 |
| ⓒ 유토이미지 |
서울경찰청 사이버수사대는 청첩장·부고장·교통법규 위반 고지서 문자에 악성 애플리케이션(앱) 설치 링크를 숨겨 피해자들의 계좌를 털어온 스미싱 조직 13명을 정보통신망법, 통신사기피해환급법 위반 등의 혐의로 검거해 검찰에 송치했다고 26일 밝혔다. 이 가운데 국내 총책을 포함한 4명은 도주와 증거인멸 우려가 있다고 보고 구속했다.
조직의 국내 총책은 중국 국적의 A씨로, 스미싱 범행을 위해 한국에 파견돼 입국한 직후 중국에서 알고 지내던 지인들을 끌어모아 약 1년 7개월 동안 범행을 이어온 것으로 조사됐다. 이들이 보낸 문자에는 “결혼합니다”, “부고를 전합니다”, “교통법규 위반 과태료 안내” 등의 문구와 함께 URL 링크가 포함돼 있었고, 수신자가 이를 누르면 악성 앱이 설치되는 구조였다.
악성 앱이 설치되면 조직은 휴대전화 화면 제어 권한과 문자·알림 접근 권한을 확보해 사실상 단말기를 원격 조종할 수 있게 됐다. 이후 피해자 명의로 알뜰폰 유심을 무단 개통해 기존 휴대전화를 먹통으로 만들고, 휴대전화 본인인증과 위조 신분증을 이용해 금융기관과 가상자산 거래소 계정에 순차적으로 침입하는 방식이었다.
경찰에 따르면 조직은 이렇게 확보한 인증수단을 이용해 모바일 뱅킹 앱과 코인 거래 앱에 직접 접속한 뒤 자금을 제3자 계좌와 가상자산 지갑으로 옮기고, 다시 현금화하는 과정을 반복하며 흔적을 분산시켰다. 이 과정에서 카카오 계정까지 탈취해 피해자 지인에게 “급히 돈이 필요하다”는 메시지를 보내는 메신저 피싱 수법도 병행한 것으로 드러났다.
현재까지 파악된 피해자는 1천명 이상이며, 전체 피해액은 120억원에 달한다. 특히 디지털 기기와 보안 환경에 취약한 50대 이상 중장년층이 전체 피해자의 80~90%를 차지해, 조직이 명백히 특정 연령대를 노린 정교한 범행을 벌였다는 분석이 나온다. 한 피해자는 한 번의 스미싱으로 4억5천만원을 잃는 등 개인별 피해 규모도 상당했다.
경찰은 피해자 명의 휴대전화 사용 기록, 기지국 접속 이력, 폐쇄회로(CC)TV 영상 등을 종합 분석해 피의자들의 이동 동선을 추적했다. 수사 과정에서 수도권 한 대형 아울렛 주차장을 ‘이동식 사무실’처럼 사용하며 차량 내부에서 유심 장착·위조 신분증 활용·금융앱 접속 작업을 반복하던 일당을 현장에서 검거했고, 공기계 15대와 위조 신분증, 현금 4천500만원 등을 압수했다.
이번 수사로 국내에서 활동하던 조직원들은 모두 검거됐으며, 중국 현지에서 범행을 지휘한 해외 총책 2명에 대해서는 인터폴 적색수배가 내려진 상태다. 경찰은 자금 흐름을 추적한 결과, 세탁 작업을 거친 범죄수익 대부분이 중국 총책에게 흘러간 정황을 확인하고, 국제 공조를 통해 체포와 범죄수익 환수를 추진할 계획이다.
수사 과정에서 본인인증 시스템의 구조적 취약점도 드러났다. 경찰은 글꼴이 다른 위조 신분증이나 실존하지 않는 기관명이 적힌 신분증을 사용해도 일부 금융 앱의 진위 확인 절차를 통과할 수 있었던 점을 확인하고, 통신사 2곳과 금융기관 2곳에 관련 사실을 통보했다. 서울경찰청은 “피해자 수와 피해 규모를 고려할 때 국내 최대 수준의 스미싱 조직을 와해했다”며, 문자에 포함된 링크 클릭 전 발신자와 내용의 진위를 반드시 재확인해 줄 것을 당부했다.
