오늘날 현대인들에게 '스마트폰'이란 나의 모든 개인정보가 담겨있고, 일상의 매순간을 함께하는 친구이자 분신과도 같다. 그런데 누군가 내 휴대폰으로 나의 일상을 지켜보고 감시한다면? 넷플릭스 스릴러 영화 <스마트폰을 떨어뜨렸을 뿐인데>에서는 평범한 사람들이 스마트폰을 분실한 뒤 일상 전체를 위협받게 되는 이야기를 다뤄 공감을 자아냈다.
현실은 때로 영화보다도 더 잔혹하다. 실제로 타인의 휴대폰을 해킹하여 개인정보를 빼돌리거나 불법적인 촬영물로 협박을 하는 신종범죄가 날로 늘어나고 있다. 29일 방송된 SBS <그것이 알고 싶다> '2023 휴대폰 괴담 - 누가 당신을 훔쳐보는가' 편에서는 날로 심각해지는 휴대폰 해킹 범죄의 실상을 조명했다.
최근 인터넷에서는 휴대폰 관련 괴담이 잇달아 떠돌고 있다. 주인이 휴대폰을 만지지도 않았는데 옷을 갈아입는 도중에 카메라가 켜지고 플래쉬가 터졌다거나, 무서워서 카메라를 검은색 테이프로 가려버렸더니 그런 일이 없어졌다 등 미스터리한 경험담들이다. 과연 이는 당사자들의 착각이거나 근거없는 괴담일 뿐일까?
해킹 피해 제보자 김지은씨(가명)은 평소 휴대폰 메모장에 일기를 기록하는 습관이 있었다. 그런데 지난해 10월 자신이 자주 가는 온라인 커뮤니티에 자신의 일기 내용이 그대로 게시되어 있는 것을 확인하고 큰 충격을 받았다. 지은씨가 게시자에게 이를 추궁하자 "너 지금 다 보이고 다 들리고 있다"라는 섬뜩한 대답이 돌아왔다고 한다.
정작 지은씨는 휴대폰은 분실하거나 해킹당한 적이 없었다. 하지만 가해자가 휴대폰으로 실시간으로 감시하고 있다는 걸 암시하는 글을 커뮤니티에 잇달아 올린 것을 보고 공포감에 휩싸였다. 지은씨는 결국 휴대폰을 교체해야 했지만 이후로도 트라우마에 시달리고 있었다. 혹시 자신의 사생활이 이미 불법촬영되어 유통되었을지도 모른다는 불안감으로 불법음란 사이트들을 검색해보기도 했던 지은씨는, 자신과 비슷한 또다른 피해자들을 몰래 촬영한듯한 영상물들을 대거 발견했다고 밝혔다.
또다른 제보자는 동생이 불법촬영 피해를 입었다며 보안이 좋다고 알려진 휴대전화를 썼음에도 수위가 높은 노출사진들이 유출되었고 어떻게 찍혔는지도 모르겠다고 답답함을 호소했다. 이처럼 대부분의 휴대폰 괴담들은 의혹만 있을뿐 정확한 물증이 없어서 실체를 확인하지 못한 경우가 많았다.
하지만 또다른 해킹 피해자인 최선아씨(가명)가 실제로 겪은 내용은 충격적이었다. 선아씨는 어느 날 누군가에게 수십 개의 동영상을 휴대폰으로 전송받았다. 놀라게도 영상에 등장한 것은 모두 선아씨였고, 모두 선아씨의 휴대폰으로, 선아씨의 집에서 촬영된 내용이었다. 그 속엔 남들에게는 공개하고 싶지 않은 지극히 사적인 내용들도 포함되어 있었다.
가해자는 선아씨의 일거수일투족을 오랫동안 지켜봐왔고, 개인적인 사생활이 담긴 영상들을 유포하겠다고 협박했다. 제작진은 전문가의 도움을 얻어 선아씨의 휴대폰을 분석한 결과, '원격제어 앱'이 설치된 것을 확인했다. 이 앱을 이용하면 휴대전화가 꺼져 있는 상태에서도 외부에서 조작하여 동영상이나 사진 촬영이 가능하다.
