청첩장·부고장 위장 문자로 피해자의 휴대폰에 악성 애플리케이션(앱)을 설치해 1000여명에게 120억원의 피해를 입힌 국내 최대 규모의 스미싱 조직이 붙잡혔다. 경찰은 범죄수익을 대부분을 빼돌린 중국 현지 총책 2명에 대해서는 인터폴 적색 수배를 내렸다.
서울경찰청 사이버수사과는 악성앱이 설치된 스미싱 문자로 피해자의 휴대폰을 원격 조작해 금융계좌에서 자금을 탈취한 조직을 적발해 중국 국적의 총책 A씨(38)를 포함한 13명을 검거했다고 26일 밝혔다. 이 가운데 4명은 구속됐다.
경찰에 따르면 이 조직은 중국에 총책을 두고 국내 수도권과 충청 지역에 권역별 총책과 조직원을 배치해 범행을 이어왔다. 이들은 청첩장, 부고장, 과태료 고지서 등 일상적인 문자로 위장한 스미싱 메시지를 피해자에게 보내 클릭을 유도했다. 피해자가 링크를 누르면 악성 앱이 자동으로 설치됐고, 앱은 문자 알림·연락처·사진첩 등의 접근 권한을 탈취해 휴대폰을 사실상 원격조작할 수 있는 상태로 만들었다. 경찰 관계자는 “이번 범행에 사용된 앱은 공식 앱스토어에 있는 범용 원격 제어 프로그램이 아닌 APK 파일 형태로 설치되는 전용 악성 앱이었다”고 설명했다.
이들 조직의 범행은 총 3단계로 이뤄졌다. 먼저 스미싱 문자로 피해자 휴대폰의 접근 권한을 탈취하고, 이후 피해자 명의로 알뜰폰을 무단 개통했다. 번호이동 개통이 이뤄지면 피해자의 기존 휴대폰은 바로 먹통이 돼 즉각 대응이 사실상 불가능해진다.
휴대폰을 완전히 장악한 뒤에는 모바일뱅킹 앱과 가상자산 거래소 계정에 침입했다. 이들은 신분증 진위확인을 우회하기 위해 위조 주민등록증·운전면허증을 사용했는데, 글꼴이 다르거나 '강원도 원주구청'과 같이 실제 존재하지 않는 행정구역명이 적혀 있어도 금융기관의 인증 절차가 이를 걸러내지 못했다고 경찰은 설명했다. 경찰은 "피의자들이 휴대폰을 개통하고 금융서비스를 이용하며 간편 인증 서비스를 이용했는데 이 부분에서 보안 취약점이 있었다"고 설명했다.
이들 조직은 카카오톡 계정까지 탈취한 경우 피해자의 지인에게 ‘급히 돈이 필요하다’는 메시지를 보내는 메신저피싱도 저질렀다. 피해자의 모바일뱅킹 앱, 가상자산 거래소 등에 접속해 자금을 이체하거나 직접 인출하기도 했다.
경찰은 수도권의 한 아울렛 주차장에 사무실 대용의 차량을 주차해두고 범행 중이던 국내 총책 A씨 등을 검거했다. 조직은 추적을 피하기 위해 차량 1대를 이동식 범행 거점으로 사용해왔으며 차량 안에서 위조 신분증 제작, 공기계 개통, 유심칩 장착 등의 범행 준비를 하고 있었다. 당시 차량에서는 노트북, 휴대폰 15대, 유심칩, 위조 신분증, 현금 4500만원 등이 함께 발견됐다.
피해자는 대부분 디지털 취약계층인 50대 이상 중·장년층이었다. 개인 단위 최대 피해액은 4억8500만원에 달했다. 60대 남성을 상대로 6개 계좌에서 총 63회에 걸쳐 계좌 인출이 이뤄진 범죄였다. 경찰은 “가짜 부고장·청첩장 등 중장년층의 정서적 반응을 노린 메시지가 큰 역할을 했다”며 “일상적 문구를 이용한 사회공학적 수법”이라고 설명했다.
조직은 중국에 거점을 둔 해외 총책 2명의 지휘 아래 움직였다. 아직 검거되지 않은 해외 총책 2명은 지인인 국내 총책과 지속적으로 보안 메신저로 연락하며 범행 대상을 선정하고 인증정보를 전달하는 방식으로 운영됐다. 해외 총책 중 1명은 과거 한국에서 8년간 복역 후 출국한 인물로 확인됐다. 경찰은 두 사람을 특정해 인터폴에 적색수배를 요청하고 국제 공조 수사를 진행하고 있다.
경찰은 이번 수사로 이들 조직이 전국에서 저지른 스미싱 사건 900여건도 함께 해결했다. 경찰 관계자는 “핵심 자금이 대부분 중국 총책에게 넘어가 해외 총책 검거가 피해 회복의 관건”이라며 “공식 앱스토어 외 출처에서 앱을 설치하지 말고, 출처가 불분명한 문자는 열람 자체를 피해야 한다”고 강조했다.
김영리 기자 smartkim@hankyung.com
관련뉴스
