“아빠 핸드폰 고장났어”
“우째 이런 일이…"
“화장실에 떨어뜨려서”

[디지털투데이 석대건 기자] 버스 기사인 김 씨(56)는 딸로부터 받은 카톡이 반가웠다. 하지만 이는 사기꾼의 물밑작업이었다. 사기꾼은 자연스럽게 ‘전화는 안 된다’는 것을 상대방에게 알렸고, 이내 본색을 드러냈다. 

“아빠 혹시 상품권 구입할 줄 알아?”

사기꾼은 김 씨의 딸 유진 씨(가명)의 개인정보를 통해 네이버에 접속했고, 주소록을 탈취했다. 그 속에서 주소록 ‘아빠’라는 이름의 번호를 얻어냈다. ‘박여사’라는 이름으로 저장된 엄마는 공격 대상에서 피해갔다.

사기꾼은 또 다른 개인정보 유출 피해자 번호로 만들어낸 카카오톡 아이디를 통해 카톡피싱 작업을 시작했다. 카카오톡은 인증 가능한 하나의 번호가 있어야만 등록할 수 있다. 

카톡 피싱 사기꾼은 전화 통화 불가능하다고 알리며, 자연스럽게 피해자에게 온라인 문화상품권 결제를 요구했다. (사진=김유진 씨 제공)

자신이 딸이라고 속인 사기꾼은 김 씨에게 친구 대신 결제하는 거라며, 옥션을 통해 10만 원 문화상품권 5장 구입을 요청했다. 옥션에 가입돼 있지 않았던 김 씨는 ‘지금은 어렵다’고 답장했다.

카톡 사기꾼은 지능적이었다. 그는 김 씨에게 “운전 중에 카톡하는 거야?”라며, “위험해~~~ㅠ”라고 걱정까지 한다. 이어 운전 안 할 때, 연락하라고 말했다. 김 씨의 의심은 사라졌다.

‘이 아이는 내 딸이 아니다'

결국 사기꾼은 김 씨를 옥션까지 가입시킨 후 온라인 문화상품권 50만 원 상당의 핀 번호를 받아냈다. 

사기꾼은 “입장이 곤란했다”는 사과까지 잊지 않았다. 그러나 이는 2차 피싱을 위한 또다른 포석이었다. 그는 “유효기간 초과로 사용할 수 없다”며, 한번 더 50만원을 결제해달라고 요구한다. 이제 방법을 알았으니 더 쉬울 것이라는 판단이었을까? 

결제한 핀번호에서 ‘2019.8.12’까지라는 유효기간을 확인했던 김 씨는 이제야 의심이 들었다. ‘이 아이는 내 딸이 아니다.’

이내 또 다른 작은 딸에게 전화를 걸어 카톡 피싱임을 확인했고, 더 이상 답장을 하지 않았다. 평소 스팸 문자 경고를 지인에게 먼저 알려줄 만큼 신경써왔던 김 씨였지만, 피싱을 피할 수 없었다. 딸 유진 씨는 “아빠가 본인 실수라고 생각하셔서 자책하시는 것 같다”고 말했다.

카톡 피싱 사기꾼은 여러 차례 피해자를 걱정하며 실제 딸인 척 했고, 50만원을 한 차례 받아낸 후에도 추가 결제를 유도했다. (사진=김유진 씨 제공)

과연 50만원이 소액인가?

김 씨는 다시 50만 원을 돌려받을 수 있을까? 

김 씨는 본인이 사기당했다는 걸을 알자마자, 관할 경찰서에 신고했다. 돌아오는 답변은 “일단 접수를 하겠으나 찾기 어려울 것”. 이어 “워낙 소액”이라는 이유도 들었다. 김 씨에게 50만 원은 소액이 아니었다.

사정은 전해 들은 김 씨의 딸 유진 씨도 곧바로 옥션과 문화상품권 업체인 컬쳐랜드에 신고전화했다. 역시 돌아오는 건 전화 응대 시간이 지났다는 녹음된 목소리뿐. 

어쩔 수 없이 급한 대로 고객센터에 글을 남겼지만, 답변은 역시 ‘이미 해당 상품권은 사용’됐으며, ‘저희는 최종 사용처만 확인할 수 있다’는 내용이었다. 김 씨와는 별개로 경찰청에 신고접수 했으나, 역시 아직 답변을 받지 못했다. 유진 씨에게도 50만원은 소액이 아니다. 

피해자 김 씨의 딸이 보낸 신고에 대한 컬처랜드 답변에는 해당 상품권의 최종 사용자 조회만 가능하다고 적고 있다. (사진=김유진 씨 답변)
피해자 김 씨의 딸이 보낸 신고에 대한 컬처랜드 답변에는 해당 상품권의 최종 사용자 조회만 가능하다고 적고 있다. (사진=김유진 씨 답변)

수사당국은 딱히 대책이 없는 실정이다. 카카오톡 등 메신저를 이용한 피싱의 경우, 경찰청 사이버안전국이나 KISA의 118 개인정보 침해 대응센터로 접수된다. 그러나 신고가 접수되는 시점에는 이미 피해 금액이 사용된 이후이고, IP를 추적하더라도 사기꾼은 해킹한 번호로 제3자를 공격하기 때문에 찾아내기 쉽지 않다. 

KISA 관계자는 “아쉽지만 사용자가 기본적인 방어책을 통해 막는 게 최선인 상황”이라며, “메신저로 금전 요구 시 반드시 상대방 신원을 확인하고, 개인정보 유출 가능성이 큰 포털과  카톡 등 메신저 로그인 연동을 끊어 놓을 필요가 있다”고 말했다.

"카카오톡, 광고 넣을 자리에 피싱 방지 홍보해야"

결제 플랫폼의 책임 회피도 문제도 제기된다. 김 씨가 50만 원을 결제하는 사이, 통과한 플랫폼은 카톡, 옥션, 컬처랜드, 딸 유진 씨가 해킹 당한 네이버 아이디와 비밀번호까지 더하면 총 4개다. 

그러나 그 어느 것도 실질적인 안전망이 되지 못했다. 딸 유진 씨는 피해 확인 이후에야, 네이버 메일함에서 ‘새로운 환경에서 로그인 되었습니다’라는 안내 메일을 확인했다. 문자나 메시지 등 실질적인 경고는 받지 못했다. 

메시지 피싱 대응과 관련, KISA는 지난 2018년 말 네이버, 카카오 등과 해당 플랫폼 내 신고창을 설치하는 방식의 대안을 논의했지만 개인정보 등록 등을 이유로 추진되지 못했다고 전했다.

당시 논의 이후, 카카오톡은 등록되지 않는 대화 상태가 해외 번호 가입자일 경우, 주황색 바탕의 지구본 프로필 이미지와 함께 번호 가입국과 금전 요구를 주의하라는 경고 메시지를 뜨게 하는 ‘글로브 시그널’ 기능을 선보였다. 하지만 카톡 사기꾼인 국내 가입자를 통해 피싱할 경우에는 대처할 수 없는 것.

인증업계 관계자는 “피싱 방법이 워낙 고도화되다 보니 플랫폼들이 실질적인 대책 마련보다는 사용자 잘못으로만 책임 소재를 돌리려는 경향이 있다”며, “카톡 목록에 광고 넣지 말고 피싱 방지 안내 홍보를 하는 등 가능한 부분에서라도 피해를 막으려는 자체적인 노력이 필요하다”고 지적했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사