“여보세요 서울지방 경찰청 박OO 수사관입니다.” 무심코 받은 전화 한 통에 평범한 40대 가장 회사원 김 모씨의 삶이 송두리째 뒤틀렸다.

“주민번호가 671212-1234567 맞으시죠? 최근 사기범을 검거했는데 취조 결과 김씨 명의의 통장이 범죄에 이용되고 있다는 사실을 알게 됐습니다.”

은행거래에서 별다른 점을 발견하지 못했고 의심이 많은 편인 김씨는 그런 일이 없다고 답했다.

“개인정보가 유출되어 명의가 도용된 것 같습니다. 신속히 경찰청 홈페이지에 접속해 개인정보 침해신고를 하지 않으면 피해를 막을 수 없습니다.”

김씨는 자신의 개인 신상을 훤히 꿰뚫고 있다는 점과 얼마 전 모 통신사에서 개인정보가 유출된 사실이 있었던 차에 직접 계좌번호나 카드 비밀번호를 묻지 않았던 터라 별다른 의심 없이 사기범이 가르쳐 주는 사이트에 접속했다.

이는 경찰청 홈페이지를 가장한 피싱사이트였다. 실제와 거의 흡사하게 꾸며진 피싱사이트에 접속한 김씨는 개인정보 침해신고를 클릭해 거래은행명과 계좌번호 및 계좌 비밀번호, 이체 비밀번호, 보안카드 번호, 신용카드 번호 및 CVC 등을 입력했다.

사기단은 김씨가 입력한 금융거래정보 등을 이용해 공인인증서를 쉽게 재발급 받았고 인터넷뱅킹을 통해 카드론 대출을 받은 후 김씨 계좌로 입금된 돈과 정기적금, 보통예금 등 모두 9000만원을 인출해 갔다. 결혼 이후 근 10년간 착실히 모아온 목돈을 한순간에 날린 것은 물론 수천 만원의 대출까지 떠안게 된 김씨는 몇 차례 자살을 시도하기도 했다.

Part 1 ‘악마의 목소리’ 약자의 목덜미를 노린다 보이스피싱(Voice Phishing)은 ‘전화를 통해 개인정보를 낚아 올린다’는 뜻으로 음성(Voice) 개인정보(Private data) 낚시(Fishing) 세 가지가 합성된 신조어로 법정명칭은 전기통신금융사기다. 2000년대 초반 대만에서 시작된 이후 중국 일본 싱가포르 한국 등 주로 아시아 지역에 급속도로 확산됐다. 초창기 어눌한 말투나 연변 사투리로 전화를 걸어 황당한 이유를 대며 금융정보를 요구하던 보이스피싱은 더이상 찾아보기 힘들다. 조직적인 보이스피싱 사기단은 본부와 콜센터를 두고 국내에 인출팀, 환전·송금 전담팀, 계좌모집팀 등 4개 조직이 유기적인 네트워크를 이뤄 움직인다. 본부는 쉽사리 노출되지 않고 지시사항만 전달하며 콜센터는 전산팀, 시나리오팀, 텔레마케팅팀 등으로 구성돼 역할을 분담한다.

국내의 계좌모집팀은 인터넷을 통해 대포통장을 매입하는 한편 노숙자나 신용불량자를 꼬드기기도 한다. 사기가 완성돼 대포통장에 돈이 입금되면 인출과 환전 송금이 단계적으로 순식간에 일어나 환수가 불가능한 사례가 대부분이다. 구성원은 중국인이나 조선족이 대다수지만 최근 국내에서 중국 현지와 조직적으로 연계해 활동한 보이스피싱 사기단이 검거되기도 했다.

진화된 보이스피싱 사기단은 유창한 표준어로 기관을 사칭하는 등 치밀하고 다양한 수법으로 사기행각을 벌이고 있다. 위 김씨의 사례는 최근 성행하고 있는 수법인 피싱 사이트 유도 방식이다. 명의도용, 개인정보 유출, 범죄사건 연루 등의 명목으로 피해자를 현혹해 가짜 사이트로 유인, 인터넷뱅킹 정보나 카드와 계좌정보 등을 알아낸 후 돈을 가로챈다.

