[일요시사 취재2팀] 김준혁 기자 = 청첩장·부고장 문자메시지로 악성 앱을 설치하게 해 120억원을 가로챈 국내 최대 스미싱 조직이 26일, 경찰에 붙잡혔다.
스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 문자에 악성 링크 등을 포함해 금융·개인정보를 빼내거나 돈을 가로채는 사기 수법을 말한다.
서울경찰청 사이버범죄수사1대는 이날, 정보통신망법, 통신사기피해환급법 위반 등 혐의로 중국 국적의 국내 총책 A(38)씨를 비롯한 13명을 검거했다고 밝혔다. A씨 등 총책급 4명은 구속됐고, 9명은 불구속 송치됐다.
국내 조직원은 모두 검거됐으며, 범죄수익 대부분을 빼돌린 중국 현지 총책 2명에 대해선 인터폴 적색수배를 내렸다. 이 가운데 1명은 과거 전자금융사기의 일종인 파밍 사기를 저질러 한국에서 8년간 징역을 살았던 전과도 있는 것으로 파악됐다.
이 조직은 앞서 지난 2023년 7월부터 지난 6월까지 청첩장, 부고장, 교통법규 위반 통지 등을 사칭한 문자를 발송해, 수신자가 악성 앱을 설치하도록 유도한 뒤 각종 범죄를 저질러온 것으로 드러났다.
이들은 악성 앱으로 휴대전화 권한을 장악한 뒤, 비대면 간편 인증을 악용해 피해자 명의의 알뜰폰 회선을 몰래 개통하고, 위조 신분증으로 모바일뱅킹 인증을 뚫어 자산을 빼낸 것으로 조사됐다. 이 과정에서 피해자 기기는 사실상 ‘먹통’이 돼 이상 거래 알림을 제때 받지 못하는 등 범죄 대응이 늦어진 점도 이용했다.
피해자의 지인들에게 “급하게 돈이 필요하다”는 등 문자를 보내 추가 피싱을 시도한 정황도 확인됐다.
경찰은 지난해 8월 사이버범죄수사1대 2팀을 스미싱 전담팀으로 지정한 뒤 다수 사건을 분석해 ‘계좌 탈취형’ 범죄가 조직적으로 이뤄지고 있음을 확인하고 수사에 착수했다.
경찰은 피해자 명의 휴대전화와 CCTV 등을 통해 수도권의 한 대형 아울렛 주차장을 범행 장소로 추정해 잠복하던 중, 차량 내부에서 금융기관 앱 침입 작업을 하고 있던 일당들을 현장에서 검거했다. 당시 차량에선 15대의 공기계와 범행에 이용한 위조 신분증, 범죄수익금 4500만원 등이 압수됐다.
이 같은 수법으로 인한 피해자는 1000여명, 피해액은 120억원에 이른다. 피해자 수와 피해액 등을 고려할 때 스미싱 조직 가운데 국내 최대 규모라는 게 경찰의 설명이다.
가장 큰 피해 사례는 한 피해자가 6개 계좌에서 총 4억8500만원을 편취당한 경우였다. 또 전국 수사관서에 접수됐으나 미제로 남아있던 사건 900여건도 이 조직의 소행으로 밝혀졌다.
경찰 조사 결과 전체 피해자의 상당수가 디지털 기기 보안에 상대적으로 익숙하지 않은 50대 이상 중장년층으로 나타났다.
계좌 탈취 피해자 가운데 50대가 39%로 가장 많았고, 이어 ▲60대 32% ▲40대 15% ▲70대 이상 11% ▲30대 이하 3%였다. 휴대폰 무단 개통 피해자는 60대가 36%를 차지했으며 ▲50대 34% ▲70대 이상 16% ▲40대 12% ▲30대 이하 2%로 집계됐다.
경찰은 글꼴이 다르거나 실존하지 않는 기관명이 적힌 위조 신분증을 인증해도 금융 앱 진위 확인을 통과하는 등 본인 인증체계의 취약점도 발견해 통신사 2곳과 금융기관 2곳에 이를 공유했다.
서울경찰청 관계자는 이날 “피의자들은 이동통신 3사보단 상대적으로 보안이 취약한 알뜰폰 사업자를 이용했다”며 “알뜰폰 유심은 간편 인증을 통해 개통이 가능했는데, 한 곳만 취약점이 확인돼 풀리더라도 휴대전화 개통이 (쉽게) 가능했다”고 설명했다.
경찰은 중국에 체류 중인 총책을 검거할 수 있도록 국제공조를 지속적으로 진행하는 등 수사를 이어갈 방침이다.
<kj4579@ilyosisa.co.kr>
