연말연시 해외직구 시즌을 노린 스미싱 사기가 활개를 치고 있어 주의가 요구됩니다. 스미싱(smishing)은 문자메시지(SMS)와 피싱(Pishing)의 합성어로, 문자메시지를 통해 이용자가 악성 애플리케이션(앱)을 설치하거나 전화하도록 유도해 개인정보 등을 탈취하는 범죄 수법을 뜻합니다.

얼마 전 기자에게도 이용한 적 없는 해외직구 결제 문자가 날아왔습니다. 연말연시가 해외직구 시즌인데다가 스미싱 문자가 주로 해외에서 발송되는 만큼 ‘[국제 발신]’ 문구의 의심을 피하기 위해 이같이 위장한 것으로 보입니다. 문자에는 기자의 실명까지 정확히 적혀 있었고, 100만원이 훌쩍 넘는 금액이 결제됐다고 안내됐습니다. 그러면서 고객센터로 통화를 유도했습니다.

스미싱범이 어떻게 얘기하며 악성 애플리케이션을 설치하도록 유도하는지 직접 전화해봤습니다. 서툰 억양으로 전화를 받아든 스미싱범은 국내 유명 해외직구 업체를 사칭했습니다. “결제 문자 받기 전에 인증 번호 받은 적은 없느냐”, “결제 문자에 고객님 성함이 포함되어 있느냐”, “배우자 분이나 다른 가족이 구매한 것 아니냐”며 여느 고객센터처럼 확인 절차도 거쳤습니다. 피해자들의 의심을 누그러뜨리려는 의도입니다.

스미싱범은 자사 애플리케이션을 통해 발송 취소 및 환불처리를 진행해야 한다며 먼저 상담용 카카오톡 아이디를 추가하도록 안내했습니다. ‘애플리케이션이 아닌 통화로 결제취소 처리는 안 되느냐’고 묻자 개인정보보호법 때문에 어렵다는 핑계를 둘러댑니다. 스미싱범이 알려준 아이디를 친구 추가하자 111로 시작하는 URL을 보내옵니다. 접속했더니 국내 유명 해외직구 사이트를 본떠 만들어놓고 애플리케이션을 내려받는 페이지로 연결되도록 했습니다. 이 애플리케이션을 내려받아 설치하면 개인정보와 금융정보가 탈취됩니다.

이처럼 악성 애플리케이션을 설치하도록 하는 수법은 꽤 오래되고 많이 알려졌지만, 건강검진 결과보고서나 재난 지원금, 코로나19 백신 예약 등으로 그 형태가 다양해져 자칫 주의를 소홀히 하면 피해를 당할 가능성이 있습니다.

※ 스미싱범과의 자세한 통화 내용은 영상을 통해 확인하실 수 있습니다.