이러한 피싱 사이트를 활용하는 방식에서 진화된 수법도 등장했다. ‘파밍(Pharming)’으로 불리는 이 방식은 PC에 악성코드 등을 설치해 이용자가 정상적인 주소를 입력해도 가짜 사이트로 이동하도록 해 정보를 유출하는 해킹 방식의 고도의 사기 범죄다.

국내에 이처럼 보이스피싱 사기가 성행하고 있는 이유로 전문가들은 잘 갖춰진 IT인프라를 꼽는다. 한 IT전문가는 “국내 잘 갖춰진 IT기반이 보이스피싱 사기단에게도 좋은 타깃이 되고 있다”며 “중국 쪽 사기단들은 대부분 발신번호 조작이 가능한 인터넷전화를 이용하는데 국내는 현재 누구나 인터넷전화를 쉽게 받을 수 있어 별다른 제약 없이 범행에 활용하고 있다”고 설명했다.

불특정다수 노리지만 피해자 다수는 ‘약자’ # 늦은 저녁 전화 한 통을 받은 가정주부 이씨(36·여). 올해 10살 된 딸의 애칭인 ‘공주님’이 발신번호창에 표시되자 “우리 딸, 집에 오고 있어요?”라며 반갑게 전화를 받았다. 별안간 아이의 비명소리가 들린다. “엄마 살려줘! 이 아저씨들이 날 죽이려고 해!” 이씨는 별안간 정신이 아득해지고 숨이 턱 막혔다. 전화기에는 차분하고 차가운 목소리로 “아이를 데리고 있으니 800만원을 송금하라”는 남성의 목소리가 뒤이어 들려온다. 20분 내에 송금하지 않으면 아이의 귀를 자르겠다는 섬뜩한 협박도 잊지 않는다. 뒤쪽에서는 끊임없이 아이의 비명과 울음소리가 들려온다.



위 사례는 자녀를 인질로 부모를 협박한 사례다. 2006년부터 등장한 이러한 형태의 보이스피싱은 지금까지 지속적으로 나타나고 있다. 아이를 볼모로 잡힌 부모는 지위고하를 불문하고 약자가 될 수밖에 없다. 몇 년 전 현직 법원장이 ‘아들을 납치했다’는 전화에 6000만원을 송금한 사례가 대표적이다.

불특정다수를 대상으로 하는 보이스피싱 범죄대상에 예외란 없다. 그러나 피해자는 ‘약자’인 경우가 많다. 국내 보이스피싱이 등장할 당시부터 한동안 농어촌 지역 장년층을 대상으로 한 사기가 기승을 부렸다. 최근까지 보이스피싱 피해자를 분석해보면 40~50대 장년층이 50%에 이른다.

한 금융감독원 관계자는 “몇 년 전까지만 하더라도 중장년층 피해자의 비율이 지금보다 더 높았으나 최근 사기수법이 공인인증서나 인터넷뱅킹 등으로 진화하면서 20~30대 피해자 비중이 늘어났다”고 설명했다.

최근에는 대입합격을 기다리는 수험생이나 저신용자를 노리는 보이스피싱도 등장했다.



# 모 대학에 원서를 넣고 합격소식을 기다리고 있는 수험생 A는 오후 1시경 대학에 추가 합격했다는 전화를 받았다. 너무나 기쁜 A는 당일까지 등록금 500여만원을 입금하라는 이야기를 듣고 부모님께 서둘러 입금하도록 했다. 그러나 며칠이 지나도 별다른 소식이 없던 차에 직접 대학에 전화를 건 A는 하늘이 무너지는 소식을 듣게 된다. 합격자 명단 어디에도 A의 이름은 없다는 것이었다.



저신용자를 대상으로 한 보이스피싱 사기는 ‘신용등급을 올려주고 대출을 받게 해주겠다’고 유혹해 돈을 뜯어내는 수법이다. 내 집 마련 등으로 목돈이 필요한 서민들에게 ‘신용등급을 상향 또는 조정시켜주겠다’는 명목으로 돈을 뜯어낸다. 피해자가 간절하게 원하는 바를 노리고 접근하는 치밀한 범행 유형이다.

