a
▲ 스마트폰 스미싱 문자. ⓒ 김동환
"경찰서 다녀오고 하느라 고생 좀 했죠. 어머니 스마트폰은 소액결제 안 되게 아예 막아버렸어요."
서울 노원구에 사는 김아무개씨는 지난 7월 집에 도착한 휴대전화 요금 청구서를 뒤늦게 확인하다가 이상한 점을 발견했다. 매달 5만 원 수준이던 어머니의 휴대전화 요금이 갑자기 10만 원 넘게 치솟은 것. 통신사에서는 김씨의 어머니가 스마트폰으로 컴퓨터 게임 아이템 6만 원어치를 결제했다고 설명했다. 스미싱(스마트폰 소액결제 유도 사기범죄)이었다.
최근 모바일 청첩장, 돌잔치 문자 등 기발한 아이디어들을 동원한 신종 스미싱이 등장하면서 주춤하던 스미싱 피해가 다시 커지는 추세다. 미래창조과학부에 따르면 지난 7월 국내 스미싱 피해액은 3억 9578만 원, 피해 건수는 2726건인 것으로 나타났다. 특히 스마트폰에 대한 이해도가 낮은 노령층 사용자는 피해 사실조차 모르는 경우가 잦아 주의가 요망된다.
법원 사칭에 금융정보 유출까지... 진화하는 '스미싱'
스미싱은 문자메시지로 악성코드를 보내 스마트폰에 설치시킨 뒤 본인 몰래 소액결제를 하거나 금융정보를 가로채는 신종 사기수법을 말한다. 지난해 12월 처음 출현해 기승을 부리다 한 때 피해 건수가 줄었으나 최근 다시 피해가 증가하고 있다.
사용자로 하여금 악성코드 설치 웹주소를 클릭하게 하는 '낚시 기술'도 점점 교묘해지는 추세다. 초창기에는 '제과점 쿠폰 도착', '무료 문자 제공' 등의 문구로 클릭을 유도했지만, 요즘에는 모바일 청첩장, 돌잔치 안내장 등을 가장하거나 '법원에서 등기가 도착됐다' 같은 생활밀착형 '낚시'가 주류다.
일단 사용자가 문자메시지에 들어있는 웹주소를 클릭하면 해당 스마트폰에는 자동으로 악성코드가 설치된다. 스미싱 악성코드는 기본적으로 문자를 가로채는 기능을 한다. 현행 휴대전화 소액결제는 주민등록번호와 전화번호, 통신사를 입력하면 휴대전화로 인증번호를 문자로 보내는데 이걸 가로채면 스마트폰 주인 모르게 월 최대 30만 원의 소액결제가 가능하다.
최근 발견된 악성코드는 한층 진화된 모습이다. 지난 8월 말에 나타나 삽시간 전국으로 퍼진 돌잔치 스미싱 악성코드의 경우 자동 전파 기능이 추가되어 있다. 감염된 사용자의 연락처를 뒤져 사용자 명의로 스미싱 문자를 재발송하는 식이다.
스미싱 웹주소를 눌렀는데 '응용 프로그램을 설치하겠습니까?'라는 메시지가 뜬다면 해킹 앱이다. 최근 발견된 해킹 앱은 자동 설치된 후 관리자 권한에 접근해 스스로를 앱 목록에서 숨긴다. 문자 가로채기, 금융정보 유출은 물론 심한 경우 스마트폰 원격 제어도 가능하다. 또한 해킹 앱은 스마트폰 초기화가 아니면 삭제가 어려워 피해가 더욱 크다.
스미싱 피해 방지책으로는 크게 세 가지가 꼽힌다. 가장 확실한 방법은 출처가 확인되지 않은 인터넷 주소를 클릭하지 않는 것이다. 또한 악성코드 감염 후 추가 피해를 막기 위해 자신의 소액결제를 원천적으로 차단하거나 결제 금액을 제한한다. 각 통신사 고객센터(국번없이 114)에 전화하면 즉각 소액결제 설정이 가능하다.
스마트폰의 보안설정을 강화하는 것도 하나의 방법이다. '환경설정'에 들어간 후 '보안' > '디바이스 관리' 메뉴의 '알 수 없는 출처'에 V체크를 해제해주면 된다. 그러나 최근 발견된 악성코드나 악성 앱은 자체적으로 이 기능에 V체크를 하는 종류도 있어 근본적인 해결책은 아니다.
기자는 당초 개인 스마트폰으로 스미싱 문자 링크를 눌러보고 이후 피해구제를 직접 받아볼 계획이었다. 그러나 불가능했다. 사용하는 기종이 구글 안드로이드 운영체계를 사용하고 있지 않기 때문이었다. 현재까지 나온 스미싱 피해는 안드로이드 운영체계 스마트폰이나 '탈옥(인위적인 OS 해킹)'한 아이폰에 국한되어 있다. 아이폰 사용자는 안심해도 좋다.
"노령층 스마트폰 사용자는 '안전장치' 필수"
스미싱 피해를 본 후에는 어떻게 해야 환불 받을 수 있을까. 소액결제 환불은 두 단계로 이뤄진다. 우선 경찰서에서 발급해주는 '사건사고 사실원'을 받아야 한다. 내 스마트폰으로 일어난 결제가 스미싱으로 인한 것임을 경찰이 인정했다는 문서다.
경찰청 관계자는 "본인 스마트폰과 소액결제 명세서를 들고 경찰서를 방문해서 피해자 진정 조서 양식의 민원서류를 작성해야 한다"고 설명했다. 다만 시일이 오래 지난 후 스마트폰 초기화 등의 방법으로 악성코드를 삭제한 스마트폰을 들고갔을 경우 해킹 피해가 증명되지 않으므로 사실원 발급이 어려울 수 있다.
사실원이 발급되면 해당 통신사에 보내면서 환불을 요구하면 된다. 최근 늘어난 스미싱 피해로 통신사와 소액결제 대행사 사이에 핫라인이 구축되면서 2주 안에 환불 조처가 완료되는 구조가 마련됐지만, 운이 나쁘면 사실원 발급부터 환불 사이에 한 달 이상의 기간이 걸리기도 한다.
업계 관계자는 "자체 심의 과정이 있기 때문에 100% 환불이 되는 것은 아니지만 최근에는 거의 되는 추세"라면서 "더 빨리 환불을 받으려면 통신사에 신청한 후 방송통신위원회에 민원을 넣으면 된다"고 귀띔했다. 방통위에 들어가는 민원은 추후 보고과정이 이뤄져야 하기 때문에 처리가 빠를 수 밖에 없다는 것이다.
스미싱 피해자가 늘면서 정부에 근본적인 대책을 요구하는 목소리가 높아지고 있지만, 업계에서는 사실상 근본적인 예방 대책은 마련이 불가능하다는 평이다. 이 관계자는 "정부에서는 악성코드 백신 사용을 장려하고 있지만 백신은 일 터진 후에나 나오는 것"이라고 설명했다.
그는 "은행도 다 뚫리는 판에 스마트폰 사용자 개개인이 주의하는 것 말고는 사실 답이 없는 문제"라면서 "스마트폰이 대중화되다 보니 노령층 사용자도 늘고 있는데 이분들은 피해에 노출되기 쉬우니 소액결제 제한 설정을 해놓는 것이 중요하다"고 강조했다.
저작권자(c) 오마이뉴스(시민기자), 무단 전재 및 재배포 금지
오탈자 신고
