보이스피싱·스미싱 피해액 7개월 만에 8천억 육박… 개인정보 기반 정밀 공격 확산
AI 음성합성까지 동원… 정부·금융권 대응에도 소비자 불안 고조

/인공지능(AI) 생성 이미지
/인공지능(AI) 생성 이미지

최근 개인정보 유출 사고가 잇따르면서 스미싱 범죄에 대한 우려도 확산하고 있다. 다크웹에 흘러나간 전화번호와 주소, 이름 같은 개인정보가 범죄조직의 정밀 타깃 명단으로 활용되면서, 불특정 다수에게 무작위로 뿌려지던 스팸 문자가 이제는 특정인을 겨냥한 정교한 공격으로 변모하고 있다. 단순 택배 배송 사칭을 넘어 원격제어 앱 설치를 유도하거나 금융기관을 사칭하는 방식으로 진화하면서 피해 규모도 갈수록 커지고 있다. 최근에는 AI 음성합성 기술을 더해 가족이나 은행 직원을 빙자하는 보이스피싱 사례까지 등장해 위험 수위가 한층 높아졌다. 

경찰청 등에 따르면, 올해 1~7월 보이스피싱·스미싱 범죄 피해액은 약 7992억 원으로 집계돼 전년 동기 대비 95% 증가한 것으로 나타났다. 또한 같은 기간 범죄 발생 건수도 전년 대비 14% 증가했다. 

아울러 한국인터넷진흥원에 따르면, 올해 상반기 스미싱 문자 유형 중 ‘개인정보 유출·수집 사칭’이 전체의 37%를 차지하며 가장 높은 비중을 기록했다. 이어 금융기관 사칭, 기업·광고 사칭, 지인 사칭 순으로 집계됐다. 이 통계는 카카오뱅크의 ‘AI 스미싱 문자 확인’ 서비스 분석 데이터를 기반으로 산출된 것으로, 스미싱 범죄가 갈수록 개인정보 활용에 의존하고 있다는 점을 방증한다.

스미싱의 공격 방식은 점점 더 교묘해지고 있다. 기존에는 ‘택배 배송 조회’나 ‘상품권 당첨’ 같은 단순 메시지를 통해 악성 URL 클릭을 유도했다면, 최근에는 실제 사용자의 이름과 주소, 금융 거래 내역이 포함된 맞춤형 메시지가 전송되는 경우가 많다. 예컨대 피해자가 최근 이용한 택배사의 운송장 번호가 함께 기재된 문자나, 특정 은행의 상담원 번호를 사칭한 연락이 오는 식이다. 

특히 최근에는 AI 기술까지 활용되면서 스미싱 범죄의 위험이 한층 높아지고 있다. 텍스트 메시지로 시작해 곧바로 AI 음성 합성을 통한 전화가 이어지는 ‘하이브리드 피싱’ 수법이 등장했다. 범죄자는 가족 목소리를 흉내 내 긴급 상황을 꾸미거나, 은행 직원을 사칭해 계좌 이체를 유도한다. 과거 단순 링크 클릭 유도에서 벗어나, 감정과 긴급성을 동시에 자극하는 방식으로 진화하고 있는 셈이다.

피해 사례도 빠르게 늘고 있다. 금융당국에 따르면 올해 들어 AI 기반 보이스피싱 및 스미싱 신고 건수가 전년 동기 대비 두 자릿수 증가세를 보였다. 특히 중장년층과 고령층 피해가 두드러지는데, 이는 개인정보 유출에 따른 ‘맞춤형 공격’이 가능해졌기 때문이라는 분석이다. 금융권은 스미싱 차단 서비스, 스팸 문자 자동 탐지 기능 등을 내놓고 있지만, 공격 수법의 속도를 따라잡기에는 역부족이라는 평가가 나온다.

이에 따라 전문가들은 제도적 보완과 함께 개인이 스스로 실천할 수 있는 보안 습관이 무엇보다 중요하다고 강조한다. 당국 역시 예방 수칙을 반복적으로 안내하며 경각심을 높이고 있다. 가장 기본적인 대처는 출처가 불분명한 문자 내 인터넷 주소를 클릭하지 않고 즉시 삭제하는 것이다. 의심되는 사이트일 경우 반드시 정상 홈페이지와 일치 여부를 확인해야 한다.

개인정보 입력 시에도 주의가 필요하다. 휴대폰 번호, 아이디, 비밀번호, 인증번호 등은 반드시 신뢰할 수 있는 사이트에만 입력해야 하며, 정부기관이나 금융회사가 전화나 문자로 원격제어 앱 설치를 요구하는 일은 없다는 점을 기억해야 한다. 정상 앱스토어에 등록된 앱이라 하더라도 의심되는 경우 설치를 자제하는 것이 안전하다.

스마트폰 자체 보안 기능을 활용하는 것도 도움이 된다. 휴대전화 설정 메뉴에서 ‘보안’ 항목으로 들어가 ‘보안 위험 자동 차단’ 기능을 활성화하면 의심스러운 앱이 설치되는 것을 사전에 막을 수 있다. 정식 앱스토어 외부에서 내려받은 파일이나 악성 코드가 포함된 앱이 실행되지 않도록 차단하는 장치로, 기본적인 보안 습관과 함께 병행하면 예방 효과가 높아진다. 

스미싱 범죄의 특성상 피해자의 번호가 도용돼 추가 문자 발송에 악용될 수 있다는 점도 유의해야 한다. 이동통신사의 ‘번호도용문자차단서비스’를 무료로 신청하면 본인 명의 번호가 범죄에 이용되는 것을 막을 수 있다. 

피해가 의심될 경우에는 즉시 모바일 결제 내역을 확인해야 한다. 통신사 고객센터를 통해 소액 결제 내역을 조회한 뒤 피해가 발견되면 스미싱 문자를 캡처해 신고하고, 소액결제확인서를 발급받아 경찰서 사이버수사대에 제출하면 된다. 이후 사건사고 사실 확인서를 교부받아 통신사나 결제대행 업체에 피해 보상을 요구할 수 있다.

만약 스미싱 문자에 포함된 링크를 통해 악성 앱을 설치했다면 모바일 백신을 이용해 삭제하거나 수동으로 제거해야 한다. 해결이 어려울 경우 서비스센터를 방문하는 것이 권장된다. 또한 해당 기기로 금융거래를 한 이력이 있다면 공인인증서와 보안카드를 폐기하고 반드시 재발급을 받아야 한다. 

스미싱 피해는 개인을 넘어 주변인에게까지 확산될 수 있다. 악성 앱이 주소록을 무단으로 조회해 유사한 스미싱 문자를 발송하는 경우가 있기 때문이다. 따라서 피해 사실을 인지하면 즉시 가족과 지인에게 알리고 2차 피해를 차단하는 것이 중요하다. 

경찰청 사이버수사대 관계자는 “최근 스미싱 범죄는 개인정보 유출과 AI 기술을 결합해 갈수록 지능화되고 있다”며 “출처가 불분명한 링크는 클릭하지 말고, 피해가 의심될 경우 즉시 경찰에 신고해 신속히 대응하는 것이 피해 확산을 막는 가장 효과적인 방법”이라고 말했다.

관련기사
저작권자 © 그린포스트코리아 무단전재 및 재배포 금지