[취재파일] 보이스피싱과 스미싱의 결합…피해보상은 누가?

돌잔치, 청첩장, 택배 등을 사칭한 휴대전화 소액결제 문자사기, 이른바 스미싱이 아직도 있긴 합니다. 하지만 이런 문자에 포함된 인터넷 주소를 누르면 악성코드가 설치된다는 걸 아는 분들이 이제 많습니다. 경각심이 그만큼 커진 것이죠. 최근 피해가 잇따른 소액결제 사기는 이런 변화를 오히려 역이용하고 있습니다. 피해자들과의 인터뷰를 통해 과정을 재구성 해보면 이렇습니다.  1. 갑자기 제 휴대전화로 '27만원이 결제됐습니다'라는 내용의 문자 메시지가 왔습니다.이 문자를 보고 깜짝 놀라 전화를 거는 순간부터 사기꾼에게 말려들게 됩니다. 문자를 보낸 전화번호(대부분 070으로 시작됩니다)로 당장 전화를 걸어 '나는 결제한 적이 없는데 어디서 어떻게 결제가 된거냐?'고 물어봅니다. 그쪽에서는 '여기는 모바일 결제 대행사인데, 게임사이트에서 정상적으로 결제가 됐다'고 대답합니다. 급한 마음에 '나는 결제한 적이 분명히 없고 그 게임은 하지도 않는다'고 항변합니다. 그러자 결제 대행사라는 곳에서는 '누군가 당신 이름으로 몰래 결제한 것 같다. 스미싱에 당한 것 같은데 취소하길 원하면 취소해주겠다'고 말해줍니다. 속으로 다행이라고 생각하며 '취소하려면 어떻게 해야하냐?'라고 물어봅니다. 그런데 이 질문부터가 본격적인 소액결제 사기에 들어가는 시작입니다.

2. 결제대행사란 곳에서는 '잠시 뒤 ARS(자동응답전화)로 인증번호가 갈텐데 그걸 알아야 취소할 수 있다'고 말해줍니다.전화를 끊자 곧바로 ARS 전화가 걸려옵니다. '인증번호는 ****입니다'라는 안내가 실제로 나옵니다. 이 번호를 처음 통화했던 곳에 알려주자 '이제 취소처리가 됐으니 안심해도 된다'고 말합니다. 그리고 바로 이어서 '27만원 결제 취소처리가 됐다'는 문자까지 옵니다.

'스미싱 당할 뻔 했는데 다행히 취소됐다'고 안심하지만 2번 과정에서 실제로 소액결제 사기를 당한 겁니다. 앞서 보내준 '27만원이 결제됐다'는 문자와 '취소됐다'는 문자 모두 가짜인 겁니다. 사기꾼들은 이 돈으로 게임사이트에서 게임머니를 산 뒤, 이를 즉시 되팔아 현금화 합니다. 문자사기만으로는 잘 먹혀들지 않자 보이스피싱과 결합한 형태로 피해자들을 속이는 겁니다. 실제로 스미싱 사기 피해건수는 크게 줄어들었지만 보이스피싱 건수는 한때 줄어들다 최근 다시 급증하고 있습니다.

문제는 이미 나온 소액결제 사기대책이 잘 지켜지지 않고 있다는 겁니다. 지난 해 11월 정부가 발표한 '통신과금서비스 제도개선 방안'이 있습니다. 통신과금 서비스가 바로 흔히 말하는 소액결제입니다. 휴대전화 인증을 통한 결제로 요금은 월 휴대전화 요금에 합산돼 청구됩니다. 30만원 이상은 결제할 수 없게 돼 있기 때문에 '소액' 결제라고 불립니다. 중요한 것은 소액결제 한도를 높일 때 소비자의 동의를 받게 한 부분입니다.

