보이스피싱 예방법 (사칭형, 스미싱, 골든타임)

 

솔직히 저는 보이스피싱이 남의 일인 줄 알았습니다. 고령 노인분들이 당하는 범죄라고 막연하게 생각했는데, 지인이 부고 문자에 포함된 링크를 눌렀다가 악성 앱이 설치되는 피해를 당하고 나서야 제 생각이 완전히 틀렸다는 걸 깨달았습니다. 전기통신금융사기는 이미 나이를 가리지 않고 우리 일상 깊숙이 들어와 있습니다.

 

사칭형 보이스피싱, 왜 이렇게 잘 속을까

보이스피싱 중 가장 많이 쓰이는 수법은 사칭형입니다. 사칭형이란 금융기관, 수사기관, 혹은 가족을 가장해 피해자에게 심리적 압박을 가한 뒤 현금이나 개인 금융 정보를 빼내는 방식입니다. 막상 설명으로 들으면 "내가 왜 속겠어"라고 생각하는 분들도 있는데, 저도 처음에는 그렇게 생각했습니다.

 

그런데 실제 사례를 보면 이야기가 달라집니다. 사기범들은 2인조로 움직이는 경우가 많습니다. 먼저 한 명이 은행 직원을 사칭해 대출 확인 명목으로 주민번호, 주소, 대출 금액 같은 개인 정보를 수집합니다. 그 정보를 넘겨받은 두 번째 사기범은 금융감독원 직원이라고 접근하면서 "당신의 대출이 불법입니다, 구속 수사가 진행됩니다"라고 협박합니다. 이미 수집된 개인 정보를 정확히 거론하니 피해자 입장에서는 실제 기관의 연락이라고 믿을 수밖에 없는 구조입니다.

 

저희 부모님도 비슷한 전화를 받으신 적이 있습니다. 다행히 그 순간 핸드폰 배터리가 방전되는 바람에 통화가 끊겼고, 그게 오히려 사기를 피하게 해준 셈이었습니다. 정말 아찔한 상황이었는데, 그런 운이 항상 따라오는 것은 아닌 만큼 미리 아는 것이 최선이라고 생각합니다.

 

한 가지 중요한 포인트가 있습니다. 정부 기관과 금융기관은 어떤 경우에도 전화나 문자로 금전 및 개인 정보를 요구하지 않습니다. 이것만 기억해도 사칭형 피해의 상당 부분을 막을 수 있습니다.

 

스미싱과 파밍, 클릭 한 번이 전부를 내준다

스미싱(Smishing)이란 SMS와 피싱(Phishing)의 합성어로, 문자 메시지에 포함된 악성 URL을 클릭하도록 유도해 피해자의 스마트폰에 악성 앱을 설치하는 수법입니다. 여기서 피싱(Phishing)이란 낚시(Fishing)에서 유래한 말로, 미끼를 던져 개인 정보나 금전을 낚아채는 행위 전반을 의미합니다.

 

제 지인이 당한 부고 문자 스미싱도 이 방식이었습니다. 보낸 사람 이름이 아는 사람 이름과 비슷했고, 문자 내용도 자연스러워서 별 의심 없이 링크를 눌렀다고 했습니다. 링크를 누른 순간 악성 앱이 자동 설치되었고, 이후 연락처에 저장된 지인들에게 동일한 가짜 문자가 일괄 발송되는 피해로 이어졌습니다. 스미싱이 무서운 이유가 바로 이 점입니다. 피해자가 피해자인 동시에 자신도 모르게 사기에 가담하는 유통 경로가 되어버립니다.

 

파밍(Pharming)은 스미싱보다 탐지하기가 훨씬 어렵습니다. 파밍이란 피해자의 기기에 악성 코드를 심어 정상적인 금융기관 홈페이지 주소를 입력해도 가짜 사이트로 자동 연결되도록 하는 수법입니다. 주소창에 실제 은행 URL이 표시되어 있어도 이미 가짜 사이트일 수 있다는 뜻입니다. 2023년 경찰청 통계에 따르면 전기통신금융사기 피해액은 연간 수천억 원에 달하며, 스미싱과 파밍을 활용한 비대면 사기 비중이 지속적으로 증가하고 있습니다(출처: 경찰청)

 

스미싱과 파밍을 막기 위해 제가 실제로 실천하고 있는 방법들은 다음과 같습니다.

