사람의 영혼까지 갉아먹는 피싱 범죄. 줄어들 기미는 없이 폭발적으로 증가하고 있다. 지난해 피해액은 1조원을 훌쩍 넘었다. 검거 인원도 3만명을 넘어섰다. 최근엔 경찰로 속이는 그럴듯한 형태의 메일까지 등장해 더욱 주의가 당부된다.

15일 헤럴드경제 취재를 종합하면 최근 경찰청 국가수사본부 ‘사이버수사국’이라는 가상의 명칭을 내세워 무작위로 피싱 메일이 발송되고 있다.

메일은 “수신자의 개인정보가 보이스피싱 조직에 사용됐다”며 “형사처벌 방지를 위해 피해 내역을 확인하라”는 내용이다. 피해 사실을 열람하기 위한 ‘전자 사건 통지서 열람’이라는 탭까지 꾸며져 있다. 발신자는 ‘경찰청 수사기획조정관실’이다.

모두 보이스피싱으로 끌어들이는 ‘함정’이다. 하지만 하나씩 따져보면 허술한 구석이 발견된다.

우선 경찰청 국가수사본부에는 ‘사이버수사국’이라는 조직이 없다. 또 경찰청 내에 수사기획조정관이란 직책은 있지만 수사 관련 기획·법령·예산·인사 등을 담당하기 때문에 메일 내용처럼 참고인과 직접 접촉하는 경우는 없다.

더군다나 메일 발신자의 주소도 엉터리다. ‘Karim.Jindani@tapsys.pk’ 메일 주소는 파키스탄의 전자결제 기업 탭시스(tapsys)의 도메인이고 카림 진다니(Karim Jindani)는 이 기업의 최고경영자(CEO)다.

경찰청 사이버수사국을 사칭한 또 다른 형식의 메일도 돌고 있다. ‘사건 접수 및 출석 요구 최종 통지’라는 제목으로 출석을 요구하는 메일이다. 출석 요구서는 극히 예외적인 경우를 제외하고는 우편 전달이 원칙이다. 해당 메일에는 ‘출석을 강력히 요구’, ‘열람 즉시 출석 의사 있는 것으로 간주’ 등의 표현으로 수신자를 압박하는 문구도 적혀있다. 수사기관에서 사용하기에는 어색한 표현이다.

이처럼 수신자를 압박한 후 ‘통지서 열람’ 탭이 눌리는 순간 통상 수신자의 기기에 개인 정보를 탈취하는 악성코드가 설치된다. 범죄 조직은 이 같은 방식으로 개인정보를 빼낸 후 각종 온라인 금융 서비스에 접근해 돈을 탈취한다는 게 경찰 관계자의 설명이다.

보안 전문 업체 이스트시큐리티의 배상민 실장은 “최근 수법은 정상 기관의 로고와 공식 명칭으로 세밀하게 위장하는 경향이 강하다”면서 “경찰청을 사칭해 기소, 체포 위협을 하며 공포심을 자극하고 개인정보를 탈취하는 피싱 메일과 이를 통해 사용자의 단말기를 원격 제어할 수 있는 원격 접근 악성코드를 유포하는 사례가 대표적”이라고 설명했다.

이처럼 수사기관을 사칭하는 피싱 범죄는 끊이지 않고 있다. 보이스피싱 신고 대응을 전담하는 경찰청 국가수사본부 전기통신금융사기통합대응단(통합대응단)에 따르면 올해 들어서 경찰을 사칭하는 수법의 피싱 메일 5건이 신고·접수됐다. 국가수사본부 형사국으로 속인 메일 유형 등이다.

통합대응단 개소 이후 월별 보이스피싱으로 의심돼 신고되는 건수는 월 3만건 이상이다.

피해액의 증가세도 가파르다. 경찰청 집계 자료를 보면 지난해 전화·문자·온라인 등을 통해 발생한 보이스피싱 범죄의 전체 피해액은 1조2578억원이다. 2016년 1468억원이었던 피해액 규모는 불과 10년간 10배 가까이 커졌다.

기관을 사칭하는 형식의 보이스피싱은 앞으로 더 늘어날 가능성이 높다. 전체 보이스피싱 범죄에서 기관 사칭 유형의 비중도 늘고 있기 때문이다.

오윤성 순천향대 경찰행정학과 교수는 “대출 사기형은 범죄 대상이 대출이 필요할 수도 있고, 아닐 수도 있다”며 “반면 기관 사칭 유형은 ‘당신이 범죄에 연루됐다’고 하면 모두가 해당할 수 있기 때문에 기관 사칭 유형이 늘어나는 구조”라고 덧붙였다.

경찰 관계자는 “경찰은 특수한 경우를 제외하고 수사 과정에서 메일로 출석 요구서 등을 보내는 경우는 없다”며 “참고인, 피의자 등에게 온라인으로 전자 열람을 요구하는 경우도 없다. 경찰을 사칭한 메일 등을 함부로 열람해서는 안 된다”고 당부했다. 이영기 기자