과 금융감독원의 도움말을 토대로 스미싱 대처법을 중요한 순서대로 정리했습니다.
1단계 : ‘비행기 탑승모드’로 전환하세요
순식간에 4억원을 잃은 A씨 사례처럼 휴대전화가 갑자기 먹통이 되거나, 스스로 작동하면 해킹을 의심해야 합니다. 인터넷보안업체 이스트시큐리티에 따르면 해킹 의심증상으론 ▲휴대전화가 스스로 작동 ▲평소와 달리 빨리 닳는 배터리 ▲발신한 적 없는 문자발송과 전화발신 ▲스마트폰 작동오류와 파일손상 등이 있습니다.
이런 증상이 나타나면 무엇부터 해야 할까요? 김은성 한국인터넷진흥원 탐지대응팀장은 “신고에 앞서 휴대전화를 비행기 모드로 전환하고 와이파이 기능을 끄는 게 우선”이라고 조언합니다. 인터넷 통신을 차단해 해킹범이 휴대전화를 원격으로 제어하지 못하도록 막아야 한다는 설명입니다. 이마저도 불안하다면 휴대전화 전원 자체를 끈 뒤 제조사 서비스센터로 찾아가 도움을 받는 것도 방법입니다.
2단계 : 악성 앱을 찾아 삭제하세요
모바일 백신에서 ‘악성 앱 검사’를 통해 삭제하거나 직접 악성 앱을 찾아 지울 수 있습니다. 가장 최근에 설치된 앱이 무엇인지 확인하면 찾기 쉽겠죠. 안드로이드 기준으로 [설정] 메뉴로 들어가, [애플리케이션] 을 선택하세요. 앱 목록이 뜨는데 정렬기준을 ‘최근 사용이력’ 순으로 하면 어렵지 않게 찾을 수 있을 겁니다.
이때 해당 앱을 설치한 APK(안드로이드 응용 프로그램 패키지) 파일도 함께 삭제해야 안전합니다. [내 파일] 메뉴를 선택 [다운로드] 로 들어가 파일명 뒤에 붙은 확장자가 ‘apk’인 파일을 찾으세요.
하지만 간혹 삭제 자체를 어렵게 만든 ‘지독한 녀석’들이 있습니다. 이런 경우엔 휴대전화 전체를 포맷하는 ‘공장 초기화’를 해야 합니다. 내 기기에 저장된 사진·동영상·문서 등 모든 자료가 삭제되기 때문에 중요한 데이터가 있다면 컴퓨터나 USB 등에 옮겨놓는 편이 좋습니다. 초기화 방법은 간단합니다. 삼성 갤럭시 폰 기준으로 [설정] → [일반] → [초기화] → [기기 전체 초기화]를 순서대로 선택하면 됩니다. 이 과정이 어렵다면 제조사 서비스센터로 찾아가 도움을 받는 것이 좋습니다.
※ 아이폰은 괜찮나요?=스마트폰 운영체제가 안드로이드일 때를 기준으로 내용을 전달했는데요. 아이폰은 URL을 통한 앱 설치가 비교적 어렵습니다. 공식 앱 스토어에서 겁증된 앱만 다운받을 수 있도록 하고 있어섭니다. 다만 악성 앱을 통한 원격제어가 아닌 정상 웹 사이트처럼 위장된 ‘피싱 사이트’를 만들어 개인정보 입력을 유도하는 식의 사기도 있어 안심할 수는 없습니다.
3단계 : 공인인증서 폐기하고 재발급받으세요
공인인증서·보안카드 등 금융거래에 필요한 정보가 유출됐을 가능성이 있습니다. 해당 정보를 폐기하고 재발급받아야 2차 피해를 막을 수 있습니다. 스마트폰에 공인인증서가 저장돼 있지 않더라도 보안카드 등 금융거래에 필요한 정보를 사진첩이나 메모장에 기록했다면 폐기하고 재발급받는 편이 안전합니다. 부산 A씨도 휴대전화에 저장한 운전면허증 사진이 유출되면서 피해가 커졌습니다.
공인인증서는 재발급해 PC에 저장하기를 권장합니다. 계좌 출금정지 등 피해 예방 절차를 밟을 때 본인인증이 필요한데, 기존 휴대전화가 아닌 PC에서 하는 편이 안전하기 때문입니다.
4단계 : 계좌 출금(지급)정지 시키세요
내 은행계좌에서 돈이 새어나가는 것을 막으려면 ‘본인계좌 일괄지급정지 서비스’를 신청해야 합니다. 사기피해가 발생했거나 우려되는 금융계좌들을 한번에 지급정지를 시킬 수 있습니다. 영업점·비대면채널·자동이체·오픈뱅킹 등을 포함한 모든 출금거래가 정지된다는 얘기입니다.
