앱스토리

지금 우리 생활에서 스마트폰이 필수인 이유는 단순히 사람들과 소통하고 온라인 환경에 쉽게 접근할 수 있기 때문만은 아니다. 내 사생활이 고스란히 들어있는 사진이나 동영상은 물론이고, 중요한 업무상 연락처, 심지어 공인인증서와 같은 금융 정보까지 스마트폰 하나에 모두 담겨있다. 단순히 스마트폰 그 자체가 필요해서 가지고 다니기도 하지만, 내 중요한 정보가 스마트폰에 있기 때문에 ‘수단’으로써 가지고 다니기도 한다는 의미다. 그런데 이 스마트폰 속 정보가 누군가에 의해 도둑질 당했다면? 그리고 이러한 사례가 빈번하게 발생하고 있다면? 당신에게도 충분히 일어날 수 있는 신종 사기 수법에 대해 함께 알아본다.  

날로 새로워지는  신종 IT 사기 수법

- 점점 진화해가는 수법으로 피해도 늘고 있어

- 메신저로 돈 빌려달라, 대포폰 개통됐다... 모두 고전적 수법

- 블로그 임대 문의도 사기일까

- 네이버페이인데, 네이버PEY가 뜬다?

- 최소한 이러한 사기에 당하지 않으려면?

이귀주(이하 이): 안녕하세요. 알면 돈이 되는 IT 상식! 앱스토리 IT스토리의 이귀주입니다. 우리의 스마트폰에는 정말 다양한 정보들이 담겨 있죠. 그렇다 보니, 스마트폰을 노리는 새로운 사기 수법들 또한 최근 굉장히 다양해졌습니다. 오늘은 점점 진화를 거듭하고 있는 신종 IT 사기 수법들과 이에 대한 대처법을 알아보고자 합니다. 오늘도 함께 이야기 나눌 두 분 모셨습니다. 인사 나눌게요.

원수연(이하 원): 앱스토리매거진 원수연 편집장입니다.

김지연(이하 김): 앱스토리매거진 김지연 기자입니다.

점점 진화하는 사기,  피해도 불어나고 있어

이: 그렇지 않아도 저희 방송에서 스마트폰이나 PC 등을 노린 신종 사기 수법들에 대해 몇 차례 소개를 드린 바가 있는데요. 요즘 스마트폰이나 PC를 노린 사기들이 기승을 부리고 있다고 하죠?

원: 네, 최근에는 암호화폐 사업을 빙자한 사기나 새로운 수법을 이용한 다단계 사기 등이 급증하고 있다고 합니다. 금융감독원에 따르면 작년 다단계 유사수신 검찰 접수인원은 2015년에 비해 2.4배가 증가했다고 해요. 검찰도 이에 강력하게 대응하기 위해 전담팀을 꾸렸다고 하네요.

김: 작년 보이스피싱 피해액도 역대 최대인 4,440억 원을 기록했다고 합니다. 재작년 피해액에 비해 2,009억 원이 증가한 겁니다. 피해액만 늘어난 게 아니라 피해자 수도 늘어났는데요. 작년 보이스피싱 피해자 수는 4만 8,743명으로 집계되고 있는데, 이는 365일 동안 매일 134명이 12억 원의 피해를 입은 것과 마찬가지입니다. 또 보이스피싱 피해액의 약 70%는 이전부터 있었던 전형적 대출빙자형 사기였는데, 여기에서 주목해야 할 건 모바일 SNS가 활성화되면서 지인 등을 사칭한 메신저피싱의 피해가 216억 원으로 크게 증가했다는 겁니다.

원: 주로 가장 많이 피해를 본 연령층은 40대에서 50대로 추산되고 있으며, 그 뒤를 60대 이상의 고연령층이 차지하고 있습니다 놀랍게도 30대 이하의 비중도 전체의 21%를 차지한다고 합니다. 전 연령대에서 고르게 피해가 발생하고 있다고 볼 수 있습니다.

이: 그럼 기자님들은 실제로 당해본 피싱 사례가 있으신가요?

