사회김주만

[스트레이트] 당신의 정보가 1000원에 팔리고 있다

입력 | 2022-04-10 21:05   수정 | 2022-04-10 21:06
오늘밤 방송된 ′MBC탐사기획 스트레이트′에서는 날로 교묘해지는 ′피싱사기′를 집중취재했다.

과거 ′피싱′은 대부분 전화로 금융기관이나 사법기관을 사칭한 경우였다.

피싱조직원의 어설픈 연변 조선족 억양은 코미디 소재로도 쓰였다.

요즘은 상황이 다르다.

서울말씨는 기본이고, 전문직의 용어를 능숙하게 사용하는 등 진화를 거듭하고 있다.

최근 경찰이 주의를 당부한 이 신종 보이스피싱도 그 중 하나다.

1. 엄마의 전화도 믿지마라! 20대 직장인 박모씨는 최근 ′엄마′의 전화를 받았다.

자신의 전화기에 입력된 전화번호 이름 ′엄마′로 발신자표시가 뜬 것이다.

이 ′엄마′는 다급한 음성으로 ″납치됐다″며 ″살려달라″고 흐느꼈다.

잠시뒤엔 ′엄마를 납치해 고문하고 있으니 당장 3천만원을 통장으로 보내라′는 남성의 목소리가 이어졌다.

당장 3천만원을 구할 수 없다고 하자 이 남성은 ′알몸′ 사진을 요구하기도 했다.

′돈 대신 몸으로 때우라′는 황당한 이유를 말했다.

이런 사기극은 ′전화 좀 받으라′는 ′진짜 엄마′의 문자가 딸에게 오면서 끝이 났다.

납치됐다는 엄마는 멀쩡히 집에 있었다.

그럼 보이스피싱 범인들은 어떻게 ′엄마′의 전화를 사용한 것일까? 허점은 우리나라 발신자번호 표기 방법에 있었다.

우리나라는 010 식별번호를 뺀 나머지 8자리가 같으면, 기존에 저장된 이름으로 발신자명이 뜬다.

예를 들어 엄마번호 010-1234-5678를 ′엄마′로 저장을 해두면 070-1234-5678 080-1234-5678 0X0-1234-5678 위에 번호 모두 앞 번호가 달라도 뒷번호 8자리가 같으면 모두 ′엄마′로 표시가 나오는 것이다.

특히 발신자의 번호가 함께 표기되는 안드로이드 폰과 달리 아이폰 기종의 경우는 아예 발신자 이름만 뜨고 번호는 아예 표시되지 않는다.

더 쉽게 속아 넘어갈 수 있는 것이다.

범인들이 특정인을 목표로 삼고 그 사람의 뒷번호가 같도록 발신을 하면 ′가짜 엄마′ ′가짜 딸′을 얼마든지 만들 수 있었다.

문제는 이 범인들이 ′엄마′와 ′딸 박씨′의 전화번호는 물론 이들이 모녀 관계라는 점, 그리고 ′엄마의 스카프 사진′등 치밀한 사기극의 배경 자료를 알고 있었다는 것이다.

2] 휴대폰 주인도 바뀐다! 내 것 아닌 나의 정보 코인투자를 하는 강모씨와 김모씨는 그동안 투자해온 암호화폐가 하루아침에 빠져나가는 악몽을 경험했다.

그날 휴대폰에서 일어난 증상은 비슷했다.

새벽에 갑자기 휴대전화가 ′먹통′이 되더니, 유심칩이 교체됐다는 메시지가 뜨고, 나도 모르게 카카오톡의 비밀번호가 바뀌고, 다른 사람이 어뚱한 곳에서 접속하는 일이 벌어졌다.

누군가 자신의 명의로 스마트폰을 개통한 것이다.

우리나라에 이 같은 피해로 신고된 것만 30여건, 공교롭게도 모두 KT 통신 이용자들이다.

통신사측에서도 명확한 원인을 설명하지 못하고 있다.

김승주 고려대 정보보호대학원 교수는 이런 공격을 ′심스와핑′이라고 설명했다.

이미 외국에서는 많이 보고가 된 유형으로 다른 사람의 개인정보를 확보한 뒤 이를 이용해 대리점에서 심카드를 재발급받는 것이다.

