최근 40대 남성 A 씨는 취미 동호회 밴드에서 알게 된 한 여성이 친근하게 접근해 오자 카카오톡 아이디를 공유한 후 대화를 주고받기 시작했다.
상대 여성은 "취미가 뭐냐", "외롭지 않냐" 등 일상 대화를 나누다 성적 고민을 털어놓으며 자신과 화상 채팅하자고 제안했다.
A 씨는 취미 정보를 공유하려던 차에 너무 적극적으로 나오는 여성의 제안에 흥분은커녕 불안감을 느끼고 비슷한 사례를 검색했다.
포털사이트에는 랜덤 채팅에서 만난 여성과 대화하다 휴대폰이 해킹되고 몸캠 피싱을 당했다는 경험담이 공유돼 있었다.
다른 피해자들의 사례도 A 씨와 마찬가지로 편안한 대화를 나누던 중 심리 테스트 링크를 보내주기도 하고 페이스톡하는 단계로 진행됐다. 피해자는 "상대 여성이 자기 몸을 보여주길래 저도 보여줬는데 알고 보니 녹화했더라. 그리고 어떻게 제 연락처를 알았는지 지인들한테 몸 영상을 보내겠다고 돈을 달라는 협박하고 있다"고 호소했다.
A 씨가 화상 통화를 하자는 제안을 거절하자 상대 여성은 자신이 오늘 아침 필라테스를 한 영상인데 보고 평가해달라며 zip 형태의 파일을 보냈다. A 씨는 피싱을 위한 악성 앱 링크임을 감지하고 위기를 모면할 수 있었다.
최근 이처럼 1단계 악성 앱 설치로 상대방의 휴대폰 안 사진, 미디어 파일 등 접근을 하는 수법이 늘고 있다. 악성 앱이 설치되면 상대방 휴대폰 위치, 전화(걸기 및 관리), 카메라, 연락처, 통화기록, 에스엠에스(메시지 전송 및 보기), 마이크(오디오 녹음) 사용 권한 등이 피싱 조직에 넘어간다. 휴대폰 위치 실시간 파악이나 전화 강제 수·발신은 물론 마이크와 카메라를 도청 장치처럼 활용할 수도 있기 때문에 더는 자신의 휴대폰이 아니게 되는 식이다.
금융감독원과 카카오, 금융결제원, 정보통신진흥협회, 인터넷진흥원 등은 최근 보이스피싱 피해를 막기 위해 금융소비자가 알아둘 만한 서비스를 소개했다. 평소 메시지를 주고받을 때 주의를 기울여야 할 사항을 비롯해 이미 개인정보가 유출된 경우 이에 긴급히 대처하는 방안 등이 담겼다.
◆카카오톡 메시지 진위 확인서비스 = 카카오는 금융회사나 공공기관이 카카오톡으로 메시지를 보낸 경우 메시지의 진위를 확인해주는 서비스를 제공하고 있다.
먼저 금융회사와 공공기관이 전송한 정식 메시지가 맞는지를 쉽게 구별할 수 있도록 메시지와 기관명 옆에 인증마크(인증 배지)를 표시하고 있다. 인증마크를 부여한 대상은 금융회사 14149곳과 공공기관 1689곳이다.
친구로 등록되지 않은 해외번호 이용자가 메시지를 보내왔다면 발송자의 프로필 이미지를 주황색 지구본으로 표시하는 서비스도 제공 중이다. 해당 사용자의 국가명과 해외번호 사용자라는 경고 표시 팝업도 제시된다.
국내번호 가입자라도 친구로 등록되지 않은 상태에서 대화를 시도할 경우 프로필 이미지를 주황색으로 표시한다. 이때 금전 요구에 대한 경고 문구 팝업도 함께 나타난다.
◆e프라이버시 클린서비스 = 인터넷진흥원(KISA)이 제공하는 'e프라이버시 클린서비스'는 휴대전화 등을 통해 본인인증 했던 웹사이트 현황을 확인하고, 불필요한 웹사이트의 회원 탈퇴, 가입 시 제공한 정보 열람·삭제 등을 요청할 수 있다.
인터넷진흥원은 이용자의 네이버, 다음 등 인터넷 계정정보 유출 여부 확인할 수 있는 '털린 내 정보 찾기 서비스'도 제공한다.
◆휴대전화 가입현황 조회 및 '대포폰' 개통 제한 = 최근 유행 중인 메신저 피싱의 경우 개인정보 탈취 후 비대면으로 알뜰폰을 개통하고 비대면 금융거래로 돈을 빼내 가는 수법을 쓴다.
한국정보통신진흥협회(KAIT)는 자신의 이름으로 신규 휴대전화 개통 시 이를 문자메시지로 통보해주는 서비스를 제공해주고 있다.
본인 이름으로 가입된 휴대전화 가입 현황을 조회하거나 신규 가입을 제한할 수 있는 서비스도 함께 제공한다.
◆나도 모르는 계좌가 있다면 '내 계좌 한눈에' = 메신저피싱에 대응하려면 본인 명의로 개설된 계좌 현황을 파악하고 필요시 명의도용 계좌의 신속한 지급정지 조치가 중요하다.
금융결제원에서는 본인 이름으로 개설된 금융회사 계좌정보를 한 번에 조회할 수 있도록 어카운트인포 홈페이지와 모바일앱에서 '내 계좌 한눈에' 서비스를 제공하고 있다.
금융회사명은 물론 개설지점, 계좌번호, 개설 일자, 최종 입출금일, 잔액 등을 쉽게 파악할 수 있다.
피싱에 당하지 않기 위해선 출처가 의심스러운 URL 주소를 접속하지 않는 게 중요하다. 터치 한 번만으로도 원격조종 앱이 설치되고 개인정보가 모두 유출될 수 있기 때문이다.
이미나 한경닷컴 기자 helper@hankyung.com