원: 저는 평소에 존댓말로 얘기하던 지인이 갑자기 메신저로 ‘뭐해?’, ‘바빠?’라면서 돈을 빌려달라기에 바로 눈치를 챘어요. 전화했더니 역시나 아니라고 하더라고요. 그런데 얼마 전에는 카카오톡으로 한 명이 계속 블로그를 빌려달라고 연락이 오더라고요. 알고 보니 이것도 피싱 수법 중에 하나였습니다.

김: 저는 경찰청이라면서 전화가 왔는데, 제 명의로 대포폰이 개통이 됐다고 되게 제가 죄지은 것처럼 얘기를 하더라고요. 근데 마침 제가 급하게 해야 할 일이 있어서 좀 이따 전화 달라고 했거든요. 전화 상으로 되게 당황하면서 알겠다더니, 다시 전화가 안 오더라고요. 나중에 알고 보니까 이게 되게 전형적인 보이스피싱이었더라고요.

누구나 한 번쯤 경험한  피싱 사기 수법

이: 이제 우리 주변에서 보이스피싱을 당해보지 않은 사람을 찾기가 더 힘든데요. 전화가 와서 검찰청인데 언제까지 오라거나, 어디로 잘못 송금된 돈을 입금해 달라거나 하는 사기성 짙은 전화는 직접 받아봤거나 받아보지 않았더라도 주변에서 받아봤다는 경험담을 들어본 경험이 있으실 거예요.

원: 방금 말씀하신 형태가 지금까지 많이 알려진 고전적인 보이스피싱의 방법이죠. 전화가 아니라도 문자로 그런 수상쩍은 메시지 많이들 받아보셨을 거예요. 최근에는 여기에 카카오톡 같은 메신저를 이용한 신종 피싱이 활개를 치고 있습니다. 가령 메신저에 주소가 등록된 누군가가 갑자기 급전이 필요하니 돈을 빌려달라고 메시지를 보내옵니다. 그 누군가가 친구, 직장 상사, 심지어는 가족이 될 수 있어요. 급한 마음에 불러주는 계좌로 돈을 송금하고 보면, 그게 피싱이었던 겁니다.

이: 맞아요, 그리 친하지 않은 직장동료가 갑자기 반말로 친하게 굴면서 돈을 빌려달라고 말을 걸어와서, 피싱임을 직감하고 상대방을 농락한 경험담들이 캡처가 돼서 유머 소재로 많이 퍼지곤 했죠.

원: 이런 방식도 이제는 비교적 고전적인 방식으로 분류해야 할 겁니다. 그렇지만 이게 막상 자신의 일이 되면 말씀주신 유머 소재처럼 쿨하게 반응하기 힘들 수도 있을 겁니다. 연로하신 부모님, 자식들에게서 돈이 필요하다는 메시지를 받았을 때, 그걸 쿨하게 무시할 수 있는 사람이 어디 있겠어요.

김: 만약 상대방이 입금을 요구하는 계좌의 소유주가 그 사람의 이름과 일치하지 않는 경우에는 높은 확률로 피싱일 가능성이 높고요. 누가 메신저로 돈을 달라고 하면, 일단 본인 확인을 할 수 있게 전화를 달라고 하셔야 합니다.

원: 문제는 최근 들어 횡행하는 피싱은 이런 단순한 입금유도 사기에 국한되지가 않습니다. 기하급수적으로 늘어나는 사기 피해는 보다 교묘하게 사기 수법이 진화하고 있기 때문입니다. 이제는 앞서 우리가 이야기한 것처럼 누군가를 사칭해서 돈을 빌려달라고 속이는 고전적 수법을 넘어서고 있습니다.

블로그 빌려줬을 뿐인데  보이스피싱 공범에 가담?

이: 말씀주신 대로 돈을 빌려달라는 수법만 있다면 해가 갈수록 폭증하는 사기의 규모의 피해액을 설명하기 힘들어 보이거든요. 요즘에는 그러면 어떤 방법들이 주로 사용되고 있나요?

