2차 민생회복 소비쿠폰 신청·지급을 앞두고 정부가 스미싱 범죄에 대한 주의를 당부했다. 14일 행정안전부는 정부나 카드사, 은행 등을 사칭해 지급 대상·금액을 안내하거나 카드 승인·신청을 해준다며 개인 정보와 금융 정보를 탈취하는 스미싱 공격이 예상된다고 밝혔다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 ‘인터넷주소 바로가기(URL)’가 포함된 문자를 전송한 뒤 이용자가 해당 URL을 누르면 악성 앱이 설치되도록 하는 범죄 수법이다. 이 같은 스미싱 피해를 예방하기 위해 정부·카드사·지역화폐사는 2차 민생회복 소비쿠폰과 관련해 URL이 포함된 문자와 소셜미디어(SNS) 안내 문자를 일정 발송하지 않을 예정이라고 밝혔다. 유사한 기능을 하는 배너 링크나 푸시 기능도 제공하지 않을 방침이다. 1차 민생회복 소비쿠폰과 관련해 현재까지 관계기관이 탐지·대응한 스미싱 사례는 총 430건으로 실제 피해로 이어진 경우는 없었다. 스미싱 유형 분석 결과, 대부분 불법 도박사이트 광고 및 접속유도였으며 개인정보 탈취형 악성 앱도 있었다. 정부는 개인정보 탈취형 스미싱 악성 앱의 경우 주변인들에게 스미싱 문자를 재유포하는 기능도 탑재돼 특히 주의해야 한다고 당부했다. 만약 스미싱 의심 문자를 받았거나 문자 내 URL을 눌러 악성 앱 감염이 의심된다면 한국인터넷진흥원 118 상담센터로 신고하면 된다. 정부는 2차 민생회복 소비쿠폰 신청·지급 전 ‘스미싱 피해 예방 문자’를 발송하고, 온라인 신청페이지에 스미싱 주의 안내 문구를 포함할 예정이다. 또 금융감독원, 경찰청, 한국인터넷진흥원 등을 통해 스미싱 공격에 대한 모니터링을 강화하고, 피해 신고 시 즉시 수사에 착수하는 등 대응체계를 운영할 계획이다. 2차 민생회복 소비쿠폰은 오는 22일부터 10월 31까지 신청 가능하다. 자산·소득 상위 10%를 제외한 전 국민의 90%를 대상으로 1인당 10만원씩 지급하며 사용 기한은 오는 11월 30일까지다.

경기 이천시는 시민과의 신뢰 있는 소통 강화를 위해 문자 발송 시스템에 ‘안심마크’를 적용한 RCS(Rich Communication Services) 기반 서비스를 도입해 운영을 시작했다고 9일 밝혔다. 발신 번호만 표시된 기존 문자 발송 방식은 수신자가 문자의 출처를 확인하기 어려워, 공공기관의 문자조차 사기 메시지로 오해받는 사례가 잦았다. 이에 따라 이천시는 대표번호(031-644-2000)를 기반으로 한 RCS 문자 발송 시스템을 도입하고, 문자를 받는 시민이 ‘이천시청’ 기관명과 한국인터넷진흥원(KISA)에서 검증한 ‘안심마크’를 직접 확인할 수 있도록 개선했다. 안심마크는 위·변조나 사칭이 불가능해 스미싱 문자와 구별된다. 또한 RCS 기반 문자 시스템은 단순한 텍스트 전달을 넘어 사이트 바로가기, 전화 걸기 등 다양한 기능을 지원한다. 시민은 문자 수신과 동시에 교육 신청, 안내문 다운로드, 문의 전화 연결 등 필요한 정보를 안전하게 이용할 수 있다. 김경희 이천시장은 “사칭 문자로 인한 시민들의 불안이 커지고 있어, 문자 발신의 신뢰성을 높이는 것이 시급했다”라며 “안심마크를 적용한 RCS 시스템 도입으로 시민이 안심하고 문자를 열람할 수 있게 된 것이 가장 큰 성과”라고 말했다. 이어 “앞으로도 디지털 기반의 스마트 행정서비스를 확대해 시민 안전과 행정 효율을 동시에 높이겠다”라고 밝혔다.

오는 22일부터 시작되는 정부의 민생회복 소비쿠폰 2차 지급을 앞두고 정부 기관으로 위장한 스미싱(미끼 문자)이 잇따라 당국이 주의를 당부했다. 지난 4일 방송통신위원회는 소비쿠폰 지급을 악용해 불법 도박 사이트 등에 접속하도록 유도하는 불법 스팸 전화·메시지 피해 주의보를 발령했다. 최근 신고 사례로는 ‘민생회복 쿠폰 도착 안내’, ‘지금 받으러 가기’ 등 허위 안내와 함께 악성 사이트로 이어지는 인터넷주소(URL)가 담긴 문자 메시지가 있었다. 이러한 URL은 대체로 정부 기관 등을 사칭한 위장 사이트로 이어진다. 이때 사용자의 개인정보와 금융정보 탈취를 위한 프로그램과 애플리케이션(앱)이 자동 설치돼 무단 송금 및 휴대전화 원격제어 등 피해가 발생할 수 있다. 피해 예방을 위해서는 출처가 불분명한 메시지에 포함된 URL은 누르지 않고 전화는 그대로 거절하는 것이 좋다. 방통위는 소비쿠폰 2차 지급을 악용한 스미싱에 대응하기 위해 이동통신 3사(SKT·KT·LG U+), 카카오와 협력하고 이용자에게 주의 안내 문자를 발송할 계획이다. 또한 단말기 제조사 등에 지능형 스팸 필터링 강화도 요청했다. 만약 출처가 불분명한 URL이 담긴 메시지를 받았다면 한국인터넷진흥원(KISA)이 운영하는 ‘보호나라’ 서비스를 이용하면 된다. 카카오톡에 접속해 ‘보호나라’ 채널을 실행한 뒤, 해당 문자를 복사-붙여넣기 하면 스미싱 여부를 확인할 수 있다. 불법 스팸을 받았다면 해당 문자 메시지와 전자메일(e-mail) 등을 간편 신고 앱이나 휴대전화 간편 신고 등을 통해 KISA에 신고할 수 있다. 신고된 정보는 불법 여부 확인을 거쳐 경찰청, 금융위원회 등과 공유해 피해 확산 방지에 활용한다.

