최근까지도 보이스피싱은 '나이 드신 부모님 세대 이야기'라고 생각했습니다. 그러다 친동생에게 실제로 보이스피싱 사건이 생기고 나서야 제 생각이 완전히 틀렸다는 걸 깨달았습니다. 그리고 최근 보이스피싱 수익금 세탁 조직의 총책이 현직 경찰관이었다는 사실이 알려지면서, 이 문제가 생각보다 훨씬 깊고 넓은 곳까지 뻗어 있다는 것을 다시 한번 실감했습니다.
동생에게 생긴 일, 스미싱의 실체
동생에게 우체국을 사칭한 문자가 왔던 날을 지금도 생생히 기억하는데요. 먼저 전화가 왔었고 뒤이어 "긴급 우편물이 도착했습니다. 본인 확인을 위해 아래 링크에서 서명해 주세요"라는 내용이었는데, 문자 발신 번호도 그럴싸했고 링크 주소도 언뜻 보면 공공기관 URL처럼 꾸며져 있었다고 합니다.
이게 바로 말로만 듣던 스미싱(Smishing)입니다. 스미싱이란 SMS와 피싱(Phishing)의 합성어로, 문자 메시지에 악성 링크를 심어 클릭을 유도한 뒤 개인정보나 금융 정보를 탈취하는 사기 수법을 말하는 것인데요. 단순히 전화로 속이던 고전적인 방식과 달리, 스미싱은 공신력 있는 기관처럼 위장한 문자 하나로도 충분히 실제 금융 피해로 이어질 수 있다는 점에서 더 위험합니다.
동생은 택배로 받을 것이 있었기에 자연스럽게 링크를 눌렀고, 그 이후 계좌 해킹으로 이어졌습니다. 큰 금액은 아니었지만 "설마 내가 당하겠어"라는 생각이 얼마나 위험한 방심인지를 뼈저리게 느꼈다고 해요. 이렇듯 스미싱은 20~30대 젊은 층도 충분히 속을 수 있을 만큼 정교하게 진화해 있는 듯 합니다.
과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면, 2023년 한 해 동안 접수된 스미싱 문자 탐지 건수는 약 50만 건을 넘어섰다고 해요(출처: 한국인터넷진흥원). 이 숫자가 의미하는 것을 쉽게 생각해 보면, 하루 평균 1,400건 가까이 악성 문자가 뿌려지고 있다는 뜻과 같습니다. 상상을 초월하는 수에 놀라지 않을 수 없네요.
현직 경찰관이 자금세탁 조직 총책이었다
오늘자 뉴스였는데요. 이 뉴스를 처음 접했을 때 잠깐 멈칫 했어요. 무엇보다 보이스피싱 수익금 세탁 조직의 총책이 현직 경찰관이었다는 사실은, 단순히 '나쁜 사람이 나쁜 짓을 했다'는 차원의 이야기가 아니었기 때문입니다.
여기서 잠깐. 자금세탁(Money Laundering)이란 범죄로 얻은 불법 수익금의 출처를 숨기기 위해 합법적인 금융 거래처럼 위장하는 행위를 말해요. 어찌되었건, 보이스피싱 조직이 피해자에게서 빼앗은 돈은 그냥 쓸 수 없다고 해요. 뉴스에 의하면 추적을 피하기 위해 여러 차례 계좌를 거치고, 가상자산이나 현금 인출 등의 방식으로 세탁을 거쳐야 조직이 실질적으로 사용할 수 있는 돈이 된다고 하네요. 이 과정을 조율하는 역할을 총책이 맡는 것이고요.
해당 뉴스 기사를 보면서 무섭다 느낀 건, 그 총책이 수사 시스템의 내부 구조를 잘 아는 현직 경찰관이었다는 점입니다. 수사망을 피하는 방법, 증거가 남지 않도록 지시하는 방식, 조직원 관리 방법까지 전문 수사 지식이 범죄에 그대로 활용된 셈입니다. 이건 단순한 일탈이 아니라, 시스템 자체가 흔들릴 수 있다는 신호로 봐야 할 것 같습니다.