원: 혹시 그런 메시지 받아보셨는지 모르겠어요. 블로그를 임대해 달라거나, 물건을 잠시 맡아줄 재택알바 자리가 있다거나 하는 류의 문자요. 저는 예전에 잠시 운영하던 블로그가 있어서 특히 블로그 임대에 관한 문자를 종종 받고 있거든요.

김: 저도요. 저도 블로그를 한 적이 있는데, 블로그를 사용하게만 해 주면 매달 정기적으로 돈을 입금하겠다는 문자를 받은 적이 있어요.

원: 예를 들어서 제가 핸드폰을 팔려고 중고나라에 접속해서 물건을 등록했다고 가정할게요. 중고나라에 글을 올리면 그 글은 회원들 모두가 볼 수가 있죠? 단순히 물건만 보는 게 아니라 그 글에서는 저의 관한 다양한 정보가 동시에 공개됩니다. 나의 포털 사이트 ID, 전화번호, 운영하고 있거나 운영했던 블로그의 주소 등이 말이죠. 그리고 접촉을 해 오는 겁니다. 가령 ‘원수연의 IT스토리’’ 블로그를 운영하시는 분이시죠? 블로그를 저희가 잠깐 사용하게 해 주실 수 없으실까요?’ 이런 식으로 연락이 오는 거예요.

이: 중고나라 글에는 전화번호도 있고 글 쓴 사람 아이디도 있고 닉네임도 있으니까, 조금만 공을 들이면 피싱이 아니라 마치 그 사람에게 블로그를 ‘팔아달라’는 성의가 담긴 제안으로 포장을 할 수가 있겠네요.

원: 그리고 그 피싱에 혹해서 제가 ‘블로그를 임대해 드릴게요, 아니면 물건 맡아두는 재택알바를 할게요’라고 하면 알바비나 임대비를 받을 제 계좌를 상대방에게 알려줘야 되겠죠? 그러면 상대방은 그 정보를 이용해 제 계좌에 돈을 입금하게 됩니다. 그 돈은 상대방이 보이스피싱 같은 사기로 획책한 검은 돈입니다. 처음 얼마간은 소액을 조금씩 입금하다가, 큰돈을 입금한 다음에 오입금했으니 인출해서 돌려달라거나 지정된 어느 계좌로 송금해 달라거나 요구를 하는 거죠.

김: 이게 재택알바라고 꼬드기고는 범죄로 얻은 검은 돈의 현금인출책으로 연루시키는 겁니다. 만약 실제로 지정된 계좌로 돈을 입금하게 되면 재택알바로 소액이나 벌고자 했던 편집장님은 순식간에 사기죄의 공범이 되게 됩니다. 최악의 경우 편집장님은 현금인출책을 넘어서 이들에게 돈을 뜯기는 피해자로서도 발전할 수 있습니다. 끔찍한 일이죠.

원: 이런 수법으로 가상화폐가 활용되기도 합니다. 지금 가장 활발한 가상화폐를 활용한 사기는 구매대행 알바 사기에요. 기본적으로는 이것도 지금까지 말씀드린 방법도 그 구조는 동일합니다. 가상화폐 구매를 대행해 주면 거래량의 몇 퍼센트를 지급하겠다는 거래대행 알바에 누군가가 응했다고 가정하면요. 이 사람은 의뢰자가 입금한 돈으로 가상화폐를 대신 구매하게 됩니다. 구매가 완료되는 순간 의뢰자는 잠적합니다. 여기에서 당연히 입금 받은 돈은 다른 경로로 금융사기를 당한 다른 사기 피해자의 피해금입니다.

김: 이렇게 되면 사기꾼은 검은 돈을 가상화폐로 세탁하는 데 성공하고, 이 사람은 이 사기의 공모자가 됩니다. 금융범죄는 단순 가담하더라도 공범으로 구속되고 법원에서도 실형이 선고되는 사례가 굉장히 많습니다. 어느 날 내가 받은 솔깃한 재택알바 공고 문자는 사실 그 어떤 사기보다도 무서운 피싱일 수 있다는 점 주의해 주세요.

