 |
클립아트코리아 |
“저희 아버님께서 별세하셨습니다. 발인 ○월○일. 빈소 주소 링크 클릭.”
부고장, 청첩장, 과태료 고지서 등 가짜 문자 메시지로 악성 앱 설치를 유도해 1천명으로부터 120억원을 빼돌린 국내 최대 규모 스미싱 조직이 경찰에 붙잡혀 송치됐다.
서울경찰청 사이버수사과(과장 이병진)는 정보통신망법·통신사기피해환급법·전기통신사업법 등 위반 혐의를 받는 중국 국적의 국내 총책 ㄱ(38)씨 등 13명을 검거해 검찰에 넘겼다고 26일 밝혔다. 중국에서 범행을 지시한 해외 총책 2명은 인터폴을 통해 적색수배 조치를 내려 국제공조 수사 중이다.
이들은 중국에 거점을 두고 국내에 조직을 구성해 지난 2023년 7월부터 지난해 6월까지 부고장, 청첩장 등으로 위장한 문자 메시지를 보내 피해자들에게 악성앱을 설치하도록 유도한 뒤 피해금을 편취한 혐의를 받는다. 경찰 설명을 들어보면, 이들은 악성앱을 통해 휴대전화 권한을 장악한 뒤 피해자 명의의 휴대전화를 무단으로 개통하고 본인인증 수단을 확보했다. 특히 상대적으로 보안이 취약한 알뜰폰 이용자를 공략했다고 한다. 이후 피해자의 모바일 뱅킹 앱과 가상자산 거래소 계정에 접근해 돈을 대포통장으로 이체한 뒤 피해금을 세탁했다. 이들은 카카오톡으로 피해자 지인에게까지 접근해 ‘돈을 빌려달라’고 요청하는 등 메신지 피싱 범죄까지 저지른 것으로 조사됐다.
경찰은 외국에서 악성앱 설치를 유도해 소액을 편취하던 소액결제 수법 스미싱이 국내에 조직을 두고 직접 모바일뱅킹 앱을 침입하는 다액 편취 수법으로 진화했다고 설명했다. 국내에서 조직을 관리한 ㄱ씨는 스미싱 범행을 위해 중국에서 파견됐고, 입국 뒤 중국에서 알던 지인들을 모아 범행을 실행했다고 한다.
수사 과정에서는 본인 인증의 취약점도 드러났다. 이들의 수법을 보면, 악성앱을 통해 이미 확보한 휴대전화 권한과 위조 신분증을 이용해 피해자가 접속한 것처럼 속여 모바일뱅킹 앱 접속 인증 절차를 통과했다. 심지어 실물 신분증 촬영에 쓰인 위조 신분증 중에는 ‘강원도 원주구청’이라는 실존하지 않는 기관명이 찍혀 있었는데도, 문제없이 보인 인증이 완료된 사례도 있었다.
이런 방식으로 빼돌린 피해금은 120억원으로, 확인된 피해자만 1천명 이상인 것으로 나타났다. 피해 규모로만 보면 스미싱 범죄 가운데 국내 최대 규모다. 피해자 연령대는 50대 이상이 전체 피해자의 대다수를 차지했다. 50대 이상 계좌 탈취 피해자 비율은 82%, 휴대폰 개통 피해자 비율은 86%였다. 경찰 관계자는 “디지털 기기 보안에 상대적으로 익숙하지 않은 중·장년층이 다수 피해를 입은 것으로 확인돼 각별한 주의가 요구된다”고 말했다.
지난해 8월 출범한 서울청 스미싱전담팀은 전국 수사 관서에 미제로 남겨진 수백건의 스미싱 사건을 모아 범행 수법을 분석했고, 계좌탈취형 스미싱 범행이 이루어지고 있는 점을 확인해 수사에 착수했다. 이후 피해자 명의 휴대전화를 추적해 ㄱ씨 등이 수도권 아울렛 주차장에 차를 대고 이를 사무실 삼아 범행을 저지르고 있다는 사실을 파악했다. 경찰은 아울렛을 돌며 잠복하던 중 차 안에서 신분증을 위조하고 금융기관 앱을 침입하는 등 범행을 저지르던 피의자들을 현장에서 붙잡았다. 차량에서는 수십 대의 휴대전화 공기계와 위조 신분증, 범죄수익금인 현금 4500만원 등이 발견돼 압수했다.
경찰은 이번 수사를 통해 국내 총책과 핵심 조직원 대부분을 검거해 사실상 조직을 와해시켰으며, 전국 경찰서에 미제로 남겨진 사건 900여건이 모두 이 조직의 범행에 의한 사건인 점도 확인했다. 경찰 관계자는 “이번 사건은 클릭 한 번으로 평생 모아온 돈이 탈취될 수 있는 범행 수법이 사용된 사례”라며 “공식 앱스토어를 통해 검증된 앱만 설치하고 지인의 청첩장, 부고장이라도 문자 메시지에 포함된 링크는 절대 클릭하지 말고 전화로 먼저 확인하는 등 경각심을 갖고 일상 속에서 보안수칙을 준수하길 당부드린다”고 밝혔다.
박고은 기자 euni@hani.co.kr
[한겨레 후원하기] 시민과 함께 민주주의를!
내란 종식 그날까지, 다시 빛의 혁명 ▶참여하기
▶▶한겨레 뉴스레터 모아보기
이 기사의 카테고리는 언론사의 분류를 따릅니다.