이 서비스를 이용하려면 금융사 영업점 방문하거나 고객센터에 전화하면 됩니다. 온라인 상으로는 금융감독원의 계좌정보통합서비스(www.payinfo.or.kr)를 이용할 수 있습니다만, 본인인증을 위한 공동인증서 혹은 휴대전화 문자메시지 인증 등이 필요합니다.
더 이상 걱정할 필요가 없다는 판단이 든다면 금융회사 영업점에 직접 방문해 지급정지 해제를 하면 됩니다.
5단계 : 명의도용 못하게 막으세요
금융감독원 ‘개인정보 노출자 사고예방시스템(pd.fss.or.kr)’에 접속해 개인정보 노출사실을 등록하면 신규계좌개설과 신용카드 발급이 제한됩니다. 스미싱범들이 명의를 도용해 대출을 받는 경우가 있을 수 있습니다. 한국신용정보원 음성 안내 서비스(☎1544-6640) 이용하여 대출여부를 확인하고 지급정지를 신청할 수 있습니다.
내 이름으로 휴대전화가 개설된 것은 없는지 점검해보는 것도 좋습니다. 한국정보통신진흥협회의 ‘명의도용방지 서비스’ 페이지(www.msafer.or.kr)에 접속해 확인할 수 있습니다. 이곳에서 ‘가입제한 서비스’ 메뉴로 들어가면 휴대전화 신규개설 자체를 차단할 수 있습니다.
6단계 : 금전피해 없어도 신고하세요
경찰청과 금감원 관계자는 “금전피해가 없더라도 다른 유사피해를 막기 위해선 신고가 바람직하다”고 권장하고 있습니다. 그런데 신고를 어디에 하면 좋을까요?
선택지는 세군데입니다. 경찰청(☎112), 금융감독원(☎1332), 한국인터넷진흥원(☎118)이 그것입니다. 모두 스미싱 대응요령을 안내하지만 역할은 기관마다 조금씩 차이가 있습니다. 경찰청에선 피해신고와 구제절차를 구할 수 있고, 금융감독원에선 계좌관리 등 금융피해를 예방하기 위한 상담을, 한국인터넷진흥원에선 스팸차단 등을 돕습니다.
하지만 1분 1초가 아까운 때 한번의 제보로 모든 신고절차를 완료할 수는 없는지 아쉬움이 듭니다. 한가지 방법이 있습니다. 금융감독원의 ‘보이스피싱 지킴이’에선 신고 한번으로 세 기관의 도움을 받을 수 있습니다. 방법은 다음과 같습니다.
금융감독원 공식 사이트(www.fss.or.kr)에 접속 → [민원·신고] 선택 → [보이스피싱 지킴이] 선택 → [보이스피싱을 당했다면 어떻게?] 클릭 → ‘귀하는 보이스피싱(전기통신금융사기)으로 실제 피해가 있었나요?’라는 질문에 [아니오] 선택하는 순으로 진행하면 제보 페이지가 뜹니다. 이곳에서 본인인증을 거쳐 신고를 마무리하시면 됩니다.
7단계 : 금전피해 있다면 구제신청하세요
스미싱에 따른 금전피해가 발생했다면 구제절차를 밟아야 합니다. 피해는 크게 두갈래로 나뉩니다. ▲휴대전화 소액결제 방식으로 돈을 편취당했거나 ▲스마트폰에 저장된 피해자의 개인정보나 금융정보를 탈취하는 수법이 그것입니다.
*휴대전화 소액결제 피해=통신사 고객센터를 통해 최근 모바일 결제내역을 확인할 수 있습니다. 이상한 결제내역이 있다면 피해가 의심되는 스미싱 문자를 캡처, 통신사 고객센터를 통해 스미싱 피해를 신고하고 ‘소액결제확인서’를 발급받을 수 있습니다. 소액결제확인서를 지참해 관할 경찰서 사이버수사대 혹은 민원실을 방문해 사고내역을 신고합니다. 해당 서에서 사고내역을 확인하면 ‘사건사고 사실 확인서’를 발급해줍니다. 이 서류를 지참해 통신사 고객센터를 방문하거나 전자우편으로 발송하면 통신사나 결제대행 업체에 피해 보상을 요구할 수 있습니다. 평상시에 휴대폰 소액결제를 자주 사용하지 않는다면 통신사 콜센터를 통해 소액결제를 차단하거나 한도를 낮춰 두는 것도 전자금융범죄에 따른 피해를 예방할 수 있는 좋은 방법입니다.