경찰당국이 필리핀에 도피해 있던 한국인 범죄자 49명을 일괄 강제송환하는 데 성공했다고 3일 발표했다. 이는 단일 국가를 대상으로 한 해외도피사범 송환작전 중 역대 최대 규모로 기록됐다. 이날 오후 4시 30분경 인천국제공항에 도착한 송환 대상자는 남성 43명, 여성 6명 총 49명이다. 대규모 송환으로 인해 별도의 전세기가 투입됐으며, 공항에는 대테러기동대를 포함한 경비인력 100여명이 배치돼 삼엄한 경계 속에서 송환 절차가 진행됐다. 사기·사이버범죄가 대부분…피해액만 605억원송환된 인원을 범죄 유형별로 살펴보면, 보이스피싱 등 사기 사범이 총 25명으로 가장 높은 비중을 차지했다. 이 중 18명은 필리핀을 거점으로 보이스피싱 및 스미싱 범죄를 저질렀던 것으로 조사됐다. 사이버범죄 관련자도 17명에 달했으며, 이들은 주로 불법 도박장 개설 혐의를 받고 있다. 이외에도 특수상해 혐의의 조직폭력배를 포함한 강력사범 3명, 횡령·외국환거래법·조세범처벌법·성폭력처벌법 위반 등의 혐의자들이 각각 포함됐다. 이들의 범행으로 인한 피해 규모는 상당하다. 피해자만 1332명에 이르며 직접적인 금전 피해액은 약 605억원으로 집계됐다. 특히 이들이 운영한 불법 도박 사이트의 도금 규모는 무려 10조 7000억원에 달하는 것으로 나타났다. 최장 16년 도피자도 검거…평균 도피기간 3년 반 송환자들의 도피 기간을 분석한 결과, 평균 3년 6개월 동안 필리핀에 숨어지낸 것으로 확인됐다. 이 중 가장 오랫동안 도피해온 인물은 200억원 규모의 기업 자금을 횡령한 후 16년간 추적을 피해온 것으로 드러났다. 연령대별로는 평균 39세였으며, 최고령자는 63세, 최연소자는 24세였다. 인터폴 적색수배서가 발부된 대상자는 45명이었으며, 이들에 대한 국내 수사기관의 수배 건수만 총 154건에 달했다. 주목할 만한 사례로는 2018년부터 약 5조 3000억원 규모의 온라인 불법 도박사이트를 운영해온 조직원 10명도 이번 송환에 포함됐다. 또한 2024년 필리핀 세부에서 발생한 한국인 대상 강도상해 사건의 주범과 공범들도 함께 송환됐다. 4개월간 국제공조 작전…8년 만에 전세기 집단송환이번 대규모 송환작전에는 총 4개월의 준비 기간이 소요됐다. 지난 6월 한국 경찰관을 필리핀에 파견해 현지 당국과 함께 30여명 규모의 합동 수사를 진행했으며, 현지 주거지 급습을 통해 조직원들을 차례로 검거했다. 송환 과정에서는 국내 경찰관과 경찰병원 의료진 등 130여명이 동원됐다. 외교부, 국토교통부, 인천국제공항경찰단, 인천국제공항공사, 인천공항출입국관리소 등 10여개 국내 기관이 협력해 송환 작전을 뒷받침했다. 전세기를 이용한 한국 범죄자 집단송환은 8년 만에 이뤄진 것으로, 2017년 필리핀에서 47명을 송환한 이후 두 번째 사례다. 당시에는 영화 ‘콘에어’에 빗대어 ‘한국판 콘에어 작전’으로 불리기도 했다. “필리핀은 더 이상 범죄자 도피처가 아니다” 이상화 주필리핀 한국대사는 이날 마닐라 니노이 아키노 국제공항에서 현지 언론 브리핑을 개최했다. 필리핀 이민청장과 한국 경찰청 호송단장이 함께 참석한 이 자리에서 이 대사는 “한국과 필리핀은 전략적 동반자 관계를 바탕으로 필리핀이 더 이상 범죄자들의 도피처가 될 수 없음을 분명히 했다”고 강조했다. 이 대사는 이번 송환을 위해 필리핀 대통령실, 이민청, 법무부 등과 지속적인 교섭을 벌여 신병 인도 절차와 전세기 운항에 필요한 세부 사항들을 조율한 것으로 알려졌다. 이준형 경찰청 국제협력관은 “해외를 도피처로 여기는 범죄자들에게 더 이상 안전한 은신처는 없다는 점을 분명히 보여주는 사례”라며 “앞으로도 해외 도피사범에 대한 추적과 검거 작업을 끝까지 이어가겠다”고 의지를 밝혔다.

경기도 광명시에서 휴대전화 소액결제 피해를 봤다는 신고가 잇따라 경찰이 수사에 나섰다. 4일 연합뉴스에 따르면 경찰은 지난달 27~31일 주로 새벽 시간대 휴대전화로 수십만원 상당의 모바일 상품권 구매와 교통카드 충전 등이 이뤄졌다는 신고를 받고 수사에 착수했다. 경찰이 현재까지 파악한 피해자 수는 26명이다. 이들은 모두 광명시 소하동에 거주 중인 것으로 전해졌다. 피해 규모는 62차례에 걸쳐 총 1769만원이다. 광명시 온라인 커뮤니티 등에는 이날도 “소액 결제 피해로 경찰에 신고했다”는 글이 올라오고 있어 피해 규모는 더 커질 가능성도 있다. 자신을 ‘소하동에 거주하는 KT 이용자’라고 밝힌 한 피해자는 한 온라인 커뮤니티에 올린 글을 통해 “상품권 구매 사이트의 회원 가입이나 결제 관련 인증 문자가 전혀 오지 않았고, 새벽 시간에 한도 상향까지 해서 소액 결제가 된 상황”이라며 150만원 이상의 피해를 봤다고 했다. 처음 신고받은 광명경찰서는 이 사건이 해킹 범죄일 가능성에 무게를 두고 경기남부경찰청으로 사건을 넘겼다. 경찰 관계자는 연합뉴스에 “소액 결제 범죄가 한 지역에 중점적으로 발생한 것은 상당히 이례적”이라며 “어떤 경로로 해킹이 이뤄졌는지 등은 현재로서 알 수 없고 더 수사할 사항”이라고 말했다. 사이버 침해를 조사하는 한국인터넷진흥원(KISA)은 이번 사건에 대한 사실관계를 확인하고 있다고 밝혔다. KISA 측은 “스미싱에 의한 악성 앱 감염 등 여러 가능성을 놓고 피해 사실 및 원인을 파악하고 있다”고 전했다.

