중국에 거점을 두고 국내에 ‘분점’ 형태의 조직을 구성해 2년간 우리나라 국민 피해자 1000여 명으로부터 120여 억 원을 뜯어낸 국내 최대 규모 스미싱 조직이 경찰에 붙잡혔다. 해당 조직은 중국 국적 조직원을 국내 총책 신분으로 파견까지 하며 한 때 국내를 휩쓸었던 일명 ‘부고장·청첩장’ 사기를 자행하는 등 조직적으로 범죄를 저지른 것으로 파악됐다.
26일 서울경찰청 사이버수사1대는 국내 최대 규모 스미싱 조직의 국내 총책 중국 국적 A 등 13명을 검거해 이 중 4명을 구속하고 9명을 불구속 상태로 검찰에 송치했다고 밝혔다. 이 사건을 해결하면서 경찰은 전국 수사관서에 접수됐지만 수사가 중지되는 등 미제로 남겨진 사건 900여 건이 해당 조직의 범행에 의한 사건이었음을 추가로 확인했다.
이들은 중국에 근거지를 두고 우리나라에서 사기범죄 활동을 벌일 목적으로 A 씨를 파견해 조직을 구성했다. 당초 이들은 해외에서 피해자에게 악성 애플리케이션(앱) 설치를 유도해 소액을 편취하는 ‘소액결제 스미싱’을 하던 조직이었지만. 국내에 들어오면서 직접 모바일뱅킹 앱 침입을 감행해 다액을 편취하는 진화된 수법을 사용하기 시작했다. 국내 총책들은 중국을 오가며 충국 총책과 긴밀히 교류하며 범행계획을 짜기도 했다. 특히 A 씨는 국내로 들어온 직후 중국에서 알던 지인들을 규합해 범행을 주도한 것으로 확인됐다.
이들은 비대면 본인인증의 취약점을 파고 들어가는 방식으로 범행을 저질렀다. 우선 비대면 본인인증의 핵심 수단인 피해자 명의 휴대폰 권한 확보를 위해 악성앱 설치를 유도해 피해자의 휴대전화 권한 확보를 시도했다. 이 과정에서 한 때 국내에서 보이스피싱 수법으로 악명을 떨쳤던 ‘청첩장 왔어요’ 방식이 사용됐다. 이들은 “조○○의 자식이 11월 10일 사랑으로 하나가 돼 한 길을 가고자 한다”는 청첩장 형식의 문자나 “아버지께서 별세하셨다. 빈소 위치는 아래와 같다”는 내용의 부고 문자 하단에 악성앱 링크를 첨부해 클릭을 유도했다. ‘정부24’로 통합되기 전 민원 처리를 담당하던 홈페이지 ‘민원24’ 등 정부기관을 사칭해 가짜 분리수거·주차비 미납 과태료 메시지를 보낸 것도 이들이다.
악성앱이 설치되는 순간 피해자 휴대전화의 권한을 확보한 이들은 피해자 명의로 알뜰폰 유심을 무단개통했다. 이후 위조된 신분증 등을 이용해 마치 피해자가 직접 접속하듯 모바일뱅킹 앱 접속 인증 절차를 유유히 통과해 자산을 자신들이 보유한 통장으로 빼내 범행을 완성시켰다. 피해자가 악성앱 설치 버튼을 클릭하는 순간 평생 모아온 돈이 빠져나가는 것이다.
현재까지 확인된 피해자만 1000명 이상이며 피해액은 120억 원에 달하는 것으로 확인됐다. 이는 단일 스미싱 조직이 벌인 국내 최대 규모 사기 피해액에 해당한다. 계좌 탈취 피해를 입은 피해자 중 82%, 휴대전화 개통 피해를 입은 피해자 중 86%가 디지털 기기 보안에 상대적으로 익숙하지 않은 50대 이상 중장년층이었다.
전국 각지에서 스미싱 사건이 빗발치자 지난해 8월께 서울경찰청은 사이버범죄수사대 2팀을 스미싱 전담팀으로 지정하고 전국에서 접수된 사건을 이송 받아 범행 수법 분석에 나서 계좌탈취형 스미싱이라는 공통점을 포착해 정식 수사에 나섰다. 이후 경찰은 피해자 명의 휴대전화와 CCTV 등을 추적해 수도권 소재 한 아웃렛 주차장에서 범행이 이뤄지고 있다고 추정해 잠복 수사를 벌이던 중 차량 내에서 신분증 위조, 공기계 유심 장착 후 금융기관 앱 침입 등을 하고 있던 피의자들을 현장에서 검거했다. 차량에서는 수 십 대의 휴대전화 공기계와 다수의 위조 신분증, 범죄수익금 현금 4500만 원이 발견됐다.
국내 총책을 검거한 경찰은 범행 IP를 분석하는 한편, 총책의 중국 출입국 내역을 추궁해 중국 상해에 거점을 두고 있는 해외 총책 2명도 특정했다. 경찰은 해외 총책 2명이 중국에서 직접 스미싱 범행을 지시했다고 보고 인터폴 적색 수배 조치를 하는 한편, 중국과 국제공조수사를 진행하고 있다.
경찰은 국내 총책 등 범인을 검거한 이후 피의자 진술 및 계좌 침입 과정을 분석해 본인인증 체계의 제도적 취약점을 발견했다. 경찰은 통신사 두 곳과 금융기관 두 곳에 취약점과 범행 수법 등을 공유해 본인인증체계를 개선시키고 보안을 강화했다. 이 사건 조직 검거 직후 국내에서 계좌탈취형 스미싱 수법의 범죄가 급감한 것으로 나타났다.
경찰 관계자는 “휴대폰 본인인증에 과도하게 의존할 경우 발생할 수 있는 구조적 문제점을 드러낸 사례”라며 “수사를 통해 본인인증 체계의 보안상 취약점이 일부 개선되었지만 잠재적 취약 요소에 대해 더욱 철저한 점검과 개선 등 보안 강화가 필요하다”고 밝혔다. 이어 “공식 앱스토어를 통해 검증된 앱만 설치하고 지인의 청첩장, 부고장 등이라도 문자메시지에 포함된 URL 링크는 절대 클릭하지 말아야 한다”고 덧붙였다.
![[법정 선 보이스피싱] ⑦ "일반인 목소리 3초면 복제…해결책은 국제 공조"](https://img.newspim.com/news/2025/11/26/251126093341887_w.jpg)
![[법정 선 보이스피싱] ⑥ 기술편 '친밀한 속삭임' 끝에 입금계좌...신뢰까지 해킹한다](https://img.newspim.com/news/2025/11/25/2511251706234360.jpg)