"면접 오세요" 문자 받고 링크 눌렀다가…취준생 '날벼락'

"이력서가 마음에 듭니다. 면접 보러 오세요."

취업준비생 A씨는 한 회사에서 면접을 보자는 제안이 담긴 문자를 받았다. 그러면서 화상면접 애플리케이션(앱) 설치 링크(URL)가 전송되자 A씨는 이 링크를 눌러 앱을 내려받았다. 앱이 휴대전화에 접근할 수 있는 권한도 허용했다.

A씨의 기대감은 하루 아침에 물거품이 됐다. 다음 날 새벽 A씨 명의로 대포폰을 개설해 비대면 대출이 진행된 사실을 알게 된 것. A씨가 받은 문자는 취업을 미끼로 한 스미싱 범죄 수법이었다.

취준생을 노린 스미싱은 간절한 심리를 파고든다. 수차례 이력서를 내고 면접을 보면서도 좀처럼 취업을 하지 못한 취준생 입장에선 '합격했다'거나 '면접을 보러 오라'는 문자를 쉽사리 외면할 수 없다. 취준생들의 절박한 심정이 스미싱 표적이 된 셈이다.

알바몬, 이력서 정보 2만여건 유출…스미싱 피해 우려

2일 업계에 따르면 아르바이트생 취업포털 알바몬은 전날 공식 홈페이지 공지를 통해 회원들 이력서 정보가 유출됐다고 알렸다. 이름·휴대전화 번호·이메일 주소 등 임시 저장된 이력서 정보 2만2473건이 지난달 30일 유출된 것으로 파악됐다. 피해회원별로 유출 정보는 다를 수 있다.

알바몬은 전체 회원 대상으로 비밀번호 변경을 권고했다. 피싱 범죄 가능성이 있는 만큼 의심스러운 이메일이나 문자 메시지도 열지 말 것을 주문했다. 알바몬은 추후 발생할 수 있는 예상 피해 내용으로 △피싱·스미싱 시도 △개인정보를 도용한 명의 사용 △원치 않는 광고나 마케팅 연락 등을 꼽았다.

해킹범은 알바몬 내 '이력서 작성 페이지의 미리보기'를 노려 해킹을 시도했다. 알바몬은 해킹 시도를 인지한 즉시 해당 계정과 IP를 차단했다. 개인정보보호위원회엔 해킹 사실을 파악한 지 하루 뒤인 지난 1일 자진 신고했다.

알바몬은 같은 날 개인정보가 유출된 피해회원들에게 이메일을 통해 개별 안내했다. 아직 2차 피해는 접수되지 않은 상황. 알바몬은 '개인정보 유출 전용 문의 창구'를 신설했고 문의사항을 남기면 24시간 이내에 응대하겠다고 밝혔다.

알바몬은 보상 대책도 빠른 시일 안에 마련하겠다고 공지했다. 그러면서 "사과의 마음을 담아 보상안을 문자와 메일로 개별 안내할 예정"이라고 했다. 알바몬은 "외부 해킹·계정 탈취 시도에 대한 상시 탐지 체계를 더욱더 강화하고 개인정보 접근 로그에 대한 모니터링을 강화해 해킹 시도나 이상접근에 대한 탐지·차단을 더욱더 강화할 예정"이라고 강조했다.

개인정보 유출 과징금 '확대'…알바몬 "보안 전면 점검"

알바몬에 앞서 인크루트도 지난 1월19일~2월4일에 걸쳐 회원들의 성명·생년월일·성별·휴대전화 번호 등이 유출됐다. 인크루트는 해킹이 일어난 지 한 달이 지난 3월에야 해킹 사실을 인지했다.

이 회사는 앞서 2020년 9월에도 회원 3만5067명의 개인정보 유출을 막지 못했다. 당시 해커는 무작위로 로그인을 시도하는 '크리덴셜 스터핑'으로 개인정보를 빼냈다. 로그인 시도는 총 217만9561회에 걸쳐 이뤄졌다. 휴면계정을 해제할 때 추가 인증 절차를 두지 않아 피해가 컸다.

인크루트는 이 일로 지난 19일 개인정보위로부터 부과받은 과징금 7060만9000원이 확정됐다. 인크루트가 개인정보위를 상대로 과징금 불복 소송을 냈지만 패소했고 이 판결이 그대로 확정된 것이다. 이 판결은 SK텔레콤이 가입자 유심(USIM·가입자식별장치) 정보 해킹 사실을 인지한 다음 날 확정됐다.

인크루트는 '개인정보보호법상 의무를 이행하지 않은 위법 행위로 인해 직·간접적 영향을 받는 서비스의 직전 3개 사업연도 연평균 매출 3% 이하'를 기준으로 산출된 과징금을 부과받아 금액이 크지 않았다. 하지만 2023년 9월 개인정보보호법이 개정되면서 '전체 매출액의 3%'로 과징금 범위가 확대됐다. 위반행위와 관련 없는 매출액은 제외되긴 하지만 과징금 부과 상한이 늘어난 셈이다.

알바몬 관계자는 "현재는 동일한 방식의 해킹 시도는 더 이상 발생하지 않도록 원천 차단된 상태"라며 "이번 일을 단순한 위기로 보지 않고 알바몬의 보안 시스템을 전면 점검하고 근본적 개선을 이루는 계기로 삼겠다"며 "현재 상황을 한국인터넷진흥원(KISA)과 관계기관에 보고하고 함께 유입경로를 비롯한 모든 조사를 진행 중으로, 결과가 나오면 재공지할 예정"이라고 말했다.

김대영 한경닷컴 기자 kdy@hankyung.com