평범한 점심시간에 날아온 문자 한 통
올해 34세인 박 씨(가명)는 서울의 한 IT 기업에서 개발자로 일하는 평범한 직장인입니다. 꼼꼼한 성격 덕분에 평소 보이스피싱이나 스미싱에 대해 잘 알고 있다고 자부했습니다. "저는 절대 속지 않을 거라고 생각했어요." 박 씨는 당시를 떠올리며 쓴웃음을 지었습니다.
2026년 2월의 어느 평일, 점심을 먹고 사무실로 돌아온 박 씨의 스마트폰에 문자 한 통이 도착했습니다.
[금융감독원] 고객님 명의 계좌에서 비정상 거래가 탐지되었습니다. 본인 확인이 필요합니다. 아래 링크를 통해 확인해 주세요. https://fss-verify.kr/auth
문자의 발신번호는 '1332'로 표시되어 있었습니다. 박 씨는 1332가 금융감독원의 실제 대표번호라는 것을 알고 있었기에 의심을 접었습니다.
"발신번호까지 금감원 번호였으니까, 진짜인 줄 알았죠."
정교하게 꾸며진 가짜 사이트
링크를 클릭하자 금융감독원 홈페이지와 거의 동일한 페이지가 열렸습니다. 공식 로고, 메뉴 구성, 색상 배치까지 실제 사이트와 구분이 어려웠습니다. 페이지에는 '긴급 본인확인 절차'라는 제목 아래 이름, 주민등록번호, 계좌번호, 비밀번호를 입력하는 양식이 있었습니다.
"디자인이 진짜 사이트랑 똑같았어요. URL도 'fss'가 들어가 있어서 의심하지 못했습니다."
박 씨는 주요 거래 은행의 계좌번호와 비밀번호, 그리고 인터넷뱅킹 아이디와 비밀번호까지 입력했습니다. 그러자 화면에 '본인확인 완료. 보안 강화를 위해 원격 보안 앱을 설치해 주세요'라는 안내가 나타났습니다.
원격제어 앱 설치, 그리고 시작된 악몽
박 씨는 안내에 따라 앱을 설치했습니다. 사실 이 앱은 사기범들이 박 씨의 스마트폰을 원격으로 조종할 수 있게 해주는 악성 프로그램이었습니다.
앱을 설치한 직후, 박 씨에게 전화가 걸려왔습니다. 상대방은 자신을 "금융감독원 금융사기예방팀 김 사무관"이라고 소개했습니다.
"박 씨 계좌가 보이스피싱 범죄에 사용된 정황이 확인되었습니다. 지금 바로 협조해주시지 않으면 공범으로 처리될 수 있습니다."
가슴이 철렁 내려앉았습니다. 평생 성실하게 살아온 박 씨에게 '범죄 연루'라는 말은 공포 그 자체였습니다.
"계좌의 안전성을 검증하기 위해 잠시 자금을 안전계좌로 이체해야 합니다. 검증이 끝나면 즉시 원래 계좌로 돌려드리겠습니다."
30분 만에 사라진 2,800만원
사기범은 박 씨에게 "검증 절차 중에는 절대 은행에 연락하거나 가족에게 이야기하면 안 된다"고 단단히 못 박았습니다. "수사 보안 유지 의무"라는 말에 박 씨는 아무에게도 말하지 못했습니다.
이미 원격제어 앱이 설치되어 있었기에, 사기범은 박 씨의 스마트폰을 통해 모바일뱅킹에 접속하여 세 차례에 걸쳐 총 2,800만원을 다른 계좌로 이체했습니다. 불과 30분 만의 일이었습니다.
"화면이 저절로 움직이는 걸 보면서도, 그게 금감원의 보안 검증 절차라고 믿었습니다. 지금 생각하면 너무 어이없지만, 그 순간에는 정말로 무서워서 시키는 대로 할 수밖에 없었어요."
뒤늦게 깨달은 진실
이체가 완료된 후, '검증이 끝나면 연락드리겠습니다'라는 말을 남기고 전화가 끊겼습니다. 한 시간이 지나도 연락이 오지 않자 불안해진 박 씨는 금융감독원 대표번호 1332에 직접 전화를 걸었습니다.
"금융사기예방팀 김 사무관 님과 통화하고 싶습니다."
"죄송합니다. 저희 금융감독원에는 그런 부서도 없고, 그런 직원도 없습니다. 혹시 사기를 당하신 건 아닌지..."
