‘우리 준이가 태어난 지 한 돌이 되었어요. 축하해주세요^^’

3주 전 직장인 박 아무개씨(35)는 저장되지 않은 번호로부터 문자 한 통을 받았다. 처음 보는 번호라 의아했지만 돌잔치를 축하해달라는 문자에 차마 ‘죄송한데 누구시죠?’라는 답장을 보낼 순 없었다. 메시지 아래 ‘captur.in/XVQD’라는 첨부 링크가 보였다. 으레 그렇듯 모바일 돌잔치 초대장이겠거니 생각했다. 의심 없이 손가락을 갖다 대는 순간 LTE급의 속도로 순식간에 애플리케이션(앱) 하나가 다운됐다. ‘아차!’ 싶었지만 이미 상황 종료였다.

다음 달 박씨의 휴대전화 요금 청구서에는 기본요금 5만원과 구매한 적이 없는 ‘기프팅’ 명목의 소액결제 대금 2만5000원이 덧붙여 나왔다. 말로만 듣던 ‘스미싱’이었다.

올해 초부터 급증하기 시작한 휴대전화 소액결제 사기, 이른바 ‘스미싱(Smishing)’은 문자메시지를 뜻하는 ‘SMS’와 낚시 또는 ‘사기를 당하다’라는 의미의 ‘Fishing’이 더해진 신종 범죄의 명칭이다. 스미싱은 금융기관을 위장해 개인정보를 빼내는 ‘피싱’이나 금융사 도메인 자체를 탈취하는 ‘파밍’ 등 중간 기관을 거쳐 해킹을 시도하는 사기 수법과는 접근 방식부터 다르다. 피해 당사자의 모바일 기기에 악성 코드가 내장된 문자메시지를 곧바로 전송하기 때문이다.

무료 쿠폰이나 청첩장, 부고장, 공공요금 미납 통보 등 미끼로 내세운 메시지 내용도 가지가지다. ‘[법원] 경매 강제 집행 결정, 빠른 조회 부탁드립니다’ 같은 가슴 철렁한 메시지부터 ‘[특보] A양 동영상 노출 파격적인 누드 카톡 내역’처럼 엉뚱한 호기심을 자극하는 메시지까지. 스미싱 범죄자들이 던진 미끼는 최대 200만건 이상 동시다발로 개인 휴대 단말기에 전송된다. 다급한 마음에, 또는 괜한 호기심에 첨부된 링크를 연결하면 원하는 정보는 나오지 않고 앱 하나가 깔린다. 개인정보 유출 코드 서버가 내장된 ‘악성 앱’이다.

이렇게 유출된 주민등록번호, 소속 이동통신사, 전화번호 등 개인정보는 해외 서버를 거쳐 스미싱 사기단의 하드디스크로 넘어간다. 개인정보 유출만큼 소액결제 과정도 간단하다. 정보 보안이 취약한 게임 사이트와 제3금융권 홈페이지, 사설 영화 예매 사이트에서 결제 인증번호를 얻는 것은 정보 유출 과정보다 훨씬 쉬운 일이기 때문이다.

도둑질한 개인정보를 제시한 후 인증번호를 입력하면 해당 사이트에서 사이버 머니를 지급한다. 현금 세탁을 거친 사이버 머니는 고스란히 사기단의 대포통장으로 들어간다. 스미싱 사기단이 ‘한 건’을 낚아 올리는 순간이다.

월 30만원 이하로 제한된 휴대전화 소액결제 한도 때문인지 피해 금액은 그리 큰 편이 아니다. 하지만 한 번에 수만 건 이상 범죄 시도가 가능하다는 점에서 전체 피해 규모는 결코 적지 않다. 8월13일 경찰에 검거된 국내 스미싱 조직은 100만건 이상의 스미싱 유도 메시지를 발송해 490명의 피해자로부터 1억1000만원 상당을 갈취했다.

이 사건을 수사한 이동현 충북지방경찰청 형사는 “전국적으로 피해자들이 있었다. 범죄 총책이 국내와 중국에 따로 조직을 두고 프로그래머부터 문자 발송팀까지 자체적으로 운영해온 것으로 드러났다”고 밝혔다.

스미싱 피해 사례가 많아지면서 소액결제 분쟁 조정 신청도 급증하고 있다. 8월9일 정보통신산업진흥원이 발표한 ‘2013년 상반기 전자거래 분쟁 조정 사례’ 보고서를 보면 전자거래 분쟁 조정 사례 중 콘텐츠 이용 서비스 분쟁이 2454건(이 중 스미싱에 해당하는 휴대전화 소액결제 분쟁과 피해 구제 요청 관련 사항 2250건)으로 전년에 비해 155% 늘어났다.

경찰청 사이버테러대응센터 관계자는 “스미싱의 경우 오로지 문자 전송을 통해 범죄가 이뤄지기 때문에 수사하기가 어렵다. 그런 문자를 받으면 링크를 누르지 않는 게 제일 좋고, 피해 발생 시엔 경찰서에 사건 접수를 한 뒤 해당 이동통신사에 알려야 한다”고 당부했다.

조혜지 인턴 기자 다른기사 보기