별생각 없이 눌러본 링크 하나
올해 34세인 한지훈 씨(가명)는 온라인 쇼핑을 즐겨 하는 평범한 직장인이다. 그 주에도 이런저런 물건을 몇 개 주문해 둔 참이었다.
화요일 오후, 휴대폰이 울렸다. 문자 한 통이었다.
"[한진택배] 고객님, 배송지 정보 오류로 상품 배송이 지연되고 있습니다. 아래 링크에서 배송지를 확인해 주세요."
한 씨는 별다른 의심을 하지 않았다. 요즘 시켜둔 택배가 여러 개였고, 문구도 정중했다. 발신번호도 흔히 보는 휴대폰 번호 형식이라 이상할 게 없었다. 그는 출근길 지하철 안에서 습관처럼 링크를 눌렀다.
화면에는 익숙한 택배 앱 설치 페이지가 떴다. 로고도, 색깔도 평소 쓰던 앱과 똑같았다. 한 씨는 별생각 없이 '설치'를 눌렀다. 몇 초 만에 앱 아이콘이 휴대폰 화면에 나타났다. 겉보기엔 아무 문제도 없어 보였다.
조용히 시작된 침투
그날부터 며칠간, 한 씨의 휴대폰은 평소와 다름없이 작동했다. 배터리가 조금 빨리 닳는 것 같았지만 대수롭지 않게 넘겼다.
문제는 주말에 터졌다. 은행 앱에서 낯선 알림이 왔다.
"고객님의 계좌에서 비대면 대출 500만원이 실행되었습니다."
한 씨는 대출을 신청한 적이 없었다. 놀라서 화면을 다시 보니, 자신도 모르는 사이 게임 아이템 소액결제 내역도 여러 건 찍혀 있었다. 급히 은행에 전화를 걸었지만, 상담원은 본인 명의 인증을 거쳐 정상 처리된 거래라는 답만 돌아왔다.
더 소름 끼치는 일은 따로 있었다. 며칠 뒤 친한 친구에게서 연락이 왔다.
"너한테 청첩장 문자 왔는데, 이거 네가 보낸 거 맞아?"
한 씨는 청첩장을 보낸 적이 없었다. 자신의 번호로, 자신의 연락처에 저장된 지인들에게 정체불명의 청첩장 링크가 자동으로 뿌려지고 있었던 것이다.
뒤늦게 알게 된 '좀비폰'
한 씨는 결국 경찰서와 통신사, 스미싱 신고센터를 오가며 사정을 알게 됐다. 그가 눌렀던 배송지 확인 링크는 정상 택배 앱과 아이콘, 이름까지 똑같이 만든 악성 앱(APK) 설치 파일이었다. 눈으로는 진짜와 가짜를 구분할 수 없을 정도로 정교했다.
악성 앱은 설치되는 순간부터 연락처, 문자메시지, 공동인증서, 사진첩 정보를 통째로 빼돌렸다. 탈취된 개인정보는 곧바로 한 씨 명의의 비대면 대출과 소액결제에 이용됐다. 그리고 그의 휴대폰은 해커가 마음대로 조종하는 '좀비폰'이 되어, 저장된 지인들에게 청첩장과 부고장 등을 가장한 스미싱 문자를 자동으로 계속 퍼뜨리고 있었다.
한 씨가 입은 직접 피해는 대출금과 소액결제를 합쳐 400만원이 넘었다. 여기에 자신의 휴대폰이 지인들에게 2차 피해를 퍼뜨리는 통로가 됐다는 사실은 더 큰 충격으로 남았다.
이런 수법을 조심하세요
한 씨를 노린 택배 사칭 스미싱의 핵심 수법을 정리했다.
- 정중한 문구로 경계심 낮추기: "배송지 오류", "배송 지연" 등 그럴듯한 문구로 자연스럽게 클릭을 유도한다.
- 발신번호 위장: 지인 번호나 평범한 휴대폰 번호처럼 보이게 발신번호를 조작한다.
- 육안 구별 불가능한 악성 앱: 정상 택배 앱과 아이콘, 이름이 똑같아 설치 후에도 알아채기 어렵다.
- 개인정보 대량 탈취: 연락처, 문자, 공동인증서, 사진첩까지 한 번에 빼돌린다.
- 2차 피해 자동 확산: 감염된 '좀비폰'이 저장된 지인들에게 청첩장·부고장 등으로 위장한 문자를 자동 재발송한다.
- 최신 변종: 카카오톡 '친구 추가' 페이지로 유도해 택배기사 사진 프로필 계정이 접근한 뒤, 국제전화(006 등)로 통화를 유도해 고액 통화료를 편취하기도 한다.
피해 예방 체크리스트
- 출처가 불분명한 문자 속 URL은 절대 클릭하지 마세요. 배송 조회는 반드시 택배사 공식 앱이나 홈페이지에서 직접 하세요.
- 문자로 안내된 링크를 통한 앱 설치는 하지 마세요. 앱은 반드시 공식 스토어(구글 플레이, 앱스토어)에서만 내려받으세요.
- 통신사 고객센터나 앱에서 소액결제 차단·상한액 설정을 미리 해두세요.
- 명절·연말연시 등 택배 물량이 몰리는 시기에는 스미싱 문자가 급증합니다. 평소보다 더 주의하세요.
- 지인에게서 온 청첩장·부고장 문자도 무조건 믿지 마세요. 링크를 누르기 전에 전화로 직접 확인하세요.
- 배터리 소모가 갑자기 심해지거나, 모르는 문자가 자동 발송된 흔적이 있다면 악성 앱 감염을 의심하세요.
- 스마트폰에 백신 앱을 설치하고 주기적으로 검사하세요.
- 카카오톡 등 메신저에서 낯선 '친구 추가' 요청이나 국제전화 유도에는 절대 응답하지 마세요.
피해를 당했다면
스미싱으로 악성 앱이 설치되고 금전 피해까지 발생했다면, 아래 순서로 대응하세요.
- 휴대폰 초기화 또는 악성 앱 삭제: 감염이 의심되면 즉시 휴대폰을 비행기 모드로 전환한 뒤 초기화하거나 전문 업체에 점검을 맡기세요.
- 금융기관에 즉시 연락: 은행·카드사 고객센터에 연락해 비대면 대출, 소액결제, 계좌 이체 내역을 확인하고 지급정지·이의제기를 신청하세요.
- 경찰 신고: 112 또는 사이버수사대(경찰청 182)에 신고하고, 문자 캡처와 피해 내역을 증거로 제출하세요.
- 한국인터넷진흥원(KISA) 118 신고: 스미싱 URL과 피해 사실을 신고해 추가 확산을 막으세요.
- 지인들에게 알리기: 내 번호로 이상한 문자가 발송됐다면 즉시 연락처에 저장된 지인들에게 알려 2차 피해를 막으세요.
한 씨는 뒤늦게 통신사와 경찰에 신고했지만, 이미 실행된 대출과 결제 일부는 되돌리기 어려웠다. "평소 자주 시키던 택배라 별생각 없이 눌렀던 게 화근이었다"는 그의 말은, 누구나 같은 상황에서 똑같이 속을 수 있다는 사실을 보여준다.
이 사연은 실제 보도된 택배 사칭 스미싱 및 원격제어 악성 앱 피해 사례를 바탕으로 각색되었습니다. 등장인물은 가상의 인물입니다.