실험 결과 원격제어 앱을 활용하면 휴대폰 사용자에게 전혀 들키지 않고 상대의 일상을 쉽게 지켜보고 접속자을 컴퓨터로 쉽게 녹화-전송이 가능하다는 것을 확인했다. 사용자의 휴대폰에는 겉보기에 이용 기록이 남지 않을 만큼 교묘한 방식으로 당사자는 휴대폰이 해킹되고 있다는 것을 파악하기가 더욱 어려워졌다.
전문가는 선아씨의 휴대폰을 정밀 분석해 범인이 남긴 흔적을 추적했다. 앱 데이터를 얼마나 보내고 받았는지를 통해 가해자의 활동 기록을 확인할 수 있었다. 가해자는 선아씨가 씻고 옷을 갈아입거나 가벼운 옷차림으로 있을만한 시간을 노려서 일상을 수집해온 것으로 추정된다. 전문가는 가해자가 카메라를 오랫동안 집요하게 켜놓은 것과 데이터의 규모를 감안할 때 "수집한 동영상이 최소 100개는 넘을 것"이라고 분석했다.
그렇다면 이러한 원격제어 앱은 어떻게 피해자의 휴대폰에 설치된 것일까? 선아씨는 'SNS 인플루언서'로 활동중이었고 SNS 상에서 낯선 이들과도 활발하게 소통하고 있었다. 선아씨가 주고받은 메시지들에 포함된 QR코드를 분석한 결과, 한 유명 플랫폼 설치로 이어지는 QR코드를 통해 원격제어 앱이 몰래 설치된 것을 확인했다.
제작진은 선아씨에게 특정 SNS 플랫폼에 홍보영상을 올릴 것을 제안하며 QR코드를 보낸 인물을 추적했다. 가해자의 계정은 15만에 이르는 유명인급 팔로워 숫자를 보유하고 있었지만 정작 게시글은 몇 개 되지 않고 당사자의 신원을 파악할 수 있을만한 자료도 보이지 않았다.
제작진은 K의 계정에 연결된 인플루언서들을 취재하다가 선아씨와 비슷한 피해사례들이 더 있다는 것을 확인했다. 가해자는 제품 홍보활동을 빌미로 여러 인플루언서들에게 연락을 취하며 범행대상을 물색한 것으로 보인다.
제보자 윤혜인씨(가명)는 3년 전 실제 계정 주인이라는 20대 여성 인플루언서이자 쇼핑몰 CEO인 K를 실제로 만난 적이 있다고 밝혔다. 혜인씨가 K를 만났을때 중국-러시아 등에서 큰 의류사업을 하고 있다는 이야기를 들었지만, 그 진실성에 의문을 품게 되었다고 밝혔다. K는 혜인씨에게 중국 언론에 실린 본인의 기사를 보여준 적도 있었다. 하지만 제작진이 해당 기사를 작성한 중국 기자를 찾아낸 결과, 돈을 주고 의뢰한 홍보성 기사였다는게 드러났다.
또한 SNS 마케팅 전문가는 K의 SNS의 팔로워 10만 명은 '가짜'라고 단언하며, 계정이 인기가 많은 것처럼 보이기 위한 눈속임에 불과하다고 분석했다. 인터넷에 'SNS 팔로워 늘리기'를 검색하면 수많은 사이트들이 나타나고 1명당 10원에서 100원 내외의 저렴한 비용으로 팔로워를 늘려주는 업체들이 존재했다. 팔로워 10만 명이라고 해도 100만 원에서 500만 원 정도만 들이면 금새 만들어낼 수 있는 규모라는 것이다.
K의 계정으로부터 메시지를 받았다는 박지훈씨(가명)는 선아씨와 비슷한 인플루언서 출신 피해자였다. 지훈씨는 K가 중국 매니지먼트에 소속된 중국인이라고 자신을 소개하며 접근했고, 선아씨와 같은 방식으로 QR코드를 보내 앱을 깔도록 유도했다고 한다. 지훈씨가 앱이 설치되지 않는다고 하자, 이번엔 미리 앱이 설치된 휴대전화를 보내주기도 했다. 이후 지훈씨는 선아씨처럼 협박에 시달렸다.
