50대 남성 A씨는 지난해 7월 알 수 없는 발신자에게서 ‘상점 물품 배송했습니다. 확인 부탁합니다’라는 문자메시지를 받았다. 이 문자엔 인터넷 주소(URL)가 포함돼 있었는데, A씨는 이를 물품 배송 현황을 확인할 수 있는 사이트 주소로 오해하고 눌렀다. A씨 휴대폰에 악성 앱이 설치됐고, 그의 개인 정보를 알아낸 발신자(스미싱범)는 A씨 명의로 대출을 받아 2억1000만원을 가로챘다.
휴대폰을 이용한 금융거래가 활발해지면서 악성 문자를 통해 금융 사기를 시도하는 스미싱(Smishing) 사례가 1년 새 13배 급증했다. 스미싱은 문자메시지(SMS)를 이용해 피싱(Phishing·개인 정보를 낚아올림)을 한다는 뜻이다. 싱가포르는 통신사에 감시 체계를 구축해 스미싱 피해를 예방하는데, 국내에도 도입이 필요하다는 주장이 나온다.
◇보이스 피싱의 진화, 스미싱 통한 ‘몰래 대출’
15일 한국인터넷진흥원의 ‘스미싱 문자 신고·탐지 현황’에 따르면 2022년 3만7122건이었던 스미싱 신고 건수는 지난해 50만3300건이 돼 약 13배로 급증했다. 유형별로는 공공기관 사칭이 35만10건으로 가장 많았고, 이어 택배 사칭(9만1159건), 지인 사칭(5만9565건) 순이었다.
과거 피싱은 ‘미끼 문자’로 통화를 유도하는 방식이 주를 이뤘으나, 최근엔 악성 URL이 포함된 문자로 개인 정보를 빼내는 방식으로 수법이 진화했다는 것이 금융 당국의 분석이다. 빼돌린 개인 정보만으로 손쉽게 피해자 명의 알뜰폰을 개통해서는 비대면 본인 인증으로 은행 대출까지 받을 수 있기 때문이다.
사칭 문자에 속아 악성 URL을 잘못 눌렀다가 자신도 모르는 사이 본인 명의 대출이 발생할 수 있는 셈이다. 금융감독원이 3월 발표한 ‘2023년 보이스 피싱 피해 현황’에 따르면 이 같은 스미싱 피해를 포함하고 있는 ‘사칭형 피싱’ 피해 금액은 2022년 905억원에서 지난해 1154억원으로 늘었다.
금융 당국 관계자는 “‘비대면 대출 차단 서비스’를 신청하는 것도 고려하라”고 했다. ‘비대면 대출 차단 서비스’는 고객이 은행에 신청할 경우 은행·카드·캐피털 등 모든 금융업권에서 발생하는 해당 고객 명의의 비대면 대출을 일괄적으로 막아주는 서비스로 올해 상반기 전면 시행된다.
◇싱가포르는 통신사에 감시 체계 구축
대부분의 금융 사기가 휴대폰을 거쳐 발생하다 보니 해외에선 아예 통신사에 스미싱 감시 체계를 구축한 사례도 있다.
싱가포르에선 2021년 12월 싱가포르 OCBC은행이 발송한 것으로 가장된 허위 문자메시지가 은행 고객들에게 발송됐고, 악성 URL을 클릭한 고객 790명의 개인 정보가 유출돼 약 137억원에 달하는 피해가 발생했다.
이에 싱가포르는 불특정 다수에게 대량의 문자메시지를 발송하는 경우 발신자가 계정을 관련 당국에 사전 등록하도록 했다. 이 경우 등록되지 않은 발신자가 대량의 문자메시지를 발송하는 경우 문자 발송이 차단된다. 또 문자가 악성 URL을 포함하고 있을 경우 해당 문자를 차단하는 사기 방지 필터 시스템을 운영하고 있다.
한 은행권 관계자는 “피해자 구제는 어디까지나 사후적인 일”이라며 “싱가포르가 통신사를 통해 사전에 피싱 사기를 감시하도록 한 것을 주목할 만하다”라고 했다.
싱가포르에선 감시 조치를 적절히 하지 않으면 통신사도 피싱 피해를 일부 분담하게 된다. 금융사와 소비자가 자율 협약 방식으로 피싱 사기 피해를 분담하고 있는 한국과 다른 점이다. 다만 싱가포르도 피해 분담의 법적 의무는 없으며, 금융사와 통신사, 소비자 간의 자율 협약 방식으로 책임을 분담한다. 한편 영국은 금융사와 소비자가 피싱 사기 피해를 분담하고, 피해 분담 의무의 법제화를 추진하고 있다는 점에서 한국, 싱가포르와 차이가 있다.