3] 당신의 안방이 생중계되고 있다 지난해 말 한 인터넷 카페에 거실 ′월패드′ 해킹이 가능하다는 국내 아파트 700여 곳의 이름이 올라왔다.

방문자를 확인하고, 경비실과 통화하거나 엘리베이터를 부르는 기능이 있는 ′월패드′를 해킹할 경우 이 월패드가 우리 안방을 비추는 카메라 역할을 하는 것이다.

취재진이 목록에 나온 수도권의 한 아파트를 찾아가 집주인의 허락을 받고 월패드를 해킹해 봤다.

불과 10분만에 월패드의 모든 작동 권한을 확보했다.

실내온도 조절이나 전등을 켜고 끄는 것은 물론, 월패드 카메라를 통해 거실을 촬영하고 녹화할 수 있었다.

전기요금을 ′0′으로 만들 수도, 반대로 남의 집 전기료까지 모두 내게 할 수도 있지만 해킹 흔적은 전혀 남지 않았다 보안업체 전문가는 이런 해킹이 전문가 수준의 어려운 기술이 아니라 유튜브에 나오는 정보만 배워도 얼마든지 가능하다고 말했다.

전세계 CCTV 영상을 실시간으로 비추고 있는 한 해외 불법사이트의 경우 이런 방식을 이용해 지금도 우리나라 2천개 CCTV영상을 생중계하고 있다.

태권도 학원의 내부, 성인 마사지 업소의 출입문
, 한 빌라의 복도에 설치된 CCTV는 집주인이 누르는 현관문 비밀번호를 고스란히 노출하고 있었다.

CCTV 정보에 표시된 건물의 위도와 경도를 이용할 경우 아무나 이 집에 들어갈 수 있는 것이다.

김선태 블록체인 보안업체 대표는 현재의 해킹 기술은 오픈된 CCTV는 물론 개인이 설치한 cctv를 찾아서 볼 수 있을 정도로 특화돼 있고, 해커들은 국내에 있는 접근 가능한 모든 cctv들은 다 한 번씩 접근을 해봤다고 보는 게 맞다고 설명했다.

4] 당신의 소중한 개인정보? 110원에 팔린다! ′엄마의 전화번호′, ′나의 휴대전화 정보′, ′월패드의 비밀번호′ 누군가 나를 표적으로 삼은 것일까? 아니다.

전문가들은 이미 당신의 정보가 유통되고 있다고 설명한다.

외국에 서버를 둔 한 SNS 대화방에는 자신의 여권을 펼쳐 들고 있는 남성들의 사진이 줄줄이 올라와있다.

국적, 이름, 여권번호 등 한 코인 거래소에 가입을 할때 보냈던 본인 인증 사진이 유출된 것이다.

또 다른 대화방에는 인터넷 가입자의 아이디와 주민등록번호, 이름과 주소에, 휴대전화 번호까지 웬만한 정보가 다 있다.

신용카드 정보도 거래된다.

이런 SNS 대화방들은 해킹 정보들이 무차별 거래되는 일명 ′블랙마켓′인데, 서로 검증된 사람들끼리만 추천을 통해 가입하고, 경찰로 의심되는 사람이 발견될 경우 강제로 쫓아내고 서로 아이디를 공유한다.

해킹된 페이스북과 구글 아이디를 판다는 광고는 이미 오래됐고, 애플 아이디를 개당 6위안, 우리돈 1천1백 원에 파는 쇼핑몰도 있다.

휴대전화 하나면 안되는 게 없는 세상이다.

동시에 내 개인정보를 다 내주지 않으면 포털이든, 플랫폼이든 가입도 힘들고, 어느 것 하나 온전히 사용하기 힘든 세상이다.

플랫폼 기업들이 모든 정보를 독점해 점점 몸집을 키우고, 코로나19 이후에는 사상 최대 수익을 올리고 있다.

우리나라 통신사도 지난해말 10년만에 최대 실적을 올렸다고 공시했다.

국가든 기업이든 실적만 신경쓸게 아니라 고객의 개인정보 보호에도 좀더 노력을 기울일 때다.

기업도 살고 고객도 사는 길이다.

MBC탐사기획 스트레이트는 매주 일요일 8시20분 방영된다.