수사당국·금융기관 사칭해 접근다크웹으로 개인 정보 미리 빼내 문자메시지로 악성 앱 설치 유도“확인차 연락”한다며 피해자 압박AI 딥보이스 기술 통해 수법 진화가스라이팅 당한 20대 도피 생활 30대 이하·40~60대도 범죄 표적“검거율 낮아… 해외 사법 공조 필요” 올해 1~7월 보이스피싱·스미싱 피해액이 8000억원에 육박하는 등 역대 최고치를 기록한 것은 그만큼 피싱조직의 수법이 진화하고 있어서다. “서울중앙지검 ○○○ 검사입니다”, “금융감독원 ○○○입니다” 등 기관 단 1곳을 사칭해 범죄에 연루됐다며 출금을 유도하는 ‘고전 방식’은 사라지는 추세다. 31일 경찰과 금융당국에 따르면 최근 두드러진 보이스피싱의 유형 중 하나는 정교해진 ‘역할극 기관 사칭 사기’다. 피싱조직은 검사, 금감원 직원, 은행 직원 등으로 역할을 나눠 피해자에게 접근한다. 피해자의 연락처, 이름, 직장 등 일부 개인정보는 다크웹 등을 통해 확보한 상태인 경우가 대부분이다. 이후 이들은 맞춤형 사기를 저지르기 위해 ‘악성 앱 설치’에 사활을 건다. 대표적인 방식은 문자메시지를 통한 ‘배송조회 URL’ 전송이다. 피해자가 링크를 누르도록 유도한 뒤 “신청하지 않은 카드가 배송될 예정이니 보안 점검을 위해 앱을 설치하라”고 안내한다. 저금리 대출 광고에 응한 피해자에게는 ‘대출 전용 앱’, ‘보안 앱’ 설치를 요구하기도 한다. 서울에 거주하는 40대 A씨는 ‘대출 상담을 원한다면 아래 링크를 클릭해 달라’는 문자를 받은 이후 URL을 클릭했고 이후 안내받은 대로 ‘서민금융진흥원 앱’을 설치했다. 경찰 수사 결과 이 앱은 피싱조직의 악성 앱이었다. 하지만 A씨는 카드사를 사칭해 ‘대출금 중 3000만원을 갚으라’는 피싱조직의 요구대로 돈을 보낸 이후였다. 경찰 관계자는 “실제 금융회사 앱과 구별이 어려울 정도로 정교하게 만들어져 있다”고 말했다. 이후 범죄 조직원들은 여러 기관을 사칭하며 피해자를 압박한다. 검찰을 사칭한 조직원이 “당신 명의로 개설된 계좌가 불법 자금 세탁에 이용됐다”고 전화를 하면 곧이어 금감원을 사칭한 조직원이 “최근 계좌 사칭 범죄가 급증하고 있어 확인차 연락드린다”며 다시 전화를 하는 식이다. 이 밖에도 카드배송원이나 우체국 집배원이 “카드 배송을 하러 왔다”고 연락한 뒤 “본인이 신청한 게 아니면 명의가 도용됐으니 고객센터에 전화해 보라”고 속이는 것도 수법 중 하나다. 피해자가 고객센터에 전화를 걸면 이미 설치된 악성 앱이 작동해 통화가 조직원에게 연결된다. 이후 ‘범죄와 연루돼 있으니 다른 계좌로 돈을 옮겨야 한다’는 식으로 송금을 요구하는 등 피해자를 기만한다. 심리적 지배를 통한 ‘가스라이팅’ 방식 사기도 늘고 있다. 피싱조직은 피해자가 완전히 통제당했다고 판단할 때까지 돈을 요구하지 않고 반성문 작성 등을 지시한다. ‘본인이 처벌될 경우 가족이 입을 불이익’을 강조해 불안을 증폭시키는 것이다. 8월 초 전북 익산에 사는 20대 회사원 B씨는 개인정보 유출로 범죄에 연루됐다는 피싱조직의 가스라이팅에 속아 모텔에서 나흘간 먹고 자면서 실제 도피 생활을 했다. “선생님, 유출된 개인정보가 범죄에 활용됐는데요. 우선 안전한 장소로 이동해 계시면 조치를 취해 보겠습니다.” 이 같은 전화를 받은 B씨는 “수사에 협조하지 않으면 구속하겠다”는 조직의 압박에 이성적인 사고를 할 수 없었다고 한다. 이후 5000만원을 피싱조직에 건네려 했지만 다행히도 관련 첩보를 입수한 경찰의 설득으로 거액을 송금하는 일은 벌어지지 않았다. 경찰 관계자는 “예전의 단순한 보이스피싱으로 여겨 ‘나는 당하지 않겠다’고 생각하면 큰 착각”이라고 경고했다. 소셜미디어(SNS) 등에서 확보한 사진과 영상을 가지고 인공지능(AI)으로 목소리 등을 위조하는 ‘딥페이크·딥보이스 기술’도 피해자를 감쪽같이 속이는 데 한몫한다. 한 대학교수는 지난 4월 “아빠 지금 5000만원만 빨리 입금해 줄 수 있을까? 지금 이 계좌로 좀 보내 줘”라는 전화를 딸에게 받았다고 한다. 30년간 들었던 외동딸의 목소리였지만 알고 보니 AI 기술로 딸의 목소리를 흉내 낸 것이었다. 피해자는 연령을 불문한다. 경찰청에 따르면 ‘기관사칭형’ 피해자의 52%는 30대 이하였고, ‘대출빙자형’ 피해자의 80%는 경제활동이 왕성한 40~60대였다. 건당 평균 피해액은 2022년 2326만원에서 올해는 7554만원으로 점점 고액화되는 추세다. 이윤호 동국대 경찰행정학과 명예교수는 “보이스피싱 발생 건수 증가에는 낮은 검거율도 한몫한다”며 “국가 간 사법공조 체제를 강화하는 협정 체결이 효과적일 수 있다. 또 피싱이 합리적인 수준 이상으로 의심되는 경우 금융기관이 경찰에 신고하도록 권한과 의무를 부여하는 방안도 검토할 필요가 있다”고 제언했다.

경찰이 9월 1일부터 내년 1월 말까지 5개월간 보이스피싱·스미싱 등 피싱 범죄에 대한 대대적 특별 단속에 나선다. 올 7월까지 피싱 범죄 피해액이 8000억원에 육박해 역대 최고 수준을 기록하는 등 관련 범죄가 끊이지 않자 수사 역량을 집중하겠다는 취지에서다. 31일 경찰청에 따르면 올해 1~7월 보이스피싱·스미싱 범죄는 1만 6561건, 피해액은 7992억원으로 집계됐다. 지난해 같은 기간과 비교하면 범죄 건수는 14%, 피해액은 95% 증가했다. 1~7월 기준으로 역대 최고 피해액일 뿐 아니라 지난해 전체 피해액(9525억원)과도 큰 차이가 나지 않는다. 이번 특별 단속은 최근 부처 합동으로 발표한 범정부 피싱 근절 종합대책, 이른바 ‘보이스피싱과의 전쟁’ 선포에 따른 경찰의 첫 후속 조치다. 경찰은 ▲국내외 피싱 조직 수사 ▲자금 세탁 ▲대포폰·대포통장과 같은 범행 수단 등 피싱 범죄와 관련한 모든 불법 행위를 단속할 방침이다. 박성주 경찰청 국가수사본부장은 “최근 피싱 범죄는 교묘한 신종 수법을 사용해 피해자들이 다시 딛고 일어설 힘과 의지까지 뺏고 있다”며 “범죄 근절을 위해 모든 수사 역량을 집중하겠다”고 밝혔다.

올해 1~7월 보이스피싱·스미싱 피해액이 8000억원에 육박하는 등 역대 최고치를 기록한 것은 그만큼 피싱조직의 수법이 진화하고 있어서다. “서울중앙지검 ○○○ 검사입니다”, “금융감독원 ○○○입니다” 등 기관 단 1곳을 사칭하면서 범죄에 연루됐다며 출금을 유도하는 ‘고전 방식’은 사라지는 추세다. 31일 경찰과 금융당국에 따르면 최근 두드러진 보이스피싱의 유형 중 하나는 정교해진 ‘역할극 기관 사칭 사기’다. 피싱조직은 검사, 금감원 직원, 은행 직원 등으로 역할을 나눠 피해자에게 접근한다. 피해자의 연락처, 이름, 직장 등 일부 개인정보는 다크웹 등을 통해서 확보한 상태인 경우가 대부분이다. 이후 이들은 맞춤형 사기를 저지르기 위해 ‘악성 앱 설치’에 사활을 건다. 악성 앱이 설치되면 피해자가 거는 전화를 중간에서 가로채 받을 수 있고, 문자 메시지나 검색 내역 등도 파악할 수 있어서다. 대표적인 방식은 문자 메시지를 통한 ‘배송조회 URL’ 전송이다. 피해자가 링크를 누르도록 유도한 뒤 “신청하지 않은 카드가 배송될 예정이니 보안 점검을 위해 앱을 설치하라”고 안내한다. 저금리 대출 광고에 응한 피해자에게는 ‘대출 전용 앱’, ‘보안 앱’ 설치를 요구하기도 한다. 서울에 거주하는 40대 A씨는 ‘대출 상담을 원한다면 아래 링크를 클릭해달라’는 문자를 받은 이후 URL을 클릭했고, 이후 안내받은 대로 ‘서민금융진흥원 앱’을 설치했다. 경찰 수사 결과 이 앱은 피싱조직의 악성 앱이었다. 하지만 A씨는 카드사를 사칭해 ‘대출금 중 3000만원을 갚으라’는 피싱조직의 요구대로 돈을 보낸 이후였다. 경찰 관계자는 “실제 금융회사 앱과 구별이 어려울 정도로 정교하게 만들어져 있다”고 말했다. 이후 범죄 조직원들은 여러 기관을 사칭하며 피해자를 압박한다. 검찰을 사칭한 조직원이 “당신 명의로 개설된 계좌가 불법 자금 세탁에 이용됐다”고 전화를 하면 곧이어 금감원을 사칭한 조직원이 “최근 계좌 사칭 범죄가 급증하고 있어 확인차 연락드린다”며 다시 전화를 하는 식이다. 이 밖에도 카드배송원이나 우체국 집배원이 “카드 배송을 하러 왔다”고 연락한 뒤 “본인이 신청한 게 아니면 명의가 도용됐으니 고객센터에 전화해 보라”고 속이는 것도 수법 중 하나다. 피해자가 고객센터에 전화를 걸면 이미 설치된 악성 앱이 작동해 통화가 조직원에게 연결된다. 이후 ‘범죄와 연루돼 있으니 다른 계좌로 돈을 옮겨야 한다’는 식으로 송금을 요구하는 등 피해자를 기만한다. 심리적 지배를 통한 ‘가스라이팅’ 방식 사기도 늘고 있다. 피싱조직은 피해자가 완전히 통제당했다고 판단할 때까지 돈을 요구하지 않고 반성문 작성 등을 지시한다. ‘본인이 처벌될 경우 가족이 입을 불이익’을 강조해 불안을 증폭시키는 것이다. 8월 초 전북 익산에 사는 20대 회사원 B씨는 개인정보 유출로 범죄에 연루됐다는 피싱조직의 가스라이팅에 속아 모텔에서 나흘간 먹고 자면서 실제 도피 생활을 했다. “선생님, 유출된 개인정보가 범죄에 활용됐는데요. 우선 안전한 장소로 이동해 계시면 조치를 취해 보겠습니다.” 이 같은 전화를 받은 B씨는 “수사에 협조하지 않으면 구속하겠다”는 조직의 압박에 이성적인 사고를 할 수 없었다고 한다. 이후 5000만원을 피싱조직에 건네려 했지만 다행히도 관련 첩보를 입수한 경찰의 설득으로 거액을 송금하는 일은 벌어지지 않았다. 경찰 관계자는 “예전의 단순한 보이스피싱이라 ‘나는 당하지 않겠다’고 생각하면 큰 착각”이라고 경고했다. 소셜미디어(SNS) 등에서 확보한 사진과 영상으로 AI(인공지능)로 목소리 등을 위조하는 ‘딥페이크·딥보이스 기술’도 피해자를 감쪽같이 속이는 데 한몫한다. 한 대학교수는 지난 4월 “아빠 지금 5000만원만 빨리 입금해 줄 수 있을까? 지금 이 계좌로 좀 보내줘”라는 전화를 딸에게 받았다고 한다. 30년간 들었던 외동딸의 목소리였지만, 알고보니 AI 기술로 딸의 목소리를 흉내 낸 것이었다. 피해자는 연령을 불문한다. 경찰청에 따르면 ‘기관사칭형’ 피해자의 52%는 30대 이하였고, ‘대출빙자형’ 피해자의 80%는 경제 활동이 왕성한 40~60대였다. 건당 평균 피해액은 2022년 2326만원에서 올해는 7554만원으로 점점 고액화되는 추세다. 치밀한 설계로 큰 피해를 안기는 경우가 많다는 얘기다. 이윤호 동국대 경찰행정학과 명예교수는 “보이스피싱 발생 건수 증가에는 낮은 검거율도 한몫한다”며 “국가 간 사법 공조 체제를 강화하는 협정 체결이 효과적일 수 있다. 또 피싱이 합리적인 수준 이상으로 의심되는 경우 금융기관이 경찰에 신고하도록 권한과 의무를 부여하는 방안도 검토할 필요가 있다”고 제언했다.