경찰청 관계자는 “사기단이 범행대상의 상황을 정확히 파악하고 접근하는 경우는 피해를 입을 가능성이 더욱 커진다”며 “상식적으로 단기간 내 신용등급을 올리기 힘들다는 것을 알면서도 혹시나 하는 마음에 속게 되는 것”이라 설명했다.

Part 2 보이스피싱 천태만상 # 회사원 B씨는 스마트폰 메신저 애플리케이션을 통해 친구로부터 ‘급하게 돈이 필요하니 돈을 빌려달라’는 메시지를 받았다. 이름은 낯이 익지만 자주 연락하는 친구가 아니었기에 보이스피싱이 의심됐다. 대화창 아래에는 ‘보이스피싱이 의심되니 버튼을 눌러 신고하라’는 문구가 떠있었다. 클릭하니 ’보이스피싱 범죄 신고 사이트’로 연결됐다. 신고에 필요한 정보를 입력하니 자신의 계좌에서 300만원의 돈이 출금됐다. 신고를 하려다 도리어 사기범에게 돈을 헌납하게 된 것이다.

B씨의 사례는 컴퓨터나 모바일 메신저를 통해 친구나 주변 지인을 사칭한 후 일부러 의심을 사 신고하도록 유인하는 방식이다. 그 과정에서 취득한 정보는 공인인증서를 재발급하는데 사용되고 그렇게 얻은 공인인증서는 돈을 이체시키는데 사용된다. 얼마 전 등장한 ‘이중트릭’ 수법이다. 간혹 교묘하다 못해 치밀한 시나리오를 거친 사례는 기발함에 무릎을 치게 만들기도 한다.

천태만상 다양한 모습을 띄는 보이스피싱이지만 일반적으로 일어나는 보이스피싱은 일정한 패턴을 지니고 있다.

첫 번째는 피해자를 속여 자동화기기로 유인하거나 자금을 이체하도록 하는 유형이다.

과거부터 지속적으로 발생되는 사기형태로 수사기관을 사칭하는 자가 피해자에게 전화를 걸어 ‘당신의 계좌가 범죄사건 등에 연루되었으니 안전조치가 필요하다’고 설명한다. 현금지급기로 유인하거나 후 기기를 조작하게 해 자금을 편취한다. 주로 국세청이나 건강보험공단, 국민연금관리공단 직원 등을 사칭하는 경우가 많다.

학생의 대학지원 명세를 빼내 실제 대학교의 전화번호로 변조, 학부모 및 학생에게 전화해 등록금 납부를 요구하는 사례도 이 유형에 속한다.

두 번째는 자녀납치 및 사고를 빙자해 편취하는 형태다.

자녀와 부모의 전화번호 등을 입수해 자녀의 전화번호로 발신자번호를 변조한다. 부모에게 마치 자녀가 사고 또는 납치 상태인 것처럼 가장해 돈을 요구하는 수법으로 학교에 갔거나 유학 중인 자녀 또는 군대에 있는 아들의 납치나 사고빙자 등으로 피해자를 기망한다. 보이스피싱이 사회적 이슈로 등장하면서부터나타난 유형이지만 막상 닥치면 피해자는 이성을 찾기 힘든 데다 최근에는 전화번호 조작을 통해 보다 업그레이드된 방식으로 진화해 지속적으로 발생되고 있는 유형이다.

세 번째는 메신저 피싱이다.

타인의 인터넷 메신저 아이디와 비밀번호를 알아내 로그인한 후 등록돼 있는 가족이나 친구 등 지인에게 1:1 대화 또는 쪽지를 통해 돈을 요구하는 경우다. 해외에 서버를 두고 해킹하는 경우가 많아 범인검거가 쉽지 않은 경우가 대부분이다.

네 번째는 비교적 최근에 등장한 ARS를 활용한 카드론 대금 편취 유형이다.

