신청한 적 없는 카드가 배송 중?…금감원, 소비자경보 '경고' 발령

[이데일리 이수빈 기자] 1. A씨는 최근 신청한 적 없는 카드가 배송된다는 전화를 받았다. A씨가 “카드를 신청한 적 없다”고 말하자 전화를 건 사람은 “반송처리를 위해 △△카드 대표번호 1788-XXXX번으로 전화해야 한다”라고 답했다. 해당 번호로 전화하자 연결된 상담원은 A씨의 명의를 도용한 누군가가 카드를 허위로 발급한 것 같다며 사고접수를 위해 공식 앱스토어에서 특정 앱을 다운 받게 했다. 그러나 이 앱은 ‘원격제어’ 앱이었고 사기범들은 A씨 핸드폰을 원격제어해 악성앱을 설치했다. 이어 사기범들은 금감원 직원인 척 A씨에게 전화해 ‘자산보호’ 목적으로 특정 계좌에 돈을 이체하라고 지시했고 A씨는 결국 사기꾼의 계좌에 직접 돈을 이체했다.

(사진=게티이미지프로)

금융감독원이 카드배송을 사칭한 보이스피싱이 증가함에 따라 소비자경보를 ‘주의’ 단계에서 ‘경고’ 단계로 상향했다고 13일 밝혔다. 신청한 적 없는 카드배송으로 접근해 사고접수 도움을 주는 척 하면서 원격 제어앱을 설치하는 수법이다. 이후 검찰, 금감원을 사칭하는 직원이 자산보호 등을 명목으로 자금이체를 유도하는 경우가 빈번해졌다. 종전에는 카드배송 미끼문자를 발송했으나 문자차단 대책이 시행됨에 따라 배송원을 사칭해 전화하거나 위조된 실물카드를 직접 배송하러 방문하는 등 적극적인 범행을 시도하고 있다.

‘명의도용’으로 카드 발급됐다며 피해자에게 접근

사기범들은 우선 신청하지 않은 카드가 발급되었다고 피해자가 오인하게 만들어 카드사 고객센터로 위장한 사기범들의 연락처로 전화하게 유도한다. 피해자가 가짜 고객센터로 전화할 경우, 개인정보 유출로 명의가 도용됐다며 보안점검, 악성앱 검사, 사고접수 등을 명목으로 앱 설치를 유도하며 실제로는 원격제어앱을 설치한다.

종전 문자에 URL을 포함해 출처가 불분명한 악성앱을 설치하도록 유도하는 방식이 어려워지자 사기범들은 공식 앱스토어에 등록된 원격제어앱을 다운받게 유도해 앱 설치에 대한 경각심을 최소화한다.

이 원격제어앱들은 휴대폰, 컴퓨터 등을 원격으로 제어할 수 있도록 만든 공식 어플리케이션으로 주로 원격 근무나 가족(고령, 어린이 등)의 휴대폰 관리 등에 활용되는 프로그램이나, 사기범들이 설치시 피해자 휴대폰을 통제해 악성앱을 설치하는 등 악용되고 있다.

원격제어앱 설치 후 악성앱까지 설치되면 금감원(1332), 검찰청(1301) 공식번호로 전화해도 사기범들에게 연결되므로 의심하기 어렵고, 사기범들은 위치추적, 녹음 등까지 가능하게 된다.

이어 검찰 사칭 사기범이 피해자가 연루된 사기범죄로 다수 피해자가 발생해 구속수사한다고 협박한 후, 금감원 직원 등을 사칭한 다른 피해자가 약식수사 등을 할 수 있도록 도와준다고 하며 피해자의 심리를 지배한다. 아울러 가족에게 알리면 가족도 수사대상이 된다고 위협하며 피해자를 철저히 고립시킨다.

이어 최근 금융앱 보안강화 등에 따라 악성앱, 대포폰 등을 통해 사기범이 직접 이체하는 방식이 어려워지자 사기범들은 자산보호, 약식기소 공탁금 등의 명목으로 피해자를 속여 피해자 스스로 사기범에게 자금을 이체하도록 수법을 변경했다.

사기범들은 금융회사의 본인확인, 거래목적 확인 등 문진에 대비해 자금 사용처 등 답변을 사전에 교육하고 금융회사·통신사·경찰까지 범죄에 연루돼 있다고 속여 주변의 도움을 무력화한다.

최근에는 완전히 가스라이팅 당한 피해자가 직접 이체함에 따라 금융회사가 이상거래로 탐지, 문진을 하더라도 본인 거래로 주장하며 도움을 거절하는 사례도 확인되고 있다. 일례로 한 70대 여성은 은행이 이상거래로 탐지해 본인확인을 진행했으나, 피해자는 아들의 사업투자 목적 거래이므로 관여하지 말라고 답했디. 이 여성의 피해 금액은 21억원에 달한다.

카드배송, 카드사에 직접 확인할 것

범죄를 예방하기 위해서는 본인이 카드를 신청하지 않은 카드배송 연락을 받은 경우, 배송직원이 알려준 번호가 아니라 카드사 홈페이지·앱·콜센터 번호를 통해 경위를 확인해야 한다.

카드사 등 금융회사와 공공기관은 앱 설치를 요구하지 않는다. 공식 앱스토어에 등록된 원격제어앱이라도 ID·주소·인증번호 등을 타인에게 알려주는 것은 상대방에게 내 휴대폰을 맡기는 것과 같다.

원격제어앱이나 악성앱 설치가 의심되는 등 조금이라도 꺼림칙하다면 본인의 휴대폰이 아닌 가족 등 지인의 전화를 이용해 경찰 또는 금감원으로 전화해 상담해야 한다.

또 금감원, 검찰 등 국가기관은 절대 직접 자금이체를 요구하지 않는다. 금감원, 경찰 등 국가기관이 자산검수, 안전계좌 송금, 약식기소 공탁금 등의 이유로 자금이체를 요구할 경우 100% 사기이므로 거절하고 경찰에 신고해야 한다.

최근 보이스피싱 수법은 주소, 계좌번호 등 개인정보가 이미 노출된 피해자에게 전화를 걸어 실제 금융회사 상담센터와 유사한 내용 및 방식으로 접근하는 등 교묘한 방식으로 진화해 피해자 스스로 알아차리기 어렵다.

이에 통신사에서 제고 중인 AI보이스피싱 탐지 서비슬 리용하면 보이스피싱 여부를 휴대폰 알람으로 받을 수 있다.

금감원은 금융권뿐 아니라 범정부 태스크포스(TF) 등을 통해 관계 부처와도 긴밀히 공조해 보이스피싱의 근원적 차단 노력을 지속해나갈 계획이다.

‘비대면 계좌개설 사전차단 서비스’ 등의 구축·시행, ‘이상거래 탐지시스템(FDS)’ 기능 고도화, 통신사-금융사간 정보공유 체계 마련 등을 통해 보이스피싱에 대한 금융회사의 현장대응 능력을 지속적으로 강화해 나갈 계획이다.