"누가 아직도 당해" 비웃었는데…더 교묘해진 수법으로 돌아왔다['또'이스피싱]

①1~8월 피해액 지난해 전체에 육박
휴대폰 탈취하는 '악성 앱' 수법 유행
앱 설치 요구하면 무조건 피싱 의심

편집자주
내년이면 보이스피싱 피해가 처음 발생한 지 20년이 된다. 이젠 범행 수법을 다 안다고 생각하고 대부분이 비난의 화살을 가해자에게 돌린다. 그러나 범죄조직은 철저한 각본 하에 움직이고 있고, 더 교묘해진 수법으로 진화했다. 그 누구라도 방심하고 있다간 속수무책으로 당하기에 십상이다. 아시아경제는 피싱 범죄의 수법과 피해 현황, 해법 등을 4회에 걸쳐 진단한다.

지난해 12월 송미선씨(가명·56)는 대출 금리를 낮춰줄 수 있다는 은행원의 전화를 받았다. 평소 같았으면 무시하고 끊었겠지만 당시 금전적인 문제로 고민이 많아 혹시나 하는 마음이 들었다. 은행원은 “고객님 이자 부담 크실 것 같아서 도와드리려고 한다”며 애플리케이션(앱) 설치를 유도했다. 신용등급을 올리기 위해서는 먼저 일정 금액을 갚아야 한다는 말에 180만원을 송금했다. 그러자 "아직 부족하다. 좀 더 보내셔야 금리 인하가 가능하다"는 답변이 돌아왔다. 바로 경찰에 신고했지만 몇 개월 뒤 돌려받은 금액은 단돈 8700원이었다. 송씨는 "나는 절대 안 당할 거라고 생각했는데 막상 주변에도 당한 사람이 많은 것 같다"며 "누구에게 말하기도 부끄럽고, 스스로 너무 죄책감이 들어서 여전히 많이 힘들다"고 하소연했다.

분업화·전문화 이뤄진 피싱 범죄조직

올해부터 보이스피싱 범죄가 또다시 기승을 부리고 있다. 날이 갈수록 진화하는 수법에 여전히 많은 피해자가 발생하고 있다. 자칫하면 범죄 피해 당사자가 될 수 있는 만큼 국민들의 각별한 주의가 요구된다.

28일 경찰청에 따르면 보이스피싱 발생 건수는 2019년 3만7667건에서 지난해 1만8902건으로 5년 새 절반 가까이 감소세를 보였으나 올해부터 다시 증가세로 전환됐다. 올해 1월부터 8월까지의 보이스피싱 피해액은 4625억원으로 지난해 전체 수준에 육박한 상태다.

최근 범행의 양상을 보면 단계별로 분업화와 전문화가 이뤄져 피해자들이 속을 수밖에 없도록 철저한 설계가 이뤄지고 있다. 일반적으로 보이스피싱 조직은 범행 전체를 총괄하는 '총책'과 직원에게 수법을 교육하는 '관리책', 피해자들에게 전화를 거는 '콜센터', 계좌에 입금된 피해액을 인출하거나 직접 돈을 받아오는 '현금 수거책' 등으로 각각 역할을 분담하는 형태로 운영되고 있다.

보이스피싱 범죄는 경찰·검사 등 수사기관을 사칭하는 기관 사칭형과 은행 등 금융기관을 사칭하는 대출 빙자형, 문자를 통해 가족·지인으로 가장하는 메신저 피싱형으로 구분된다. 과거에는 기관 사칭형과 대출 빙자형이 대부분이었지만 지난해부터 메신저 피싱이 두드러지게 나타나고 있다. 한국인터넷진흥원(KISA)에 따르면 지난해 스미싱은 50만3300건에 달했다. 그중 '공공기관 사칭' 유형은 35만10건으로 2022년(1만7726건)과 비교해 20배 가까이 폭증했다.

경찰·가족에 전화해도 피싱범에 연결

메신저 피싱은 보통 미끼 문자를 보내고 통화를 하도록 유도해 피해자 돈을 빼앗아가는 방식으로 이뤄져 왔지만, 이제는 URL 링크가 포함된 문자 자체를 활용하는 수법으로 진화했다. 주로 신용카드 발급, 과태료·범칙금 납부 안내, 택배 배송, 지인의 경조사 알림 등을 사칭하는 경우가 많다.

해당하는 링크를 누르게 되는 경우, 피싱범들이 원격으로 조종할 수 있는 '악성 앱'이 설치되며 휴대폰 자체가 탈취된다. 탈취된 휴대폰으로는 112에 신고를 해도, 가족에게 전화해도 모두 보이스피싱범들이 가로채서 받는다. 원격 제어를 통해 은행 앱에 접속하거나, 개인정보에 접근해 가족 및 지인을 노리는 2차 피해에 이용될 수 있다. 이렇게 한 번에 수백만 원을 편취했던 기존 방식과 달리, 피해자를 고립시키며 피해액을 키우고 있다.

보이스피싱범들이 보내는 URL링크가 포함된 미끼 문자[사진출처=금융감독원]

경찰 관계자는 "이전 방식은 한 번에 일정 금액을 송금한 이후에 지급 정지를 할 수 있었다면 휴대폰 자체가 탈취되면 일주일이 넘는 기간 동안 여러 번 돈을 빼앗다 보니까 피해액이 커질 수밖에 없다"며 "범행 수법이 드러나며 근래에는 연초보다 줄어드는 추세지만 여전히 주의가 필요하다"고 당부했다.

이미 앱을 설치해서 휴대폰이 탈취됐음을 인지했다면, 바로 휴대폰 자체를 꺼버리는 것이 최선의 방법이다. 피싱범에게 유출되는 정보를 중단시키기 위해서다. KISA 관계자는 "악성 앱이 고도화되며 원격제어가 가능해졌기 때문에 비행기모드로 변경하거나 휴대폰을 끄는 것이 가장 중요하다"며 "제어권을 내어주지 않도록 조처한 뒤 다른 전화로 경찰에 신고하거나 백신을 설치해야 한다"고 말했다.

염다연 기자 allsalt@asiae.co.kr