중국인이 운영하는 사기 조직에 고용돼 방콕 시내를 돌면서 사기성 문자메시지(SMS)를 보내온 한국인이 태국 경찰에 체포됐다고 20일(현지시간) 현지 매체 카오솟이 전했다. 태국 기술범죄단속국(TCSD)은 지난 3주간 모바일 SMS 사기 수사를 진행한 끝에 한국인 김모(35)씨를 포함한 용의자 3명을 체포했다고 이날 밝혔다. 보도에 따르면 태국 경찰은 방콕 도심 에까마이 교차로를 지나 뉴펫부리 도로로 진입하는 차량에서 이상한 주파수 신호가 나오는 것을 감지하고 차량을 멈춰 세웠다. 이 차량에서는 이른바 ‘가짜 기지국’ 장비가 가동 중인 것이 적발됐다. 가짜 기지국이란 정상 기지국에서 보낸 것처럼 신호를 송출해 인근 휴대전화가 접속되도록 하고, 피싱이나 스미싱 정보를 담은 SMS를 보내 해킹 공격을 위한 웹사이트 접속 등을 유도하는 장비다. 적발 장비엔 휴대전화 3대와 신호 분배기 등이 연결돼 있었다. 한국 국적으로 확인된 차량 운전자 김씨는 경찰 조사에서 지정된 경로를 따라 방콕 시내를 돌아다니면서 혼잡한 지역에서 SMS를 보냈다고 자백했다. 경찰은 김씨가 중국인 고용주와 텔레그램을 통해 주고받은 대화 내용을 확보했다. 그는 가짜 기지국 차량에서 SMS를 발송하는 일을 하면서 30분마다 고용주에게 보고한 것으로 파악됐다. 김씨가 받은 일당은 10만원으로, 그는 지난 17일부터 19일까지 3일간 해당 고용주 아래서 범행을 저질렀다. 경찰은 김씨를 관련 혐의로 기소하고 공범들에 대한 수사를 확대하고 있다.

“보이스피싱 피해 예방 앞장” 비전5년간 정보보호 분야 7000억 투자정부가 ‘보이스피싱 인공지능(AI) 플랫폼’(가칭)을 연내 구축하기로 한 가운데 LG유플러스가 보이스피싱 근절을 위한 ‘민관협동 정보보안 협의체’ 구성을 제안했다. 개별 통신사가 각 부처나 공공기관과 각각 협업하는 데서 나아가 통신 3사(SK텔레콤·KT·LG유플러스)를 비롯한 민간 영역과 공공 영역이 함께 연합 전선을 구축해야 한다는 것이다. LG유플러스는 29일 서울 용산사옥에서 보안 전략 간담회를 개최하고 ‘보이스피싱 피해 예방에 진심인 통신사가 되겠다’는 비전을 제시했다. 지난해 정보 보호 분야에 약 828억원을 투자한 LG유플러스는 향후 5년간 7000억원을 추가 투자하기로 했다. 앞서 SK텔레콤과 KT는 같은 기간 각각 7000억원과 1조원을 정보 보호에 투입하기로 했는데, 통신업계에서 총 2조 4000억원의 자금이 5년간 정보 보호에 투입되는 셈이다. LG유플러스는 갈수록 고도화되는 보이스피싱·스미싱 범죄에 맞서고자 모니터링부터 시작해 단계별로 장벽을 세웠다. 모니터링을 통해 24시간 위협을 탐지하는 것은 물론 국내 통신사 중 유일하게 범죄 조직이 운영하는 악성 앱 서버를 직접 추적해 해당 서버에 접속한 이력이 있는 고객을 확인한 뒤 경찰에 알리기도 한다. 지난 2분기 경찰에 접수된 전체 보이스피싱 사건 중 약 23%는 LG유플러스가 전달한 것이었다. 서울경찰청과는 현장 공조 체계도 구축했다. 다만 이처럼 개별 통신사가 각 부처, 공공기관 등과 따로따로 협업하는 것에는 한계가 뚜렷하다는 게 LG유플러스의 입장이다. 홍관희 정보보안센터장(전무)은 “LG유플러스는 물론 모든 통신사를 비롯해 삼성전자 같은 단말기 제조사, 금융사 등 민간 영역과 과학기술정보통신부, 방송통신위원회, 개인정보보호위원회 등 공공 영역의 유관 부서·기관이 모두 연합 전선을 구축할 필요가 있다”고 강조했다. 그러면서 “주기적으로 만나 대책을 공유하면서 모든 국민이 안전한 생활을 할 수 있도록 하자”고 덧붙였다. 업계 관계자는 “정부가 보이스피싱 예방을 위한 컨트롤타워 역할을 하게 되면 통신사들이 기술 협력 등에 나설 가능성도 배제할 수 없다”고 말했다.

