최근 부산의 자영업자 A씨는 한 저축은행 직원을 사칭한 범인으로부터 3억원의 저금리전환 대출을 권유받았다. 문자메시지를 보내면서 “일단 대출받으려면 우리 은행 앱부터 깔아야 한다”며 “문자에 있는 사이트 주소를 눌러 달라”고 했다. 앱은 해당 저축은행 앱과 누가 봐도 똑같았다. A씨가 해당 저축은행 고객센터로 전화를 걸자 “보이스피싱이 아니다”고 설명했다. 실상은 보이스피싱 조직이 악성 앱을 이용해 A씨의 전화를 가로챈 것. 다행히 다른 금융회사를 이용하면서 깔아둔 보이스피싱 탐지 앱이 악성 앱을 감지해 피해를 막았다. 소상공인 파고드는 보이스피싱
29일 보이스피싱 탐지회사인 인피니그루에 따르면 탐지 앱인 ‘피싱아이즈’에 확인된 스미싱 건수(앱을 이용한 보이스피싱)는 지난달 2689건에서 이달 4410건으로 64.0% 늘었다. 특히 공공기관 사칭 건수가 같은 기간 72건에서 552건으로 급증했다.
보이스피싱 조직의 타깃은 주로 자영업자다. BNK캐피탈 보이스피싱 담당자는 “최근 경기 악화 영향으로 자영업자들의 자금이 고갈되면서 저금리 대환대출을 미끼로 송금을 유도하는 경우가 눈에 띄게 늘었다”고 했다. 저금리 대환대출은 기존의 채무를 변제하고 낮은 금리로 대출받는 상품이다. 일단 대환을 받으려면 기존에 갖고 있던 대출액을 금융사 계좌로 입금하고 다시 대출받아야 한다. SBI저축은행 관계자는 “금융사가 먼저 송금이나 앱 설치를 유도하는 경우는 없다”며 “일단 송금을 유도하면 보이스피싱을 의심해야 한다”고 했다.
과거엔 은행권 보이스피싱이 많았다면 최근에는 2금융권에서 급증하고 있다. BNK캐피탈 담당자는 “저축은행 소상공인 대출 수요가 늘어나면서 대출 상담사들이 문자로 대출 광고를 보내는 경우가 많아지다 보니 소상공인들이 보이스피싱 문자를 가려내기 쉽지 않다”고 했다. ‘크롬’ 브라우저 흉내 낸 악성 앱도 등장전문가들도 구별하기 어려운 악성 앱까지 나왔다. ‘크롬’이 대표적이다. 구글의 인터넷 브라우저인 크롬을 그대로 흉내 낸 것으로, 인터넷 서핑도 할 수 있어 의심하지 않고 쓰는 사례가 적지 않다. 일단 악성 앱이 깔리면 보이스피싱 조직은 휴대전화 사용자가 누르는 문자나 숫자를 알 수 있게 된다. 계좌이체를 위해 미리 등록해 놓은 여섯 자리 비밀번호나 네 자리 비밀번호+영문 문자를 파악할 수 있다는 것이다. 피해자가 보이스피싱을 의심해도 ‘전화 가로채기’를 통해 신고를 차단한다. 보이스피싱 조직이 권유한 악성 앱을 깔고 나면 경찰이나 금융감독원 번호로 전화를 걸어도 보이스피싱 조직에 연결되기 때문이다.
유경식 인피니그루 대표는 “악성 앱 하나만 설치돼도 다른 금융권 앱의 전화를 가로챌 수 있다”고 설명했다. 예컨대 국민은행 스타뱅킹을 사칭한 악성 앱을 설치하면 피해자가 우리은행 앱을 써도 비밀번호를 빼낼 수 있고, 우리은행 고객센터로 가는 전화도 가로챌 수 있다는 것이다.
보이스피싱 탐지 앱 개발사인 에버스핀 관계자는 “악성 앱이 수시로 나오는 데다 고도화되고 있다”며 “금융사들이 등록된 악성 앱만을 탐지하고 방어하는 ‘블랙리스트’ 방식보다는 특정 금융사 앱만을 허용하는 ‘화이트리스트’ 방식을 채택할 필요가 있다”고 말했다.
보이스피싱 보상 상품도 나오고 있다. 하나은행은 지난해 11월 고령층 위주의 ‘언제나 청춘 정기예금(최대 연 1.1% 금리)’을 출시했다. 보이스피싱 피해를 입으면 1000만원을 보장하는 상품이다. 지난달 92만1000원의 피해를 입었다가 피해액의 약 70%를 보상받은 첫 사례가 나오기도 했다.
박진우 기자 jwp@hankyung.com