간편결제, APK 설치를 이용한  사기 수법도

이: 넓은 의미에서 보자면 방금까지 말씀주신 사례들은 고전적인 보이스피싱의 발전형으로 보이기도 하네요. 여기에 블로그나 가상화폐 같은 개념들이 붙어서 사람들을 더 현혹시키는 거구요. 이것보다도 더 교묘한 형태의 사기들도 많이 있을 거 같아요.

원: 네이버페이나 페이코, 카카오페이 같은 간편결제가 굉장히 널리 퍼졌죠. 이를 활용한 사기도 굉장히 많아졌습니다. 특정 URL을 클릭하면 기존의 간편결제 화면과 똑같은 화면이 펼쳐지고, 여기에 중요 금융정보를 입력하라는 피싱도 굉장히 많아졌어요.

김: 중고나라에서 물품을 구매하려고 했더니 판매자가 URL을 보내요. 이 URL로 들어가서 네이버페이로 결제하면 상품을 보내주겠다는 건데요. 들어가서 봤더니 언제나 보던 그 네이버페이 결제화면이 뜹니다. 근데 이상해요. 간편결제 비밀번호를 입력했더니, 결제정보를 새로 입력해야 한다면서 계좌번호와 비밀번호를 입력하고 공인인증서를 업로드하라고 합니다. 느낌이 이상해서 연결된 URL을 보니 교묘하게 뭔가 달라요. 페이가 ‘PEY’로 표기돼 있다거나 네이버가 ‘NEIVER’로 표기돼 있다거나. 혹은 URL이 naver.com이 아니라 naverpaymentsystem.jp와 같은 이상한 URL인 겁니다.

원: 이게 요즘 성행하는 또 하나의 사기 수법입니다. 방금 말씀하신 대로 여기에 정보를 입력하면 내 계좌에서 돈이 술술 빠져나가는 경험을 하실 수 있습니다. 아니면 간편결제로, 내가 모르는 곳으로 발송되도록 상품권이 결제되거나 하는 거죠. 단순히 중고거래가 아니라 쇼핑몰 같은 사이트를 구축해 놓고, 이렇게 사람들을 낚는 사기꾼들도 많습니다. 한 걸음 더 나아가 볼까요? 결제화면에서 결제할 신용카드를 선택했더니, 그 신용카드사의 전용앱을 설치하라고 하면서 URL을 안내합니다. 그 URL을 따라서 설치를 했더니 실제로 앱 설치파일이 다운로드가 되고, 또 설치가 돼요. 근데 그게 위조 앱인 겁니다. 앱을 설치하고 실행하는 순간 스마트폰의 주된 정보가 다 빠져나갑니다. 알고 보니 그 앱은 랜섬웨어였던 거죠.

김: 단순히 정보만 빼내가는 게 아닌 경우들도 있어요. 실행시키는 순간 그 앱 외에 다른 화면으로의 전환 등의 조작이 불가능해집니다. 스마트폰 화면에는 100달러를 5일 안에 입금하라는 경고 문구만 떠 있습니다. 100달러를 입금하면 코드를 줄 거고, 그 코드를 입력하면 잠금이 풀리거나 삭제된 파일들을 복구시켜 주겠다는 식으로 안내를 합니다. PC에서 주로 보던 크립토락커 방식의 랜섬웨어가 최근 이렇게 스마트폰에서도 발견되고 있습니다.

이: 상상만 해도 아찔한데요. 만약에 실제로 그런 앱을 설치해서 그런 상황에 처하면 어떻게 하면 되죠?

원: 아이폰의 경우에는 원천적으로 앱스토어에서 허용하지 않은 앱은 설치가 불가능하니 그런 염려는 하지 않으셔도 됩니다. 안드로이드의 경우에는 PC처럼 내장 용량에 저장된 파일들이 손상을 입게 되는 경우들이 있을 수 있습니다. 만약 이런 경우에 맞닥뜨리셨다면 빨리 스마트폰을 안전모드로 재부팅하시고, 설정 메뉴에서 앱 관리 항목을 찾아 들어가셔서 랜섬웨어를 포함한 앱을 삭제하시기를 권장드립니다.