*개인정보 도용 & 금융피해=스마트폰에 저장된 피해자의 금융정보를 탈취당했을 때입니다. 부산 사상구 A씨의 사례가 여기에 해당될 겁니다. 이런 경우엔 범죄에 이용된 계좌를 관리하는 금융회사에 전화로 지급정지를 신청합니다. 이후 거주지 관할경찰서(사이버수사팀)에 방문해 피해사실을 신고합니다. 신고를 접수한 경찰관에게 요청해 ‘사건사고사실확인원’을 발급받습니다. 피해자는 지급정지를 신청한 금융회사를 방문해 ‘피해구제신청서’를 작성, ‘사건사고사실확인원’을 함께 제출합니다. 금융회사는 신청된 계좌에 대해 지급정지 조치를 취하고 금융감독원에 예금채권 소멸공고를 요청합니다. 금융감독원은 2개월간 채권소멸공고를 하고 이 기간 안에 이의신청이 없으면 채권소멸을 확정하고 환급결정액을 금융회사에 통지합니다. 환급결정액이 금융회사에 통지되면 금융회사는 피해자에게 해당 금액을 환급합니다.
8단계 : 주변에알리세요
해커는 악성코드에 감염된 스마트폰을 새로운 범죄도구로 사용합니다. 전화번호 주소록에 저장된 사람들에게 스미싱을 발송하는 등 2차 피해가 발생할 우려가 있습니다. 주변 지인들에게 스미싱 피해를 미리 알리는 것이 좋습니다.
스미싱 피해 예방 TIP
그동안 스마트폰을 너무 많이 의지한 탓일까. 스미싱 대응요령을 조사하면서 많이 답답해졌습니다. 스마트폰이 스미싱범의 손아귀에 떨어지는 순간, 신경 써야 할 구멍들이 너무 많이 생깁니다. 혹시 내 계좌로 돈이 빠져나가고 있는 것은 아닌지, 내 명의를 이용해 금융계좌를 만들거나 대포폰을 개설한 것은 아닌지 한눈에 확인할 수 있으면 좋겠지만, 현재로선 1단계부터 8단계까지 꽤나 복잡한 과정을 거쳐야 우려가 조금은 불식될 수 있을 듯합니다. 이같은 고초를 겪지 않으려면 애당초 피해가 발생하지 않도록 조심하는 것이 최선입니다. 예방 요령을 소개합니다.
◆ 문자메시지 링크 클릭 ‘주의’=문자메시지에 포함된 인터넷 주소는 가급적 클릭하지 않는 편이 안전합니다. URL 클릭을 유도하기 위해 지인·택배·공공기관 등을 사칭하는 사례가 많다보니 속아 넘어갈 가능성이 크기 때문입니다. 한국인터넷진흥원은 '스미싱으로 의심되는 문자메시지 유형'으로 ▲출처가 불분명한 전화번호로 발송된 문자메시지 ▲결혼식, 공공기관, 택배, 사회적 이슈 등을 포함한 문자메시지 ▲문구사이에 의미 없는 알파벳이나 숫자, 문구 등이 포함된 경우 등을 들었습니다.
◆ 앱 설치는 공식 스토어를 통해서=스마트폰 악성코드 감염 대부분은 인증되지 않은 앱에서 시작됩니다. 공식 앱 스토어가 아닌 문자, 메신저, 웹사이트 등 비공식적인 경로로 앱을 다운받으면 뒷탈이 생길 염려가 큽니다. 아울러 스마트폰 환경설정에서 '알 수 없는 출처 앱 설치' 기능을 해제해는 편이 좋습니다. 이 기능이 체크돼 있다는 것은 공식 앱 스토어 외에 다른 출처의 애플리케이션 설치를 허용한다는 뜻이기 때문입니다.
◆ 스마트폰 운영체제 ‘항상 최신상태’로=스마트폰 제조사는 보안 취약점을 업데이트해 외부의 공격을 막을 수 있도록 도와줍니다. 업데이트가 귀찮더라도 최신 버전이 나왔을 때 항상 실행해 주시는 것이 좋습니다. 아울러 모바일 백신을 설치해 스마트폰의 보안 상태를 주기적으로 점검하는 편이 안전합니다.
◆ 스미싱 예방 서비스 이용= 이동통신사에선 다양한 부가서비스로서 스미싱 예방 서비스를 제공하고 있습니다. 통신사 고객센터를 통해 무료로 이용할 수 있습니다. ▲수신된 문자메시지가 웹을 통해 발신된 경우 이를 [Web발신]이라는 문구를 통해 알려주는 '웹 발신 확인 서비스' ▲자신의 휴대전화번호가 인터넷 문자 발송 서비스에 이용되지 못하도록 막는 '번호도용 문자차단 서비스' ▲휴대폰 자동결제를 막는 '소액결제 차단 서비스'가 있습니다.
Copyright © 농민신문. 무단전재 및 재배포 금지.