중국인 변호사는 피해자와 K의 대화를 분석해 그가 중국인이 별로 사용하지 않는 한국식 표현을 쓰는 것을 지적하며 중국인보다 '한국인일 가능성이 더 높다'고 했다. 제작진은 피해자에게 보낸 휴대폰과 택배 송장을 분석하여 K가 중국에 있는 것이 유력하다고 분석했다. 취재 결과, K가 자신의 회사라 언급한 해당 회사는 중국에 실존했지만 소규모이고 인플루언서 매니지먼트나 K라는 인물과는 전혀 무관한 것으로 드러났다. K가 실존하는 한 회사를 도용한 것으로 추정된다.
제작진은 과거 보이스피싱 조직원이라고 자신을 소개한 제보자를 만나 놀라운 이야기를 전해들었다. 제보자는 사건에 대한 정보를 꼼꼼히 확인한 후 "이 사건은 내막이 훤히 드러나는 범죄의 한 유형"이라고 진단하며 "보이스피싱 범죄가 새롭게 진화한 형태다. 똑같은 애들인데 방법을 바꾼 것"이라고 설명했다.또한 K에 대해서는 3년 전에는 범행 대상을 직접 대면하던 방식에서 SNS로 접근하는 비대면 방식으로 수법을 바꾼 피싱조직의 일원일 것이라고 추측했다.
제보자는 "이것은 초짜들이 아니라 이런 피싱을 해봤던 사람이 한국 사람을 끼고 하는 것"이라고 분석하며 "인플루언서 사기는 협박과 화상이 합쳐진 것이고 보이스피싱에 들어가는 기본적인 멘트들이 섞여서 만들어졌다. 이미 작년부터 알려진 내용"이라고 분석했다.
SNS에서 활발한 활동을 하는 인플루언서들이 주된 타깃이 된 이유는, 아무래도 대중적으로 더 알려져 있고 이미지가 생명인 유명인일수록 반복해서 협박을 당해도 사실을 알리기가 쉽지 않기 때문이다. 보이스피싱 범죄 전문가도 "협박을 했을 때 금전 편취가 쉬운 대상으로 인플루언서를 선택했을 것"이라고 분석했다. 무차별-무작위적으로 범행대상을 물색하던 보이스피싱에 비해 오늘날의 SNS 피싱은 범행대상을 더욱 구체적으로 물색하고, 더욱 정교한 방식으로 대화를 이어가며 이익을 얻기까지 더 오랜 시간을 투자한다는 특징이었다.
SNS 피싱의 타깃이 된 유명인 중 의외의 인물에는 범죄심리학자 표창원도 있었다. 그는 이메일로 자신을 사칭하는 계정을 알려준 사람이 있었다고 밝혔다. 제보자는 표창원의 이메일 계정 세 개에 동시에 메일을 보냈는데 20년 동안 사용하지 않았던 메일에도 보내왔다고. 이를 두고 표창원은 "나를 좀 조사했구나 하는 느낌이 들었다"면서 바로 메일을 보낸 이가 사칭 계정을 개설한 뒤 "선의를 가장해 연락해 온 피싱범일 가능성이 높다"고 분석했다.
가해자는 선의의 신고자인 척 위장해 피해자에게 연락을 시도한 다음, 특정 링크나 앱을 클릭해서 스파이웨어를 다운로드하도록 유도한다. 표창원은 "셋업(Set-up) 범죄를 저지르는구나 싶었다. 그런데 이런 유형은 이전에 들어본 적이 없다"고 밝혔다. 다행히 큰 피해는 없었지만 대상자에게 철저한 사전 조사에 이어 치밀하게 접근해오는 과정은 표창원같은 산전수전 다겪은 범죄전문가조차 생소한 수법이었다.
