이 씨가 받은 KB국민카드 사칭 문자. /사진=독자 제공
이 씨가 받은 KB국민카드 사칭 문자. /사진=독자 제공
"카드 개설 확인 안내. 고객님, **1611 카드 개설 확인 아니시면 신고 바랍니다."

60대 이모 씨는 지난달 28일 이러한 문자를 받았다. 해당 금융사의 카드는 발급하지 않았지만, 마침 타 금융사의 신용카드를 갱신한 뒤였다. "문자에 포함된 웹주소(URL)를 누르지 말라"는 스미싱 피해 수법은 익히 들어 알고 있었다. 그런데 이 문자는 URL도 없고, 국외 번호도 아니며 심지어 발신 번호도 여느 고객센터 번호와 비슷한 '1899'로 시작했다. 순간 '내가 이번에 이 카드사에서 카드를 새로 발급했던가' 착각할 뻔했다.

수상쩍게 여긴 이 씨는 문자가 온 번호가 아닌 해당 금융사의 고객센터 번호를 다시 검색해 문의했다. 상담원으로부터 새롭게 발급된 카드가 없다는 사실을 확인받았다. 상담원은 이 씨에게 "요즘 이런 내용으로 들어오는 문의가 많다"며 "스미싱 문자가 온 번호로 다시 전화를 걸지 말라"고 당부했다.

해당 스미싱 문자와 관련, KB국민카드 측은 "당사는 1588-1688인 대표 번호로만 카드 발급 안내 문자를 보내고 있다"며 "이러한 스미싱 문자는 해당 번호로 발신을 유도하는 목적이므로 대표번호 외의 번호로 오는 문자에 대해서는 발신하지 말고 반드시 삭제해야 한다"고 당부했다. 이어 "피싱 피해 고객 최소화를 위해 안내 메시지로 주의사항과 피싱 사기 사례를 지속해 안내하고 있다"고 덧붙였다.
기사의 이해를 돕기 위한 사진. /사진=게티이미지뱅크
기사의 이해를 돕기 위한 사진. /사진=게티이미지뱅크
잠잠했던 피싱 사기가 지난해부터 다시 활개를 치는 모양새다. 특정 수법이 알려지면 이후에는 더 교묘해지고 정교해졌다. 국외 번호로 연락이 와 알아채기 쉬웠던 보이스피싱은 이제 국내 번호로 전화가 걸려 오고, "문자의 URL을 누르지 말라"고 홍보하니 URL은 없애고 실제 고객센터와 유사한 번호로 문자가 온다.

보이스피싱 범죄 시작점은 스미싱 문자다. 앞선 사례처럼 카드가 발급됐다거나, 교통법 위반으로 과태료 통지서를 확인하라는 등의 내용으로 피해자를 당황하게 만든다. 이어 문자 속 URL 접속을 유도하거나, 해당 번호로 다시 전화를 걸게 한다. 스미싱 문자를 발송한 일당은 이런 수법으로 피해자의 개인정보를 빼돌린다. 이렇게 모은 개인정보는 정교한 보이스피싱을 위한 '재료'가 된다.

최근 스미싱 문자 발송량과 보이스피싱 피해액 관련 통계를 살펴보면 두 사기 행각 간 유기성을 확인할 수 있다. 지난달 31일 한국인터넷진흥원(KISA)에 따르면 지난해 스미싱 문자 탐지 건수는 50만3300건으로 2022년 3만7122건에서 15배 가까이 증가했다. 특히 지난해 하반기부터 급증했다. 10월부터 5만건을 넘어서더니 12월에는 9만4906건을 기록했다. 12월의 경우 전년 동월 대비 무려 116배 늘어난 수치다. 급기야 올해 1월에는 15만4706건을 기록했다. 스미싱 문자 공격이 사그라지지 않고 있다.

스미싱 문자의 경우 2020년 95만843건에서 2021년 20만2276건으로 크게 감소했고 2022년에는 더 감소했지만 지난해 큰 폭으로 다시 늘어났다. KISA 관계자는 "과거 택배 사칭 문자가 절반 이상이었으나 지난해에는 공공기관이나 지인을 사칭하는 경우가 급속도로 늘었다"고 전했다.

보이스피싱 범죄도 지난해 말부터 급증했다. 경찰청에 따르면 보이스피싱 피해액은 12월에 연간 최고치인 561억원을 기록했다. 같은 해 1월 257억원과 비교하면 2배 이상 늘어난 수치다. 발생 건수는 1813건으로, 1인당 피해액으로 환산했을 때 무려 3094만원에 이른다. 관련 통계 집계 이래 최대치다.

이에 경찰은 보이스피싱(전기통신금융 사기)을 비롯해 미끼성 스미싱 문자도 '10대 악성 사기'에 포함해 대응에 나섰다. 경찰청은 올해 2월 보이스피싱 관련 범죄에 대응하기 위해 전담부서 '피싱범죄수사계'를 신설했고, 3월부터는 보이스피싱·스미싱을 겨냥한 신규 특별 단속을 진행했다. 각 경찰서 수사과에 '악성사기 추적팀'도 설치해 보이스피싱을 비롯한 사기 피의자에 대한 집중적인 검거 활동에도 나설 계획이다.

염흥렬 순천향대 정보보호학과 교수는 "보이스피싱, 스미싱 일당이 개인정보를 수집하기에 더 편안한 환경이 조성됐다"며 "국제 전화 발신이나 문자 발송도 모두 비용이 드는데 이 비용이 저렴해지면서 과거보다 범죄를 저지르기 쉬워졌다"고 진단했다.

그러면서 "보이스피싱 일당은 설비나 인원을 대규모로 구축하고 있기 때문에 소위 '투자 대비 수익'이 나야 한다고 생각할 것"이라며 "사후적으로 피싱 사례를 홍보한다고 해도 더 고도화된 사기 수법이 생길 수밖에 없는 구조"라며 주의를 당부했다. 이어 "이러한 사회공학적 공격은 금융 취약계층, 인터넷 취약계층이 쉽게 당한다"면서 "피해자에 대한 보상에 관해서도 사회적으로 논의를 해야 할 시점"이라고 말했다.

김영리 한경닷컴 기자 smartkim@hankyung.com