지난 4월 초순경 대구에 사는 50대 중반의 여성 A씨는 이틀간 최근 기승을 부리는 ‘앱 설치 유도형 보이스피싱’ 수법에 2억 9000만원의 피해를 입었다.
범인은 A씨 계좌에 있던 돈은 물론 A씨 명의로 카드론 대출까지 받아 몰래 빼갔는데 어떻게 된 것일까.
A씨의 피해 사례를 범행 단계별로 살펴보자.
◇접근 단계– 소액결제 문자메시지
최근 범인들은 쇼핑몰 등을 사칭하며, 소액결제가 됐다는 문자메시지를 피해자에게 발송한다. 문자메시지를 받은 피해자는 결제한 적이 없었기에 확인전화를 걸어보게 된다.
전화는 자연스럽게 상담원(범인)과 연결이 되고, 결제한 적이 없다고 사실을 털어 놓으면 상담원은 명의 도용으로 이런 신고가 많이 들어오니 경찰에 우선 사건 신고를 해주겠다고 한다. 전화를 끊은 뒤 경찰을 사칭한 범인이 다시 피해자에게 전화를 걸어오고 본격적인 범행이 시작된다.
◇금전 편취 1단계-① ‘원격제어 앱’ 설치 유도
범인은 약식 조사 진행에 앞서 피해자의 금융거래내역 확인 및 본인 인증 등 몇 가지 확인 절차가 필요하다며 ‘구글 플레이 스토어’에서 ‘원격제어 프로그램’(팀 뷰어)을 설치하라고 지시한다. 이런 일을 겪어본 적이 없던 피해자는 의심 없이 프로그램을 설치했다.
◇금전 편취 2단계-② ‘원격제어 앱’을 통한 인터넷 뱅킹
범인은 원격제어를 통해 피해자의 휴대폰을 사실상 지배해 직접 ‘금융기관 앱’에 접속해 인터넷 뱅킹을 시도한다.
피해자에게는 보안상 노출이 되면 안되니 사람들이 없는 곳에서 본인도 볼 수 없도록 휴대폰 화면을 뒤집어 놓고, 스피커폰을 이용하여 이야기할 수 있도록 지시했다.
휴대폰 화면을 보지 못한 피해자가 범인과 통화하는 사이 범인은 피해자의 모든 ‘금융기관 앱’에 접속, 범인계좌로 이체하는 작업을 실행한다. 이체에 필요한 승인번호나 OTP 번호는 피해자로부터 직접 확인해 입력하는 방식으로 돈을 이체해간다.
※ “OTP 보안등급을 강화 작업을 하여야 한다”며 비밀번호 대조가 필요하니 실시간으로 OTP카드에 생성되는 번호를 알려달라며 요구
◇금전 편취 3단계-③ 멈추지 않는 범행
자신의 돈이 이체된 것을 전혀 모르고 있던 피해자는 다음 날 범인에게 먼저 전화를 걸었다. 물론 피해자는 이때까지도 범인을 경찰로 알고 있으며, 전화를 받은 범인은 계속 범행을 시도한다.
범인은 피해자가 대포통장 명의자로 확인되기 때문에 사건 피의자들의 출금 기록을 확인해야 된다며 피해자 보유 계좌의 잔액들을 확인하기 시작했다. 그리고는 그 계좌에 대한 금전이 범죄수익금인지 여부를 확인해야 되니 빠른 이체를 위해 예금을 모두 해지하고 이체 한도를 1억까지 올릴 것을 지시했다.
범죄에 연루가 되었다는 사실에 겁이 난 피해자는 범인의 말을 들을 수밖에 없었고, 은행으로가 이체 한도를 올리고 예금을 해지했다. 그 후 범인은 다시 한 번 ‘원격제어 앱’을 이용, 피해자의 휴대전화에 접근, 위와 같은 방식으로 전화기를 뒤집어 놓으라고 한 채 인터넷 뱅킹으로 금전을 모두 이체했다.
◇금전 편취 4단계-④ ‘원격제어 앱’ 을 통한 카드론 대출
범행은 여기서 그치지 않았다. 범인은 기왕에 연결된 원격제어 앱을 통해 피해자가 소유한 카드회사를 통해 카드론 대출을 받기에 이른다. ARS로 간단한 본인 인증을 통해 대출이 이루어지는 간소한 절차를 악용해 피해자 명의로 대출을 받은 것이다.
◇범행 종료 단계-이틀 만에 2억 9천만원 편취
이틀 동안 아무런 의심이 없던 피해자는 주변 지인에게 이러한 사실을 털어 놓자 보이스피싱임을 알게 됐고 경찰에 신고를 했다.
피해자는 기존에 보유하고 있던 1억 8천만원의 통장 잔고와 범인들이 피해자 명의로 받은 카드론 대출 1억 1천만원 등 총 2억 9천만원 상당의 금전을 편취 당했다.
◇‘보이스피싱’ 으로부터 내 재산 지키기 10계명
대구지방경찰청 수사과는 보이스피싱을 당하지 않기 위해 명심해야 할 10가지를 대구지방경찰청 페이스북(https://www.facebook.com/daegupol)에 게시했다.
본 게시물을 다운로드한 후 SNS, 채팅앱 등을 통해 주변 지인들과 공유해 보이스피싱 피해가 더 이상 발생되지 않기를 당부했다.
전용모 기자 sisalaw@lawissue.co.kr
