미국에서 중국 기반 범죄조직들이 문자메시지(스미싱)로 최근 3년 동안 약 10억 달러(약 1조 4200억원)를 빼낸 것으로 드러났다. 범죄 수익 규모가 천문학적으로 불어난 데다, 사기 기법도 피해자 카드 정보를 실시간으로 가로채고 결제까지 연결하는 등 한층 정교해졌다는 분석이다.
미 국토안보부 산하 수사국(HSI) 조사 결과 이들 조직은 고속도로 통행료·우편료·벌금 등의 명목으로 위협성 문자를 발송해 피해자를 유인했다. 이후 “통행료 미납 시 벌금이나 법적 조치가 발생한다”와 같은 경고 문구와 함께 결제 링크를 보내 피해자가 클릭하면, 가짜 납부 페이지로 연결되도록 한 것이다.
◇ ‘심카드 농장’으로 하루 수십만 건 발송
이 조직의 수법은 수백·수천 개의 SIM 카드를 장착한 장비인 ‘심팜(SIM 카드 농장)’을 이용해 문자 수십만 건을 한 번에 발송한다. 이에 대해 HSI의 애덤 파크스 보조특별수사관은 “한 명이 1000개 번호로 동시에 문자를 보낼 수도 있다”고 설명했다.
이후 피해자는 링크를 클릭해 가짜 결제 페이지로 이동한 뒤 카드번호와 일회용 비밀번호(OTP)를 입력하게 된다. 그러나 범죄조직은 이 정보를 실시간으로 감시·복제해 피해자의 카드 데이터를 아시아권 모바일 월렛(애플페이·구글페이 등)에 등록하고, 미국 내 ‘결제 대행자’를 통해 실제 결제를 진행한다. 다크타워의 게리 워너 위협분석 책임자는 “피싱 사이트를 이렇게 쉽게 만들 수 있는 시스템은 처음 봤다”고 말했다.
◇ 카드 복제·자금 세탁까지 이어지는 ‘완결형 사기’
범죄조직은 텔레그램 등을 통해 모집한 ‘머니 뮬(대리 구매자)’에게 피해자 카드로 상품권·전자제품 등을 구매하게 하고, 이를 중국으로 배송해 자금을 세탁한다. 하루 수백 명의 '머니 뮬'이 동원되며 구매 100달러당 약 12센트(약 160원)의 수수료를 받는다. HSI는 “최종 자금이 중국 조직범죄 집단으로 흘러간다”고 밝혔다.
정보보안업체 프루프포인트에 따르면 지난달 기준 미국에서 하루 평균 33만 건의 피싱 문자가 발송돼 전년 대비 3.5배 급증했다. 또 사이버보안업체 유닛221b는 휴스턴·LA·마이애미 등지에서 최소 38개의 심카드 농장이 운영 중인 것으로 추산했다.
수사당국은 대응을 강화하고 있으나 조직의 운영 방식이 분산·자동화돼 있어 근절이 쉽지 않다고 설명한다. HSI 등은 심팜과 텔레그램 채널, 결제 대행자 네트워크를 역추적해 국제공조를 통한 단속을 확대할 방침이다. 일반 이용자에게는 출처가 불분명한 문자 속 결제 링크를 절대 클릭하지 말고, 공공기관·기업을 사칭한 문구에 현혹되지 말 것을 거듭 경고하고 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
aftershock@sedaily.com
