“대출 심사 결과 알려면 모바일 앱 설치를…” 이런 문자 조심하세요

A씨는 지난해 12월 한 은행 콜센터로부터 문자 메시지를 받았다. 대출 심사결과를 안내해 준다는 내용이었다. 며칠 뒤 같은 번호로 한 통의 메시지가 더 도착했다. 모바일 신청 애플리케이션(앱)을 설치한 뒤 접수하라는 설명과 함께 링크가 첨부돼 있었다.

이 링크를 누르면 은행 모바일 피싱 사이트로 연결되고 악성 앱을 내려받게 된다. 이렇게 악성 앱이 깔린 스마트폰으로 금융회사 대표번호에 전화를 걸면 보이스피싱 조직이 전화를 가로채서 받는다. 신종 보이스피싱 수법인 ‘가로채기’의 전형적인 사례다.

보이스피싱이 갈수록 진화하고 있다. 악성 안드로이드 앱과 ‘전화 가로채기’ 수법을 이용한 신종 보이스피싱은 대부분 인지도가 높은 대형 은행을 사칭해 피해자들을 속인다.

24일 금융보안원이 발간한 ‘보이스피싱 악성 앱 프로파일링’ 보고서에 따르면 신종 보이스피싱은 불특정 다수에게 ‘무자격자 대출 가능’ 등 미끼 문자메시지를 보내는 것으로 범행을 시작한다. 이 중 대출 상담을 필요로 하는 피해자들에게 대출 신청을 빌미로 악성 앱을 설치하게 만든다. 이렇게 악성 앱을 유포하는 서버는 전부 대만에 주소를 두고 있는 것으로 나타났다. 금융보안원이 악성 앱 3000여건을 수집·분석한 결과다.

신종 보이스피싱 조직은 주5일 근무를 하는 금융회사처럼 흉내를 내기도 한다. 악성 앱이 하루에 40∼80건씩 뿌려지는 평일과 달리 주말에는 하루 20건도 찾을 수 없었다. 은행 업무시간 이후에는 대출과 관련된 상담을 진행하지 않았다. 실제로 악성 앱이 사칭하는 금융회사의 80% 이상은 은행이었다.

새로운 휴대전화 모델이 나오면 바로 대응하는 모습도 보였다. 금융보안원은 삼성 갤럭시S9 모델이 출시된 후 일부 악성 앱에서 갤럭시S9에 필요한 리소스(구성요소)를 추가한 사실이 확인됐다고 밝혔다. 금융보안원 관계자는 “스마트폰 운영체제를 최신 상태로 유지하고, 문자 메시지나 카카오톡을 통해 출처를 알 수 없는 인터넷 주소를 받으면 연결하지 말아야 한다”고 말했다.

임주언 기자 eon@kmib.co.kr