검사나 수사관 등을 빙자해 전화를 걸어 ‘개인정보가 유출됐다’ ‘범죄사건에 연루됐다’ 등의 명목으로 피해자를 현혹해 신용카드번호, 비밀번호, CVC번호 등을 알아 낸 후 사기범이 ARS를 통해 피해자 명의로 카드론을 받음과 동시에 피해자에게 다시 전화를 건다. ‘당신의 계좌에 범죄자금이 입금되었다’고 알린 후 피해자에게 사기범 계좌로 이체도록 유인한 후 편취하는 유형이다.

마지막은 상황극 연출 수법이다.

금융사직원, 경찰·검찰 등을 사칭하는 사기범들은 은행 객장과 경찰서, 검찰청 등의 사무실에서 실제로 일어나는 상황인 듯 연출해 피해자를 기망해 편취하는 유형이다. 다양한 사례가 있지만 하나를 예로 들어보자.



# C는 고객을 부르거나 도장을 찍는 소리 등으로 은행지점을 연상케 하는 전화를 받았다. 전화기 속 상대방은 은행직원이라 밝히고 ‘누군가 당신의 신분증을 가지고 돈을 찾아가려 한다’고 말한다. 신분증을 분실한 전력이 있는 C는 마음이 덜컥했다. ‘경찰에 신고해 주겠다’는 은행직원의 말을 듣고 전화를 끊었다.

몇분 뒤 다시 전화가 걸려왔다. 타이핑 소리, 동료 형사를 부르는 소리 등 경찰서 사무실을 연상케 하는 소리가 들려온다. 자신을 수사관이라 밝힌 자가 ‘내가 시키는 대로 하면 계좌는 안전하다’며 ‘당신 통장계좌에 있는 거래내역을 추적해야 하니 불러주는 계좌로 돈을 이체시키라’라는 메시지를 전했다. C는 이 말을 믿고 사기범 계좌에 1250만원을 송금해 피해를 입었다.



최근에는 보이스피싱에서 파생된 피싱 메시지도 기승을 부리고 있다. 금융회사나 금융감독원에서 보내는 공지사항인 것처럼 문자메시지를 발송하고 피싱 사이트를 남겨 금융거래 정보를 입력하게 하는 방식으로 불특정다수의 계좌를 노린다. 보이스피싱은 이처럼 진화에 진화를 거듭해 다양한 모습으로 피해자를 양산하고 있다.

Part 3 뒷짐 지던 금융사·통신사 보이스피싱 키웠다 금융당국은 일찍이 사회적 이슈가 되어 버린 보이스피싱에 전면전을 선포한 바 있다. 올 2월 금융위원회와 방송통신위원회는 공조시스템을 가동해 보이스피싱 피해방지 종합대책을 내놨다. 지난 5월과 6월 각각 시행된 지연입금과 지연인출이 대표적인 결과물이다. 300만원 이상의 계좌 간 이체금액은 입금 후 10분 후에 인출을 허용하고 카드론의 경우 300만원을 넘을 경우 2시간 지연입금을 의무화 했다.

대포통장 관련 대책도 내놨다. 통합관리시스템을 구축해 기존 지급정지 이력이 있는 고객이 계좌 개설을 요청할 경우 주소 등 추가적인 신분절차를 강화하는 등 감시기능을 강화했다.

그러나 이러한 대책은 임시방편에 불과해 근원적인 대책이 될 수 없다. 전문가들은 대다수 해외전화를 통해 전화를 걸어오는 만큼 전화번호 변작을 막는 것과 대포통장을 규제하는 것이 보다 중요하다고 입을 모은다.



현혹 쉬운 ‘발신번호 조작’ 왜 못 막나? 발신번호 조작의 발원지는 인터넷 전화다. 국제전화 식별번호 표시를 하지 않은 전화의 유입이 증가하고 PBX, IP-PBX 등 사설 교환기를 통해 전화가 중계되는 경우 국내 IP로 발신자가 바뀌어 식별이 불가능하게 되는 것이다. 방통위는 이러한 문제를 개선하기 위해 지난 7월부터 수신자 단말기 화면에 뜨는 모든 해외발신 국제전화번호 앞에 국제전화 식별번호를 붙이도록 했다. 하지만 해외에서 걸려오는 모든 전화에 국제전화 표시는 불가능한 실정이다.