정부가 민생회복 소비쿠폰을 본격 지급하면서 이를 노린 문자 결제사기(스미싱) 피해가 우려되고 있다. 보안업계와 정부는 일제히 “소비쿠폰 관련 문자에 인터넷주소(URL)가 포함돼 있다면 100% 사기”라며 경고에 나섰다. 글로벌 보안기업 서프샤크는 23일 “한국 정부에서 발행하는 소비쿠폰은 문자에 URL을 포함하지 않는다”며 “소셜미디어나 문자메시지를 통해 전달되는 링크는 절대 클릭하지 말라”고 주의를 당부했다. 토마스 스타물리스 서프샤크 사이버보안 책임자는 “바우처 관련 사기는 정부가 공공 혜택을 발표할 때 자주 발생한다”며 “사기범들은 공무원을 사칭해 가짜 링크를 보내거나 개인정보를 수집한다”고 경고했다. 서프샤크는 특히 랜섬웨어가 포함된 소비쿠폰 파일을 이메일로 보내는 수법이 등장할 수 있다며, 백신 프로그램을 활성화하고 출처가 불분명한 파일은 열지 말 것을 권고했다. 아울러 문법이나 철자 오류, 어색한 문구가 포함된 웹사이트는 가짜일 가능성이 높다고 덧붙였다. 정부 역시 “소비쿠폰 지급 시기와 맞물려 정부·카드사·은행 등을 사칭한 스미싱 문자가 확산할 가능성이 있다”며 이용자 주의를 당부했다. 실제 스미싱은 문자에 악성 앱 주소를 포함해 클릭을 유도한 뒤 피해자의 금융정보나 개인정보를 탈취하는 방식이다. 정부는 민생회복 소비쿠폰 신청 시, 카드사 앱·홈페이지 또는 콜센터(ARS), 지역사랑상품권 앱·홈페이지를 통해 비대면(온라인)으로 신청하거나, 은행 및 주민센터에서 대면(오프라인)으로 신청할 수 있도록 안내하고 있다. 문자 링크 클릭을 유도하는 사기문자와 관련해, 정부는 사전 예방 조치로 통신사 명의의 스미싱 예방 문자를 7월 14일부터 순차 발송하고 있다. 또한 국민비서 알림서비스(네이버·카카오·토스 등 17개사)와 지방자치단체 홈페이지 등에서도 스미싱 주의 메시지를 함께 안내 중이다. 의심스러운 문자를 받았거나, 이미 클릭해 악성 앱 감염이 의심될 경우 한국인터넷진흥원(KISA) 118 상담센터(☎118)를 통해 24시간 무료로 상담받을 수 있다. 정부 관계자는 “정부나 카드사·은행은 문자나 전화를 통해 개인 정보를 요구하지 않는다”며 “그런 요청을 받았다면 사기범으로 의심하고 즉시 신고해야 한다”고 강조했다.

인공지능(AI)이 상상 이상의 속도로 발전해 사회 전반을 빠르게 재편하는 ‘AI 대전환 시대’에 서 있다. 산업 자동화는 물론 수업방식, 금융자산 관리, 신약 개발, 의료 진단에 이르기까지 모든 영역에서 혁신을 창출하고 있다. 이재명 대통령이 AI 3대 강국 도약을 국정 핵심 기조로 제시한 것도 이런 흐름에 선제적으로 대응하기 위함이다. AI 진보와 함께 사이버 위협 또한 빠르게 진화하고 있다. 인터넷에 연결된 모든 사물이 공격 대상이 됐으며, 생성형 AI를 악용해 정교한 피싱 메일을 생성하는 등 해킹 지식 없이도 누구나 해커가 될 수 있는 시대가 도래했다. 최근 SKT 해킹을 비롯해 플랫폼, 명품 업체 등 분야를 막론한 다양한 업종이 공격의 표적이 되고 있다. 사이버 위협은 국가 안보에도 중대한 도전이다. 물리적 교전과 함께 국가 핵심 인프라를 겨냥한 사이버공격이 조직적으로 동반되고 있다. 사이버 공간이 전장의 일부가 되는 새로운 안보 지형이 형성된 것이다. 사이버 위협이 고도화하는 상황에서 AI 강국으로 도약하기 위한 필수 전제는 정보보호다. 이 대통령은 제14회 정보보호의 날 기념식에서 “체계적인 정보보호, 튼튼한 사이버 보안이 뒷받침된다면 AI 3대 강국은 대한민국의 현실이 될 것”이라고 강조했다. AI와 정보보호는 함께 가야 한다. AI가 창출하는 가치와 혁신은 견고한 정보보호 없이는 지속될 수 없다. 과학기술정보통신부는 안전한 AI 시대를 준비하기 위해 민관 역량을 결집해 보안 체계의 대전환을 추진하고자 한다. AI 시대로 본격 진입하기 전인 지금이야말로 국가 핵심 산업의 보안 취약점과 정보보호 수준을 자세히 점검하고 보안 위협에 대한 대응 역량을 갖출 적기다. 과기정통부는 기업이 자체적으로 보안 역량을 점검하고 개선할 수 있도록 공시 제도 내실화, 정보보호 최고책임자 권한 확대 등 제도적 뒷받침을 추진할 것이다. 보안이 취약한 지역, 중소기업 등 사각지대 해소도 과제다. 지난해 침해사고 신고 중 중소기업이 94%를 차지했다. 이에 정보보호 지역센터를 확대해 지역의 사고 대응을 밀착 지원하고 컨설팅을 통해 중소기업의 보안 수준을 끌어올릴 것이다. 아울러 피싱, 스미싱 등 디지털 기술을 악용한 민생 범죄를 근절해 나갈 것이다. 악성 URL이 포함된 문자를 발송 단계에서 차단하는 시스템을 확산하고 휴대전화 부정 개통 방지를 위한 안면인식 시스템을 도입해 나갈 것이다. 국가 정보보호 강화를 위한 제도 정비도 추진한다. 데이터 보호를 위해 보안 의무가 부여되는 주요 인프라를 네트워크 중심에서 중요 데이터 관련 시설로 확대한다. 아울러 정보보호 인증이 현장에서 작동될 수 있도록 심사와 사후 관리를 강화한다. 정보보호산업 육성에도 박차를 가할 것이다. 양자내성암호 등 보안기술에 대한 투자, 전문 인력 양성 등 정보보호산업이 국가 미래를 지키는 전략 산업으로 도약하도록 적극 지원할 것이다. 정보보호는 사회 구성원 모두가 책임 의식을 갖고 실천해야 비로소 완성될 수 있다. 업계에서는 보안을 비용이 아닌 투자로 인식해 자발적인 역량 강화에 힘써야 한다. 개인도 주기적인 비밀번호 변경, 수상한 링크 클릭 금지 등 자신을 지키는 노력이 필요하다. 7월은 정보보호의 달이다. 사이버 보안이 자신은 물론 기업과 국가를 지키는 일이라는 마음가짐으로 정보보호의 중요성을 다시금 되새기는 계기가 되길 바란다. 과기정통부도 AI 시대, 국민이 신뢰할 수 있는 디지털 안심국가 구현을 위해 총력을 기울일 것이다. 류제명 과학기술정보통신부 제2차관