그 순간, 박 씨는 자신이 사기를 당했다는 것을 깨달았습니다. 머릿속이 하얘지고, 손이 떨렸습니다. 즉시 거래 은행에 전화해 지급정지를 요청했지만, 이미 돈은 여러 대포통장을 거쳐 인출된 뒤였습니다.
"2,800만원이면 제가 3년 동안 모은 전세 보증금 마련 자금이었어요. 눈앞이 캄캄했습니다."
343% 급증한 금융기관 사칭 피싱
박 씨의 사례는 결코 특별한 일이 아닙니다. 안랩의 분석에 따르면, 2025년 4분기 금융기관 사칭 피싱 문자는 직전 분기 대비 무려 343.6%나 급증했습니다. 전체 피싱 문자 중 금융기관 사칭이 46.93%로 가장 높은 비율을 차지했으며, 정부 및 공공기관 사칭이 16.93%로 뒤를 이었습니다.
특히 피싱 문자의 98.89%에 악성 URL이 삽입되어 있어, 링크를 클릭하는 순간 개인정보 탈취나 악성 앱 설치로 이어지는 구조입니다.
카카오톡에서도 가족이나 지인을 사칭해 금전을 요구하는 메신저 피싱이 계속되고 있습니다. "엄마, 폰이 고장 나서 수리비가 필요해요"라는 메시지로 시작하여, 원격제어 앱 설치나 송금을 유도하는 수법입니다.
이런 수법을 조심하세요
박 씨를 속인 사기범들의 핵심 수법을 정리했습니다.
- 발신번호 조작: 금감원(1332), 경찰(112), 검찰 등 실제 기관 번호로 위장
- 정교한 피싱 사이트: 공식 홈페이지와 거의 동일한 가짜 사이트 제작
- 악성 앱 설치 유도: '보안 앱', '본인확인 앱'을 명목으로 원격제어 앱 설치
- 공포심 유발: '범죄 연루', '공범 처리', '계좌 동결' 등 협박
- 고립 유도: '수사 보안', '가족에게 말하면 안 된다'며 외부 연락 차단
- 긴급성 강조: '지금 당장', '오늘 안에' 등 시간 압박
- 안전계좌 사기: '자금 검증', '안전계좌 이체' 명목으로 송금 유도
피해 예방 체크리스트
- 금융감독원, 검찰, 경찰은 절대로 문자로 링크를 보내지 않습니다
- 발신번호는 얼마든지 조작될 수 있으므로, 직접 대표번호로 전화해 확인하세요
- 어떤 기관도 전화로 '안전계좌 이체'를 요구하지 않습니다
- 출처 불명의 앱 설치를 요구하면 100% 사기입니다
- 급하게 결정하라고 압박하면 일단 전화를 끊으세요
- 가족이나 지인에게 반드시 먼저 상의하세요
- 의심 문자를 받으면 즉시 삭제하고, 링크를 절대 클릭하지 마세요
- 카카오톡으로 돈을 요청하는 가족 메시지는 반드시 전화로 본인 확인하세요
피해를 당했다면
사칭 사기 피해를 당했다면, 당황하지 말고 즉시 다음 조치를 취하세요.
- 계좌 지급정지: 거래 은행 고객센터에 즉시 전화하여 지급정지 요청
- 경찰 신고: 112 또는 가까운 경찰서에 신고
- 금융감독원 신고: 1332로 전화하여 피해 사실 접수
- 악성 앱 삭제: 설치한 앱 즉시 삭제 후 스마트폰 초기화 권장
- 비밀번호 변경: 입력한 모든 금융 계정의 비밀번호 즉시 변경
- 증거 보존: 문자 내용, 통화 내역, 이체 내역 등 캡처하여 보관
- 인터넷보호나라 신고: www.boho.or.kr에서 피싱 사이트 신고
사기범들은 점점 더 정교해지고 있습니다. 발신번호 조작, AI 딥페이크 음성, 완벽한 가짜 사이트까지 동원하는 시대입니다. '나는 안 당한다'는 자신감이 오히려 가장 위험합니다. 어떤 기관이든 전화나 문자로 금전을 요구하거나 개인정보를 요청한다면, 반드시 의심하고 직접 확인하세요.
이 사연은 실제 피해 사례를 바탕으로 각색되었습니다. 피해자의 개인정보 보호를 위해 가명을 사용했습니다.