방통위 관계자는 “인터넷 전화의 발신번호 조작을 피해 국제전화표시를 하기 위해서는 국제전화사업자별로 노후된 교환기를 교체해야 한다”며 “최근에 대형 국제전화통신사업자들이 자본을 투자해 교환하고 있지만 영세한 별정통신사업자의 경우 교환기 교체가 안 되고 있어 100% 국제전화표시를 강제하기는 힘든 실정이다”라고 밝혔다.

이에 방통위는 별정통신사업자DB로 수집됐으나 국제전화식별번호 표시를 하지 않은 사업자의 통신을 차단 또는 회신계약 해지라는 강수를 뒀다. 2013년부터는 해외에서 국내로 걸려오는 전화번호가 국내 공공기관 등의 전화번호로 변경된 경우 해당 전화통화 자체를 차단할 예정이다.

그러나 규제되는 사업자의 DB가 완벽하지 않은 데다 수시로 바뀔 수 있다. 또한 공공기관 이외에 개인의 자택이나 휴대폰 번호로 위장하는 경우에는 아직까지 뾰족한 대책이 없는 실정이다.

방통위 관계자는 “기술적으로 해외 인터넷전화를 통한 보이스피싱을 100% 사전 차단하기는 힘들다”며 “특히 별정통신사를 몇 번씩 거치고 오는 경우는 국제전화표시가 되지 않고 규제도 힘들다”고 설명했다.



방통위 엄포에 부랴부랴 수습 나선 통신사들 최근 국제전화 사업자들은 해외 보이스피싱 차단과 예방을 위해 200억가량을 투자하기로 결정했다. 보이스피싱이 사회적 이슈가 된 데다 방통위의 압박이 있었기 때문에 ‘울며 겨자 먹기’로 자금을 투입하기로 한 것이다. 가장 적극적인 곳은 KT다.

방통위 관계자는 “투자금액의 가장 많은 비중을 차지하고 있는 사업자는 KT”라며 “워낙 대형사업자이자 사용 중인 교환기도 많고 망 시험에 드는 비용도 상당하기 때문”이라 설명했다.

KT가 이렇게 적극적인 협조를 하는 이유는 더 있다. 최근 ‘개인정보유출’ 파문이라는 원죄를 떠안고 있기 때문이다. 보이스피싱 사기의 단초가 되는 개인정보 유출이 통신사에서 벌어졌다는 점에서 KT는 연일 날선 비판을 받고 있다. KT 이외에 모든 국제전화통신 사업자들은 방통위의 요청이 있기 전 자정적인 보이스피싱 예방과 차단을 위한 어떤 노력도 보여주지 않았다. 이러한 측면에서 국제전화통신 사업자들은 도의적인 비판에서 자유롭기 힘들다.

뒷짐 지고 있던 것은 금융사들 역시 마찬가지다. 전문가들은 “범행의 필수불가결한 ‘대포통장’ 사용을 막기 위한 필터링 작업이나 최근 많은 범행루트가 되고 있는 ‘인터넷뱅킹’ ‘폰뱅킹’ 등에 본인확인 절차과정을 보다 정교하게 바꾸고 경고메시지도 진작 강화됐어야 한다”고 지적한다. 무조건적 간소화·신속화를 내건 금융서비스 경쟁은 보이스피싱 사기단의 손쉬운 범죄를 도운 격이다.

이처럼 통신사와 금융사들은 범죄에 중차대한 원인을 제공했으나 책임 측면에서는 자유롭다. 지금이라도 적극적인 조치를 통해 보이스피싱 피해를 막기 위한 현실적인 대책을 내놓는 길이 원죄를 조금이나마 씻을 수 있는 유일한 방법이다.

[박지훈 기자]

[본 기사는 매일경제 Luxmen 창간 제25호(2012년 10월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]