오는 21일부터 전 국민을 대상으로 ‘민생회복 소비쿠폰’이 지급될 예정인 가운데 이를 매개로 한 사이버 범죄가 발생할 수 있어 주의가 요구된다. 16일 경남경찰청 사이버수사과는 “스미싱, 개인정보 탈취에 의한 금융 범죄, 신유형 사이버사기 범죄 등이 예상된다”며 “각 범죄 수법 수법과 예방법을 습득할 필요가 있다”고 안내했다. 경찰은 가장 큰 피해가 우려되는 범죄로 ‘스미싱’을 뽑았다. 민생 회복 소비쿠폰 안내(신청)를 가장한 문자에 악성 링크(URL)를 삽입하고 나서, 이를 클릭하면 악성 애플리케이션(앱)이 설치되는 수법이다. 악성앱이 설치된 스마트폰에서는 개인 정보 탈취, 계좌이체·카드 결제 등 피해가 날 수 있다. 앞서 정부는 이번 소미쿠폰 지급과 관련해 URL(링크)을 포함한 문자를 발송하지 않을 것이라고 밝힌 바 있다. URL을 포함한 소비쿠폰 안내 문자가 온다면 100% 스미싱으로 여기고 삭제(차단)해야 한다. 혹 링크를 클릭하여 악성 앱이 설치됐다면 휴대전화를 비행기 모드로 전환하고 백신 프로그램을 실행하여 악성 앱을 삭제해야 한다. 또 거래 중인 은행에 전화해 계좌 지급 중지를, 통신사 고객센터에 전화하여 소액결제 차단을 요청해야 한다. 신용카드 일괄 정지 요청과 112신고, 지인들에게 피해를 알리는 등 대처도 필요하다. 경찰은 개인정보 탈취형 금융사기, 상품권 사기(지류식 지역사랑 상품권 판매를 빙자), 선불카드 사기(선불카드로 받은 소비쿠폰의 판매·매입을 빙자한 거래사기), 구매대행 사기(소비쿠폰으로 상대방이 필요한 물건을 대신 사주고 할인된 현금을 받는다고 속이는 수법)도 있을 수 있다며 주의를 당부했다. 경찰은 “정부·지자체 공식 누리집을 모방한 허위 사이트·앱으로 유인한 다음 소비쿠폰 신청을 빙자하여 개인정보를 입력하게 한 뒤 이를 악용하여 금융피해를 발생시킬 우려가 있다”며 “정부는 민생 회복 소비쿠폰 온라인 신청 경로를 각 카드사 홈페이지·콜센터, 지역사랑 상품권 공식 앱으로 한정하고 있는 만큼 사칭 사이트(앱)에 개인정보를 입력하는 일이 없어야 한다”고 말했다.

‘민생회복 소비쿠폰’ 신청·지급에 앞서, 지원 금액과 신청 일정 등을 안내하는 ‘국민비서’ 알림 서비스가 오는 14일부터 시작된다. 13일 행정안전부에 따르면, 소비쿠폰 관련 알림을 받으려면 국민비서 누리집(ips.go.kr) 또는 네이버, 카카오톡, 토스, 국민은행 등 17개 민간 앱에서 국민비서에 가입한 뒤, ‘민생회복 소비쿠폰 안내’ 서비스를 선택하면 된다. 스마트폰 및 앱 내 ‘푸시 알림(PUSH)’ 허용 설정은 필수다. 알림 설정이 꺼져 있으면 알림을 받지 못한다. 해당 알림 서비스는 쿠폰 사용 기한이 종료될 때까지 ▲지급 금액▲신청 방법 및 기한 ▲이의신청 결과 등을 맞춤형으로 제공한다. 다만 국민비서 알림 신청만으로 소비쿠폰 신청이 완료되는 것은 아니다. 실제 쿠폰 신청은 카드사 앱·홈페이지, 은행 영업점, 주민센터 등에서 별도로 진행해야 한다. 행안부는 스미싱 피해를 방지하기 위해 국민비서 알림에는 외부 누리집 링크나 QR코드(정보무늬)를 포함하지 않는다며 주의를 당부했다. 한편 행안부는 오는 31일까지 국민비서 신규 가입자를 대상으로 500명을 추첨해 음료 쿠폰을 제공하는 이벤트도 진행한다.

“소비쿠폰 안내 문자에 인터넷 바로가기 주소(URL)가 있다고요? 그거 100% 사기입니다.” 정부가 이달 중순 ‘민생회복 소비쿠폰’ 지급을 앞두고, 정부·카드사·은행 등을 사칭한 문자 결제 사기(스미싱) 피해가 우려된다며 각별한 주의를 당부했다. 10일 행정안전부에 따르면 정부는 소비쿠폰과 관련한 안내 문자에 인터넷 주소(URL)를 일절 포함하지 않기로 했다. 안내 문자에 링크가 담겨 있거나 발신처가 불분명할 경우, 클릭하지 말고 즉시 삭제해야 한다고 강조했다. 악성 링크를 누르면 개인정보나 금융정보가 탈취될 위험이 있다. 행안부 관계자는 “소비쿠폰 신청이나 카드 승인 안내를 가장한 가짜 문자가 대량 유포될 가능성이 높다”며 “비대면 신청 페이지에 스미싱 주의 문구를 삽입하고, 은행과 지자체 주민센터에서도 오프라인 안내를 병행할 계획”이라고 밝혔다. 정부는 오는 14일부터 통신사 명의로 ‘스미싱 주의 문자’를 사전 발송하고, 국민비서 알림서비스(네이버·카카오·토스 등)와 지자체 홈페이지를 통해 스미싱 예방 메시지를 안내할 예정이다. 스미싱 피해가 의심되면 한국인터넷진흥원 118상담센터를 통해 24시간 무료 상담을 받을 수 있다.

광주시는 민생경제 회복을 위해 모든 시민에게 ‘민생회복 소비쿠폰’을 오는 21일부터 지급한다. 소비쿠폰은 1차와 2차로 나눠 지급된다. 1차는 7월21일부터 9월12일까지 일반 시민은 18만원, 차상위계층·한부모가족은 33만원, 기초생활수급자는 43만원이 각각 지급된다. 2차는 건강보험료를 기준으로 소득 상위 10%를 제외한 시민에게 1인당 10만원이 추가로 지급된다. 신청은 9월22일부터 10월31일까지다. 2차 지급 관련 세부사항은 추후 별도로 안내할 예정이다. 소비쿠폰은 신용·체크카드, 광주상생카드(선불) 중 선택해 지급된다. 소비쿠폰 사용은 11월30일까지 광주지역 연매출 30억원 이하 소상공인 매장에서 사용할 수 있다. 대형마트, 백화점, 온라인 쇼핑몰, 유흥업소 등 일부 업종에서는 사용이 제한되며, 기한 내 사용하지 않으면 자동 소멸된다. 지급대상자 선정에 이의가 있는 경우 국민신문고나 주민센터를 통해 이의신청이 가능하다. 신청은 카드사 누리집이나 앱을 통해 온라인으로 신청할 수 있으며, 카드와 연계된 은행 영업점을 방문해 신청할 수도 있다. 광주상생카드(선불)는 관할 행정복지센터를 방문해 신청하면 된다. 신청 첫 주는 출생년도 끝자리 기준으로 요일제가 적용된다. 끝자리가 1·6이면 월요일, 2·7이면 화요일, 3·8이면 수요일, 4·9면 목요일에 신청할 수 있다. 끝자리가 5·0이면 금요일에 가능하며, 주말엔 모두 신청 가능하다. 시민 편의를 위해 오는 14일부터 ‘국민비서 알림서비스’를 통해 본인의 신청 가능 여부와 지원금액 등을 사전 확인할 수 있다. 광주시는 이와 함께 스미싱 피해를 예방하기 위해 각별한 주의를 당부했다. 정부와 광주시는 민생회복 소비쿠폰과 관련해 URL이나 링크가 포함된 문자메시지를 일절 발송하지 않으며, 카드사와 광주은행 역시 관련 문자를 보내지 않는다고 강조했다. 주재희 경제창업국장은 “이번 소비쿠폰은 가계와 지역경제에 동시에 활력을 불어넣는 정책”이라며 “시민의 체감도를 높이고 소상공인의 재도약을 뒷받침할 수 있도록 꼼꼼히 추진하겠다”고 말했다.