김: PC의 랜섬웨어들도 마찬가지인데요. 설사 입금해서 코드를 받아 이를 해제한다고 하더라도 가지고 있던 파일들이 복구되는 경우는 많지 않습니다. 안타깝지만, 이런 경우를 막기 위해서는 사후 조치보다는 예방이 더 효과적입니다.

원: 스마트폰 앱의 경우에는 구글 플레이에서 제공하는 앱이 아닌 경우에는 설치하지 않으시는 것을 권장합니다. 현재 대부분의 회사들은 자사 서비스를 위해서 공식 마켓에서 앱을 제공하고 있습니다. 임의로 APK 파일을 제공해서 설치를 유도하는 서비스들은 거의 없다고 봐도 무방해요. 부디 검증되지 않은 경로로 다운받게 되는 앱은 절대 설치하지 않도록 하는 게 좋겠습니다.

예방법은 뭐가 있을까?

이: 지금까지 스팸, 피싱, 랜섬웨어의 사례를 들어봤는데요. 그렇다면 혹시나 내게도 다가올지 모를 이런 사기들을 피하기 위해서 우리는 뭘 조심하면 좋을까요?

원: 앞서 이야기한 것처럼 구글 플레이나 원스토어 같은 검증된 앱 마켓이 아닌 곳에서 배포되는 앱 파일은 절대 설치하면 안 됩니다. 혹시나 URL을 잘못 클릭해서 설치파일을 다운받게 되었더라도 너무 당황하지 마세요. 설치만 하지 않으시면 됩니다. 대부분의 스마트폰들은 ‘허용되지 않은 앱의 설치’는 기본적으로 차단하도록 설계돼 있습니다.

김: 앱 마켓에서 앱을 받지 않는 한은 받자마자 바로 설치가 이뤄지진 않아요. 임의로 스마트폰 소유자가 외부 앱 설치를 허용해 줘야만 가능합니다. 겉보기에 멀쩡해 보인다고 절대 그냥 설치하시면 안 된다는 점 명심해 주세요.

원: 요즘 은행에서 송금하려면 경고 메시지가 반드시 뜨죠? 수상쩍은 곳에서 송금해 달라는 요청을 받고 보내는 거냐는 확인 팝업이요. 이게 왜 뜨겠어요. 급전을 필요로 하는 누군가로부터 입금 요청을 받으셨다면, 꼭 당사자와 직접 통화를 해 보세요.

김: 혹시나 입금을 하고 나서 이게 피싱일 수 있겠다 깨달으셨다면 상대방 계좌 은행으로 전화를 거셔서 지급금지명령을 신청하세요. 30분이 지나면 지급금지명령 신청이 불가능할 수 있습니다. 최대한 빨리 금지 명령을 신청하셔서 피해를 구제받으시길 바랍니다.

원: 그리고 항상 의심을 하세요. 듣기에 솔깃한 알바 제안은 기본적으로 의심해 보셔야 합니다. 블로그를 빌려주기만 하는데 매달 100만 원이 넘는 돈을 준다? 언뜻 스스로도 잘 이해가 가지 않는다면 그건 당신의 계좌를 노린 피싱일 수 있습니다.

이: 정말 사기라는 게, 한 걸음 떨어져서 바라보면 ‘왜 저런 데에 속을까’ 싶을 때가 있잖아요. 그런데 앞서 이야기를 나눈 사례들은 그렇게 떨어져서 바라보기가 힘든 수법들이 많아 보이네요. 교묘하기도 하고, 이게 내게 닥치면 난 잘 피해 갈 수 있을까 걱정되기도 하고요. 사기를 당하지 않기 위해서 우리 모두 스스로가 많은 주의를 기울여야 할 때인 거 같습니다. 두 분 좋은 말씀 감사드리고요. 아쉽지만 오늘은 여기까지 하겠습니다. 청취자 여러분들도 듣고 싶고, 알고 싶은 주제가 있다면 댓글 남겨주세요. 우리는 다음 방송에서 다시 만날게요. 안녕.