• 지인에게 온 부고나 청첩장 문자라도 링크가 포함되어 있으면 전화로 먼저 확인한 뒤 클릭합니다.
• V3, 알약 등 모바일 백신을 최신 버전으로 유지하고 주기적으로 정밀 검사를 실행합니다.
• 시티즌코난, 더치트 같은 보이스피싱 차단 앱을 설치해 의심 전화와 악성 앱을 사전에 걸러냅니다.
• 출처 불명의 문자는 URL을 클릭하지 않고 스팸 신고 후 즉시 삭제합니다.

일반적으로 백신 앱만 있으면 충분하다고 생각하는 분들도 있는데, 저는 시티즌코난을 추가로 설치한 이후 실제로 악성 앱 설치를 시도한 문자를 두 번 이상 걸러낸 경험이 있습니다. 앱 하나 더 설치하는 게 번거롭다고 느껴지실 수 있지만, 실제로 써보니 효과가 분명히 있었습니다.

 

피해를 당했다면, 골든타임이 있다

피해 예방도 중요하지만, 이미 피해를 당했을 때 어떻게 행동하느냐도 못지않게 중요합니다. 보이스피싱 피해에는 골든타임이 존재합니다. 피해를 인지한 즉시 아래 순서로 움직여야 피해를 최소화할 수 있습니다.

1. 경찰(112)과 금융감독원(1332), 거래 금융회사에 동시에 연락해 피해 신고와 지급정지를 요청합니다.
2. 악성 앱이 설치되었을 가능성이 있다면 휴대폰을 즉시 초기화하거나 악성 앱을 삭제합니다.
3. 개인 정보 노출 사실을 금융감독원 개인정보 노출자 사고예방 시스템에 등록해 신규 계좌 개설을 차단합니다.
4. 계좌정보 통합관리 서비스(페이인포)를 통해 본인 명의 전체 계좌를 일괄 지급정지합니다.
5. 명의도용 방지 서비스를 이용해 본인 명의로 개설된 휴대전화를 확인하고 신규 개설을 차단합니다.

피해 예방 제도도 미리 신청해두는 것을 권장드립니다. 지연이체 서비스는 자금 이체 시 일정 시간 동안 송금을 보류시켜 피해 발생 시 구제할 수 있는 시간을 확보해주는 서비스입니다. 금융감독원에 따르면 ATM 지연 인출 제도, 입금계좌 지정 서비스, 해외 IP 차단 서비스 등 다양한 예방 장치를 사전에 활용하면 피해를 상당히 줄일 수 있다고 밝히고 있습니다(출처: 금융감독원)

 

메신저 피싱에 대비해 가족 간 암호를 정해두는 것도 실용적인 방법입니다. 예를 들어 "우리 집 첫 번째 반려동물 이름은?"처럼 가족만 알 수 있는 질문을 미리 정해두면, 자녀를 사칭한 긴급 송금 요청에 이성적으로 대응할 수 있습니다.

 

보이스피싱, 스미싱, 파밍은 이제 특정 세대의 문제가 아닙니다. 저도 처음에는 남의 일이라 여겼지만, 지인의 피해와 부모님의 아찔한 경험을 겪고 나서야 생각이 완전히 바뀌었습니다. 수법은 점점 정교해지고 있고, 캄보디아 보이스피싱 조직처럼 국제적 규모로 확대되는 추세입니다. 낯선 연락이 왔을 때 일단 멈추고, 다른 방법으로 사실을 확인하는 습관 하나가 내 재산을 지키는 가장 확실한 방법입니다.

 

이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 금융 또는 법률 조언이 아닙니다. 피해가 발생한 경우 반드시 전문 기관에 즉시 연락하시기 바랍니다.

---

참고: https://youtu.be/TOd3QEFfl34?si=r1NnoWSWDLNBzQRs