잇따른 개인정보 해킹·유출 사고에 보안 이슈가 통신업계의 가장 큰 리스크로 떠오르면서 통신사들이 보안 강화와 소비자 홍보에 주력하고 있다. LG유플러스는 27일 국내 1호 프로파일러(범죄행동분석관)로 알려진 권일용 동국대 경찰사법대학원 겸임교수를 보안 앰배서더로 선정하고 보이스피싱·스미싱 피해 예방 활동을 전개하겠다고 밝혔다. 강력반 형사와 과학수사요원(CSI)을 거치며 인지도가 높은 범죄심리 전문가 권 교수를 앞세워 보안 관련 기술을 소개하고 피싱의 위험성을 알리기 위해서다. 권 교수는 첫 행보로 인공지능(AI)으로 보이스피싱을 탐지하는 LG유플러스의 ‘익시오’ 기술을 소개하는 콘텐츠를 제작할 예정이다. 익시오는 문맥을 이해하는 AI를 활용해 보이스피싱으로 의심되는 통화가 감지될 경우 즉시 위험 알림을 제공하는 서비스다. 또 일선 매장에서 진행하는 고객 피해 예방 활동과 안내문에도 권 교수의 자문과 감수를 받고 전담 교육에도 섭외할 것으로 전해졌다. LG유플러스가 보안 앰배서더를 위촉한 것은 권 교수가 처음이다. 지난 17일 전국 1800여개의 매장을 ‘보안 전문 매장’으로 지정하고 보안 전문 상담사를 최소 1명씩 배치하는 등 보안 이슈에 대한 대응을 강화하고 있는 행보의 연장선이다. SK텔레콤의 유심 해킹 사태를 비롯해 최근 예스24, 파파존스 등 기업들의 사이버 침해 사건이 빈발하면서 통신3사는 보안 리스크 대응에 안간힘을 쏟고 있다. 24일 신규 영업을 재개한 SK텔레콤은 연간 1000억원 이상을 정보 보호에 투자하고 보안 전문 자체 인력을 약 2배로 늘리는 등 보안 강화 대책을 내놨다. KT 역시 보안 취약점 신고 포상제도인 ‘버그바운티’를 시행하고 비정상적인 기기변경 사례를 추적·차단하는 시스템을 고도화하는 등 내부 대응을 강화하고 있다. 배경훈 과학기술정보통신부 장관 후보자는 이날 출근길에 기자들과 만나 “인공지능(AI) 시대에서도 AI 관련 여러가지 서비스들이 많이 이뤄질텐데 지금 이런 보안 체계를 잘 살펴봐야 한다”며 정부 차원의 대응력 강화를 예고했다.

최근 국민건강보험공단을 사칭한 스미싱(SMS phishing·문자 메시지를 이용한 휴대 전화 해킹)이 기승을 부리자 공단이 국민에게 각별한 주의를 당부했다. 29일 공단에 따르면 해당 피싱 메일은 ‘건강보험료 체납 안내’라는 제목으로 발송되며, 체납금 납부 방법을 안내하며 ‘납부하기’ 버튼을 클릭하도록 유도한다. 해당 메일은 공단의 로고(CI) 등을 도용해 실제 공단에서 보낸 안내처럼 정교하게 제작됐으며, 발신자도 ‘국민건강보험공단’으로 표시돼 있다. 하지만 실제로는 공단(nhis.or.kr)이 아닌 다른 계정으로 발송된 것으로 확인됐다. 공단 관계자는 “건보공단은 4대 사회보험료 체납 납부 안내를 이메일로 발송하지 않는다”며 “이러한 메일을 받았을 경우 반드시 국민건강보험공단 지사나 고객센터(1577-1000)를 통해 확인해야 한다”고 말했다. 이어 “발신자를 정확히 확인하고, 모르는 이메일이나 첨부파일은 열지 말아야 한다”고 강조했다.