아이돌 출신 권민아씨도 SNS 피싱을 통한 피해를 입었다. SNS를 통해 코인 알바 제안을 받았던 권씨는 코인을 현금화해 주는 명목으로 여러 차례 돈을 요구받고 결국 돌려받지 못하고 1800만 원 상당의 피해를 입었다고 한다.
또다른 일반인 제보자 김민우씨(가명)는 어느 날 갑자기 휴대폰이 먹통이 되면서 원격 출금으로 3시간 동안 15차례에 걸쳐 계좌에서 7000만 원이 대포 통장으로 이체되는 피해를 입었다. 그런데 민우씨는 하필 자신의 휴대폰에 은행거래 보안카드가 처음으로 입력되자마자 범행이 발생한 것을 두고, 범인이 자신의 휴대폰에 오래 전부터 잠복하여 개인정보를 수집해놓은 뒤 때를 기다린 것이 아니냐는 의구심을 제기했다. 민우씨는 "범행이 너무나 쉬운 것 같다. 언제 휴대폰에 무슨 앱이 깔렸는지도 모르겠고 그저 의심만 할 뿐이다. 누구나 다 당할 수 있는 요건"이라고 한탄했다.
전문가들은 앞으로는 이처럼 일반인을 대상으로도 상세한 개인정보를 탈취하고 맞춤형으로 진행되는 '타겟형 피싱범죄'가 늘어날 것이라고 우려한다. 보이스피싱 조직에 몸담았던 제보자는 "개인 정보 데이터를 파는 데가 있다. 어떤 곳은 해커를 데리고 데이터를 빼오기도 한다. 사소한 정보부터 등본까지 들어가 있는 것도 있다. 싱싱한 데이터를 생데이터라고 해서 비싸게 팔린다"라는 충격적인 현실을 설명했다.
전문가들은 피싱 범죄를 예방하기 위한 대책으로 '스마트폰 앱들을 최신 버전으로 항상 업데이트할 것', '인터넷 주소를 함부로 클릭하지 말 것', '정상적인 앱스토어에서 내려주는 프로그램이 아니면 함부로 설치하지 말 것' 등을 조언했다. 경찰대학에서는 악성 앱 탐지 '시티즌 코난'을 제작하여 무료로 보급하고 있으며, 백신을 깔아서 자주 보는 습관도 도움이 된다.
현재 피싱범죄를 겪고 난 후, 트라우마에 시달리는 피해자들은 '과연 신고를 해도 잡을 수 있을까', '오히려 일만 키우는 게 아닐까'라는 불안감으로 신고를 주저하거나, 아니면 가해자의 협박이나 2차 가해가 두려워 숨어버리는 일도 있다. 그만큼 SNS 피싱범죄 피해 당사자들이 느끼는 고통은 우리가 생각하는 것보다 훨씬 심각했다.
최근 피싱범죄의 주요한 특징 중 하나가 '초국경'이다. 국경의 제약을 넘어서서 벌어지는 범죄들이 많다는 것이다. 전문가들은 피싱 조직의 윗선이나 총책은 대부분 외국에 있는 현실을 고려할때 '국제 공조'의 중요성을 강조했다. 피해자는 대부분 한국에 있는데, 정작 가해자는 중국에 있는 것, 결국 중국 당국 측의 협조없이는 검거나 완전한 근절이 어려운 안타까운 상황이 이어지고 있다.
개인의 일시적인 피해를 넘어서 탈취된 수많은 개인정보들이 고가에 불법거래되면서 앞으로는 더욱 광범위하게 누구나 '맞춤형 타겟 피싱'의 표적이 될 수도 있다. 누군가 내 폰으로 나를 훔쳐보고 촬영하고 있다. 더이상 영화 속 이야기가 아니라 지금 바로 오늘, 나 또는 가까운 누군가에게 언제든 일어날 수 있는 일이다. 우리 사회의 경각심과 적극적인 대처가 필요한 시점이다.
저작권자(c) 오마이뉴스(시민기자), 무단 전재 및 재배포 금지
오탈자 신고