이런 사건을 보면 금융 피싱이 더 이상 개인의 실수나 부주의로만 설명될 수 없다는 생각이 듭니다. 조직의 규모, 내부 협력자, 기술적 정교함이 결합된 구조적 범죄에 가깝습니다.
피해예방을 위해 꼭 알아야 할 것들
다행히 동생의 경우, 사이버수사대에 빠르게 신고해서 큰 피해로는 이어지지 않았습니다. 사이버수사대란 인터넷과 전자기기를 이용한 범죄를 전담 수사하는 경찰 내 특수 부서로, 스미싱이나 계좌 해킹처럼 디지털 경로로 발생한 금융사기 피해를 접수하고 처리하는 부서에요. 초기 대응이 빠를수록 피해 확산을 막을 수 있다는 점에서, 어디에 신고해야 하는지 평소에 알아두는 것만으로도 큰 차이를 만들 수 있습니다.
금융감독원이 안내하는 보이스피싱 피해 예방 수칙에 따르면, 실제 기관은 문자 링크를 통해 개인정보나 금융 정보를 요구하지 않는다고 명시하고 있습니다(출처: 금융감독원). 이 한 가지 원칙만 기억해도 스미싱 피해의 상당수를 막을 수 있습니다.
피해를 줄이기 위해 실생활에서 바로 적용할 수 있는 핵심 수칙을 정리하면 다음과 같습니다. 잘 알아두시고 주변에도 공유해 주시는 것을 추천드려요.
- 문자로 온 링크는 클릭하기 전에 반드시 공식 앱이나 대표번호로 직접 확인한다
- 출처 불명의 앱 설치 요청은 악성코드(Malware) 감염으로 이어질 수 있으므로 즉시 거절한다
- 계좌 이상 거래 발생 시 금융기관 공식 번호(112, 1332)로 즉시 지급정지를 신청한다
- 개인정보 유출이 의심되면 금융소비자 보호 포털에서 '명의도용 조회' 서비스를 활용한다
특히 이 악성코드(Malware)란 스마트폰이나 컴퓨터에 몰래 설치되어 개인정보·금융정보를 빼내거나 원격 제어를 가능하게 하는 악성 프로그램을 통칭합니다. 링크 하나를 클릭하는 것만으로도 설치될 수 있어서, 출처가 확실하지 않은 링크는 무조건 열지 않는 습관이 가장 확실한 예방책입니다.
의심하는 습관이 가장 강한 방어막이다
이 모든 일을 겪고 나서 제가 내린 결론은 아주 단순합니다. 기술이 발전할수록 사기 수법도 정교해지고, 조직도 커지고, 심지어 내부 협력자까지 생긴다면, 개인이 할 수 있는 가장 강력한 방어는 '의심하는 습관'이라는 것입니다.
이제는 익숙하게 들리는 피싱(Phishing)이란 뜻은 낚시(Fishing)에서 유래한 용어로, 믿을 수 있는 기관처럼 위장해 개인정보나 금융 정보를 낚아채는 사기 행위 전반을 가리킵니다. 기술이 아무리 정교해져도, 클릭하기 전에 한 번 멈추고 "이게 진짜 공식 연락인가?"라고 스스로 묻는 습관 하나가 피싱의 성공률을 크게 낮출 수 있겠습니다.
조심하면 된다고 막연히 알고 있었지만, 막상 가까운 사람이 실제 피해를 당할 뻔하고 나니 '조심'의 의미가 완전히 달라졌습니다. 낯선 링크 하나, 익숙한 기관명이 들어간 문자 하나에도 잠깐 멈추는 습관, 그게 지금 제가 실천하고 있는 가장 현실적인 보안 수칙이기도 합니다. 여러분도 불분명한 문자는 일단 합리적인 의심부터 하시길 바랍니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 법률 또는 금융 조언이 아닙니다. 혹여나, 피해가 발생했거나 의심스러운 상황이라면 반드시 금융감독원(1332) 또는 경찰청 사이버수사대(182)에 문의하시기 바랍니다.
참고: https://www.busan.com/view/busan/view.php?code=2026051111381413797