해킹도 초기 대응이 중요 SKT 해킹, 1차 조사 때보다 더 심각두 달 넘게 해킹·피해범위 오리무중피해자 집단소송·번호 이동 위약금회사 귀책사유 입증·약관 따져봐야 보안도 필수 인프라로 정착을 생성형 AI 활용한 해킹 급증하는데 기업·사회의 보안 의식은 ‘제자리’통신·포털사 국가보안시설급 지정대량 개인정보 보유 땐 의무 투자를사이버사고 대응 정부 역할은초연결 시스템 멈추면 전체가 마비북한·중국 해커 공격 위험성도 큰데부처별 대응 체계 나뉘어져 비효율보안 총괄 ‘사이버안전청’ 설립 필요 국내 최대 통신사인 SK텔레콤(SKT)의 해킹 사건은 우리나라 역대 최악의 사이버보안 침해 사고다. 발생한 지 두 달이 넘었지만 아직도 정확한 해킹 경위와 피해 범위는 오리무중이다. 디지털보안에 대한 대응 태세를 근본적으로 재점검해야 한다는 지적이 나온다. 한국정보통신법학회장인 이성엽 고려대 기술경영전문대학원 교수를 지난 13일 만나 사이버보안 강화 방안에 대한 이야기를 들었다. 이 교수는 “점차 고도화되고 있는 해킹 사고가 급증하는데도 보안 의식이 약해 보안 투자가 제대로 이뤄지지 않고 있다”고 말했다. SKT 해킹 사건을 조사 중인 민관합동조사단의 2차 중간조사 결과가 발표된 19일 추가로 전화 인터뷰를 했다. ●SKT 해킹 ‘복제폰 피해’ 가능성은 낮아 -이번 조사 결과가 1차 발표보다 상황이 더 심각한 것 같다. “이번 2차 조사에서는 최초로 고객 단말기에 부여되는 고객단말식별정보(IMEI)가 유출됐을 가능성이 제기됐다. 다만 IMEI가 유출됐다 하더라도 비정상인증차단시스템(FDS) 등의 시스템을 통해 실제 복제폰 피해는 차단할 수 있다. 정부도 삼성·애플 등 제조사는 15자리 IMEI값 단독으로는 단말기 복제가 불가능하다는 입장이라고 설명했다.” -악성코드에 감염된 일부 서버에 담긴 이름 등 중요 개인정보의 유출 가능성도 배제할 수 없는 상황인데. “금융사고 등이 발생하려면 은행 거래 관련 공인인증서 일회용비밀번호(OTP), 개인 비밀번호까지 알아야 한다. 그럴 가능성은 희박하므로 과도하게 불안해할 필요는 없다고 본다.” -피해자들의 집단소송이 본격화되고 있다. “정보 유출로 인한 정신적 피해에 대해서는 위자료 배상이 가능하다. 단 회사의 법 위반 등 귀책사유가 입증돼야 한다. 보통 피해자가 이를 입증해야 하는데 개인정보보호법은 회사가 귀책사유 없음을 입증하도록 하고 있으므로 이 점에서는 입증이 쉬울 수 있다. 또한 징벌적 손해배상 요구도 높은데 회사의 고의나 중과실이 있는 경우 손해액의 5배까지 배상이 가능한 징벌적 손해배상이 도입돼 있다.” -다른 통신사로의 번호 이동에 대한 위약금 면제 이슈도 논란이다. “소비자 입장에서는 자신의 정보 유출에 대한 불안으로 번호 이동을 한다면 응당 위약금을 면제받아야 한다고 생각하게 마련이다. 하지만 약관을 따져 보면 법리상 위약금 면제가 가능하다는 결론을 내는 것은 쉽지 않다. 이런 이유로 정부도 4군데 로펌에서 의견을 받아 놓고도 결론을 내지 못하고 있는 것으로 보인다.” -SKT 약관 때문에 책임을 물을 수 없다는 건가. “약관상 위약금이 면제되는 ‘회사의 귀책사유로 인해 해지할 경우’란 계약의 온전한 이행을 기대할 수 없는 경우, 즉 약관에 따른 이동통신서비스 제공이 불가능하고 그 원인이 회사에게 있는 경우를 의미한다. 하지만 통신서비스가 중단되지 않았고 회사의 과실이나 법 위반이 확정되지 않은 상황이라서 위약금 면제가 어려울 수 있다는 얘기다.” -해킹 사건이 발행한 지 두 달이 넘도록 사고 원인을 찾지 못한 게 더 심각한 문제 아닌가. “2차 조사 결과에 따르면 3년 전 해킹이 시작됐고 약 2700만건의 정보가 유출된 것으로 파악된다. 다만 아직 해커가 경제적 이익을 노린 것인지, 정치적 목적인지는 알 수 없다. 민관합동조사단이 오는 6월 말쯤 최종 결과를 발표할 예정이다.” -해킹 사고로 인한 직접적인 피해는 아니지만 스미싱 피해가 우려된다는데. “이용자 혼란을 악용한 스미싱 등의 피해 발생이 우려된다. 예컨대 예약한 유심 재고가 확보됐다며 교체를 위해 개인정보를 입력하라는 스미싱 사례가 실제로 확인되고 있다. 한국소비자원에서도 해킹 사고를 악용해 소비자원을 사칭하는 스미싱·피싱에 주의를 당부하고 있다. 당분간 이러한 메시지에 주의해야 한다. 의심스러운 문자의 링크는 절대 눌러서는 안 된다.” ●기업들 정보보호 투자, IT 대비 6% 불과 -SKT는 가입자가 가장 많은데 보안 투자는 경쟁회사에 비해 적은데. “국내 기업들의 정보보호 투자 비율은 전체 정보기술(IT) 투자 대비 평균 6%에 불과하다. 미국·유럽의 평균 투자 비율(25%)에 크게 못 미치는 수준이다. SKT의 지난해 정보보호 분야 투자 금액은 본사(600억원), 자회사 SK브로드밴드(267억원) 등 총 867억원으로, 경쟁사인 KT(1218억원), LGU+(631억원)에 비해 적었다. 다량의 개인정보를 보유하고 있을 수 있는 영세업체의 경우 보안 투자 여력이 없는 만큼 정부가 기술적·경제적 지원을 할 필요가 있다.” -해킹 사건의 중대성을 감안해 정부가 나서야 하지 않을까. “산불 등 자연재해 발생 시 정부는 피해가 확산되지 않도록 안내 및 경보 문자를 보낸다. 국민 대다수가 가입한 이동통신사 해킹 사고 등도 즉시 경보를 해야 할 중요한 사안이다. 산불 피해 방지 문자처럼 사이버 침해 사고 시 국민에게 직접적으로 위험성과 대응 방안을 알리는 경보 체계를 갖출 필요가 있다.” -SKT는 6개월 전 정부의 보안인증심사(ISMS)를 받았다고 하는데. “인증 심사 기준 설정 당시보다 고도화된 사이버 침해에 제대로 대응할 수 없다는 게 문제다. 대기업은 인증 기준에 없더라도 수시로 고도화되는 해킹에 대응하는 보안 역량을 지속적으로 강화해야 한다. 이 제도가 보안 강화에 걸림돌이 되는 측면도 있다. 또한 통신업에 특화된 정보보호 체계를 고도화할 필요가 있다.” -최근 생성형 인공지능(AI)이 사이버 범죄에 악용되고 있는데. “생성형 AI의 출현으로 비전문가에 의한 사이버 공격도 훨씬 쉬워졌다. 챗GPT를 활용해 악성 도구를 개발하는 사례가 확인되고 있다. 생성형 AI가 자연스러운 언어 능력을 가지면서 피싱 메일이 증가할 수 있다. 또 생성형 AI는 코딩 능력이 우수한 것으로 알려져 있다. 전문 지식이 부족한 공격자도 랜섬웨어 같은 악성코드 생성, 웹페이지 공격 수단 검색, 취약점 분석, 공격 스크립트 생성 등을 통해 해킹 공격을 할 수 있다.” -반대로 생성형 AI로 사이버보안 대응력을 키울 수 있지 않을까. “AI 기반 보안 관제 등 AI 기술을 이용해 사이버보안을 강화할 수 있다. 사람이 하루에 수백만건에 달하는 보안 위협을 분석하는 것은 불가능한데, AI는 보안 사고로 이어질 가능성이 큰 위협 요인을 찾아내 위협 원인과 추후 공격 양상, 그리고 잠재적인 공격자 등을 식별하는 데 이용될 수 있다.” -우리 사회의 보안 의식이 약한 것 같다. “사이버보안에 안전지대는 없다. 이번 SKT의 정보 유출 같은 사고뿐만 아니라 스미싱, 가족·친구와 똑같은 목소리로 속이는 딥보이스피싱 등이 날로 진화하고 있다. 해커들은 경제적 이익 등을 목적으로 생성형 AI 등을 활용해 보안 방어 체계를 뚫으려고 전력투구하는데 우리 기업에서는 보안을 비용으로만 보고 투자하지 않으려고 한다. 사이버보안이 기업과 사회 전반에 내재된 필수적인 인프라·문화로 정착돼야 한다.” ●인터넷 강국, 스미싱 등 위협에 더 노출 -보안 사고는 이제 개인을 넘어 사회를 위협하는 단계에 왔다. “디지털 사회는 네트워크와 통신, 사이버 공간에 기반한 초연결 구조 위에 작동하는데 이 시스템이 멈추는 순간 사회 시스템 전반이 마비될 수 있다. 통신사, 포털사, 전력·에너지 기업 등은 국가보안시설에 준하는 보안관리 체계(주요 정보통신기반 보호시설)로 지정할 필요가 있다. 또한 대량의 개인정보를 보유한 대기업에 대해서는 전체 IT투자 대비 정보보호 투자액의 하한선을 가이드로 마련할 필요도 있다.” -정부의 사이버 사고 대응 체계는. “국정원과 행정안전부가 공공부분 사이버보안, 과학기술정보통신부가 민간부분 사이버보안, 개인정보보호위원회가 공공·민간 해킹으로 인한 개인정보 유출 시 조사·제재, 경찰이 사이버 범죄 수사 등을 담당하고 있다.” -여러 부처로 나뉘어 있는 대응 체계의 문제점은 없나. “다층적인 시스템으로 인해 비효율적인 중복 조사·수사, 인력의 전문성 부족, 상시적인 보안·안전 정책 부족 문제가 발생하고 있다. 사이버보안 이슈의 컨트롤타워 역할을 하는 정부 조직이 필요하다. 차기 정부는 ‘사이버안전청’(가칭)을 설립해 사이버보안 기술·정책 개발, 사이버 침해 및 개인정보 유출 조사·제재를 총괄하는 전문기관 역할을 맡겼으면 한다.” -사이버보안을 담당하는 정부 조직까지 필요한 이유는. “우리나라는 인터넷 강국으로, 다른 나라보다 초연결 네트워크 사회다. 스미싱, 딥보이스 등의 위협에 더 노출돼 있다. 특히 북한과 중국의 해커 공격을 받을 수 있다. 안보 차원에서도 이런 취약성을 강화해야 한다.” ■ 이성엽 교수는 고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 졸업한 후 미국 변호사 자격을 취득했고, 서울대에서 법학 박사학위를 받았다. 제35회 행정고시 출신으로 정보통신부, 김앤장 등 민관분야에서 두루 경험을 쌓아 현장과 실무도 밝다. 한국정보통신법학회장, 한국데이터법정책학회장을 맡고 있고 국가데이터정책위원, 개인정보위 규제심사위원장으로 활동하는 ICT 분야 권위자이다. 최광숙 대기자

경기 의왕시는 최근 발생한 통신사 유심(USIM) 정보 해킹 사고로 인한 정보 취약계층의 2차 피해를 예방하기 위해 16일까지 경로당을 방문해 맞춤형 교육을 실시한다. SKT 텔레콤에서 발생한 유심 정보 유출 사고 이후, 디지털 환경에 상대적으로 익숙하지 않은 65세 이상 고령층 등 정보 취약계층의 피해 확산을 예방하기 위해 마련됐다. 전문서비스 사업단 소속 인력 16명이 관내 96개 경로당을 차례대로 방문한다. 피해 예방 안내를 위한 전단지 배포는 물론, 유심 보호 서비스 및 무상 교체 서비스 신청 방법, 피싱·스미싱 등 각종 보이스피싱 사기에 대한 효과적인 대응 요령 등을 안내한다. 또한, 모바일 기기 사용이 익숙하지 않은 어르신들에게 실제 예시를 통해 맞춤형 교육을 제공한다. 김성제 의왕시장은 “디지털 환경에서 소외되어 발생하는 피해가 없도록 시에서 적극 지원할 예정”이라며, “이번 활동을 통해 정보 취약계층이 좀 더 안전하고 신뢰할 수 있는 통신환경에서 생활할 수 있도록 최선을 다하겠다”라고 강조했다.