【STV 박란희 기자】청첩장과 부고장, 과태료·교통법규 위반 안내 문자로 위장해 악성앱 설치를 유도한 뒤 계좌를 통째로 털어간 국내 최대 규모 스미싱 조직이 경찰에 붙잡혔다. 피해자만 1천여 명, 피해액은 약 120억 원에 달하는 것으로 파악됐다. 경조사 알림을 가장해 “혹시 아는 사람일지 모른다”는 심리를 노린 치밀한 범행이었다.

서울경찰청 사이버수사대는 중국 국적의 국내 총책 A씨(38)를 포함해 조직원 13명을 검거해 이 중 4명을 구속 송치했다고 26일 밝혔다. 나머지 9명은 불구속 상태로 검찰에 넘겨졌다. 조직은 2023년 7월부터 올해 6월까지 청첩장·부고장·교통법규 위반 고지 등으로 꾸민 문자에 악성앱 설치 링크를 넣어 보내는 수법으로 범행을 지속했다.

피해자들이 경조사 안내 문자를 의심 없이 눌러 악성앱을 설치하면, 휴대전화가 사실상 범죄 도구로 바뀌었다. 조직은 악성앱을 통해 문자 수신·발신을 가로채고 인증번호를 실시간으로 빼냈다. 이어 피해자 명의로 알뜰폰 유심을 무단 개통해 기존 휴대전화는 ‘먹통’으로 만들고, 위조 신분증과 결합해 휴대폰 본인인증과 금융·가상자산 계정 인증 절차를 차례로 돌파했다. 이렇게 장악한 계좌와 가상자산 거래소 계정에서 거액을 이체하는 방식으로 돈을 빼냈다. 일부 피해자의 카카오톡 계정까지 탈취해 지인들에게 “급히 돈이 필요하다”고 속이는 2차 메신저 피싱도 병행했다.

특히 이 조직은 ‘청첩장·부고장 문자’ 특유의 심리적 약점을 정면으로 노렸다. 경찰에 따르면 피해자의 80~90%가 50대 이상 중·장년층이었고, 한 사람에게서 4억8천500만 원이 빠져나간 사례도 확인됐다. 서울경찰청 관계자는 “지인의 경조사 문자처럼 보이기 때문에 링크를 한 번만 눌러도 큰 피해로 이어질 수 있다”고 우려를 전했다.

조직 운영도 고도화돼 있었다. 중국에 거점을 둔 총책들은 개인정보 DB를 활용해 전송 대상을 추려내고, 스미싱 문자 발송과 유심 무단 개통을 지시했다. 국내에 파견된 A씨는 입국 직후 중국에서 알던 지인들을 규합해 약 1년 7개월 동안 범행을 지휘하며, 수도권 일대에서 차량을 ‘이동식 범죄 사무실’처럼 활용했다. 경찰은 피해자 휴대전화 사용 기록과 폐쇄회로(CC)TV를 추적해 수도권 대형 아울렛 주차장에서 신분증 위조와 공기계 유심 장착, 금융앱 침입 작업을 하던 피의자들을 현행범으로 붙잡았다. 현장에서 공기계 15대, 위조 신분증, 신분증 인쇄기, 현금 4천500만 원 등 범행 도구와 수익금도 함께 압수했다.

이번 검거로 국내 조직원 13명이 모두 검거되면서, 전국 수사관서에 수사 중지·미제로 남아 있던 동일 수법 스미싱 사건 900여 건이 한꺼번에 정리됐다. 경찰은 계좌 침입 과정과 피의자 진술을 바탕으로, 글꼴이 부자연스럽거나 실존하지 않는 기관명이 적힌 위조 신분증도 일부 금융앱의 진위 확인 절차를 통과하는 등 본인인증 체계의 취약점을 확인해 통신사 2곳과 금융기관 2곳에 공유하고 보안 강화 조치를 추진했다.

경찰은 중국 상하이를 거점으로 범행을 지휘한 해외 총책 2명에 대해 인터폴 적색수배를 내리고 국제공조 수사를 이어가고 있다. 서울경찰청 관계자는 “청첩장·부고장 문자라고 해도 링크는 절대 클릭하지 말고, 반드시 전화 등으로 사실 여부를 확인해 달라”며 “공식 앱스토어에서 내려받은 검증된 앱만 설치하고, 의심스러운 문자는 즉시 삭제하는 습관이 필요하다”고 당부했다.