더 교묘해진 피싱…SMS로 전화·접속 유도

할인쿠폰·보안강화 문자 통화되면 악성코드 깔아 개인 인증번호 빼내 결제

할인쿠폰 제공이나 보안 강화 등을 미끼로 특정 링크로 접속을 유도한 후 악성코드를 설치, 개인정보나 인증번호를 알아내 휴대전화 소액결제로 금액을 편취하는 '스미싱'(Smishing) 수법의 하나. 대구경찰청 제공

김모(47'대구 중구 대봉동) 씨는 이달 1일 처음 보는 번호로 '25만원이 소액 결제되었으니 취소하려면 070-××××-××××으로 전화하라'라는 문자메시지를 받았다. 깜짝 놀란 김 씨는 문자메시지를 보자마자 해당 번호로 전화했다. 전화를 받은 여성은 어눌한 한국말로 "소액결제를 취소하려면 지금 승인번호를 보낼 테니 그 승인번호를 불러달라. 한 번에 3만원까지 취소가 가능하기 때문에 여덟 번 승인번호를 보내겠다"고 말했다. 잠시 후 김 씨의 휴대폰으로 승인번호가 찍힌 문자가 왔다. 김 씨는 받은 승인번호를 불러주던 중 '게임머니 3만원이 정상 구매되었다'는 내용의 또 다른 문자를 받았다. 당황한 김 씨가 전화를 받은 여성에게 항의하자 여성은 "구매가 아닌 취소니 걱정말라"고 했다. 김 씨는 이상한 기분이 들어 바로 전화를 끊었다. 하지만 이미 50대 남성이 한 게임업체에서 김 씨의 휴대전화로 3만원 소액결제를 끝낸 뒤였다.

최근 휴대전화 소액 결제를 이용한 신종 사기 '스미싱'(Smishing)이 기승을 부리고 있다.

대구소비자연맹에 따르면 지난해 11, 12월 4건이었던 스미싱 피해는 올 1월 들어 6건 발생했다.

휴대전화 소액결제는 본인이 아니더라도 타인의 휴대폰 번호와 주민번호, 해당 휴대전화로 보낸 인증번호만 알면 가능하다. 경찰에 따르면 사기범이 인증번호를 알아내는 방법은 다양하다. 악성코드가 설치된 인터넷주소나 할인 쿠폰을 미끼로 한 문자를 보내 접속을 유도한 뒤 악성코드를 휴대전화에 깔아 결제에 필요한 인증번호를 얻거나, 김 씨처럼 직접 인증번호를 말하도록 유도하는 등의 방법이 있다. 이러한 범죄는 주로 은행 및 게임사이트 상담자들과 전화연결이 어려운 밤늦은 시간대를 이용해 발생한다.

누구나 쉽게 불법 결제가 가능하지만 구제 방법은 마땅치 않아 고스란히 피해를 떠안아야 하는 피해자들은 속앓이를 할 수밖에 없다. 김 씨는 "게임업체에 '사기 결제'이니 취소해달라고 요구했지만 업체에서는 게임머니가 이미 전부 사용돼 취소할 수 없다고 대답했다"며 "사용자 계정과 휴대번호 명의자가 일치하지 않는데도 아무런 검증 과정 없이 결제가 이뤄지고 있다"고 분통을 터뜨렸다.

이 게임업체 관계자는 "결제를 해도 사용하지 않았다면 취소가 가능하지만 사용한 금액은 취소가 어렵다"며 "최근 비슷한 유형의 사기가 잇달아 발생해 구제할 수 있는 대책 마련에 고심하고 있다"고 말했다.

한국인터넷진흥원 관계자는 소액결제를 아예 차단하는 것도 피해를 막는 방법이라고 소개했다. 소액결제 차단은 이동통신사를 통해 신청할 수 있다. 소액결제에 필요한 인증번호, 개인정보를 사용할 때마다 연락이 오는 명의도용방지 서비스를 이용하는 것도 좋은 방안이다. 만약 피해를 입었을 경우에는 소액결제 중재센터(1644-2367)로 연락해 자문하면 된다.

대구소비자연맹 관계자는 "이동통신사를 통해 소액결제 한도를 낮추거나 모바일 전용 백신으로 정기적인 점검을 하는 것이 좋다"고 말했다.

대구경찰청 사이버수사대 관계자는 "본인의 예방이 최우선"이라며 "문자를 통한 출처가 불분명한 동영상 파일 및 이메일은 악성코드가 포함될 가능성이 높으므로 내려받기를 자제하고, 앱은 공인된 기관에서 받은 것만 설치해야 한다"고 당부했다. 신선화기자 freshgirl@msnet.co.kr

※키워드

스미싱=문자메시지(SMS)와 피싱(Phishing)의 합성어로 휴대전화 문자를 통해 소액 결제를 유도하는 신종 범죄다. 스미싱은 휴대전화 소액결제의 편리함을 악용한 사기 수법으로 최근 피해 사례가 늘고 있다.