과거엔 소비자의 가입기간이 오래됐고 요금 미납액이 없으면 통신사들이 알아서 '30만원'까지 한도를 높여왔습니다. 스미싱 피해 금액이 대부분 20만원대 후반에서 30만원 사이에 몰려 있는 이유가 이 때문입니다. 따라서 기존 가입자건 신규가입자건 소액결제 사용 및 한도 증액 때 미리 동의를 받게 했는데 실제로는 잘 지켜지지 않고 있었습니다. 3-4만원 정도로만 한도액이 설정돼 있었어도 27만원이란 큰 피해를 보지 않아도 됐는데 말이죠. 두번째는 '피해구제 원스톱 서비스'입니다. 과거엔 스미싱 피해가 발생하면 통신사는 결제대행사나 게임사의 연락처만 피해자에게 알려줄 뿐이었습니다. 하지만 '통신사가 피해자의 진술을 받고 결제대행사와 게임사등에 직접 연락해 환불절차 등을 진행한 뒤 처리결과를 신속하게 이용자에게 통지'하도록 했습니다. 하지만 이 역시 실제로는 지켜지지 않았습니다.

세번째는 과금 취소입니다. '불법 과금된 금액은 요금 납부전인 경우 취소, 납부 후라도 이용대금 지급을 정지'할 수 있도록 했습니다. 이 내용만 보면 소액결제 사기 피해자들이 모두 구제 받을 수 있는 것처럼 보입니다. 그러나 예외 조항이 있습니다. '이용자의 고의 또는 중과실이 있는 경우엔 제외한다'는 겁니다. 법에 이렇게 돼 있는데 중요한 건 '어디까지를 이용자의 중과실로 볼 것이지? 누가 무슨 기준으로 판단하냐?'는 겁니다. 현재로선 통신사나 결제대행사, 게임업체 등에서 예외조항을 근거로 '이용자 과실이 큰 것 같아 취소가 어렵다'고 판단하면 소송으로 해결하는 수 밖에 없습니다. 20-30만원 피해를 돌려받기 위해 소송까지 할 수 있는 소비자가 거의 없기 때문에 그저 업체들의 판단에 따를 수 밖에 없는 현실입니다.

앞서 말씀드린 보이스피싱과 스미싱이 결합한 소액결제 사기건을 지난 20일 SBS 8시뉴스에서 보도한 뒤 똑같은 피해를 봤다는 분들의 이메일을 많이 받았습니다. 그런데 다들 피해구제를 못 받았다고 했습니다. '순수 스미싱이면 구제를 해줄 수 있지만 보이스피싱과 결합돼, 피해자 본인이 스스로 인증번호를 사기꾼에게 불러줬기 때문에 과실이 크다'는 답을 받았다고 합니다. 기존 스미싱은 문자에 포함된 인터넷 주소를 누르는 순간 휴대전화에 악성코드가 설치돼 피해자도 모르는 사이에 결제 인증번호를 가로채 갑니다. 이런 경우엔 구제를 해주지만 전화로 인증번호를 불러 준 건 구제가 안 된다는 겁니다. 즉 앞서 말한 '이용자의 중과실이 있는 경우'라고 업체들은 주장하는 겁니다.

하지만 스미싱도 '사기 문자에 포함된 인터넷 주소를 이용자 스스로 눌러 악성코드가 설치됐기 때문에 본인 과실'이라는게 1년전까지 업체들의 주장이었습니다. 나중에 스미싱이 워낙 기승을 부리고 사회문제화 되자 그제서야 구제를 해준 것이죠. 이런 소액결제 사기는 일단 겉으로만 보면 이용자의 과실이 큰 것처럼 보입니다. 그리고 개인 이용자 입장에서 자기 과실이 아니라는 점을 입증하기도 매우 어렵습니다. 하지만 소액결제는 휴대전화 번호, 주민번호, 인증번호 세 가지가 있어야 가능합니다. 사기꾼이 피해자로부터 인증번호를 가로채 결제를 하긴 했지만 휴대전화 번호와 주민번호는 이미 갖고 있었다는 이야깁니다. 사기꾼들은 어떻게 이 정보를 미리 갖고 있었던 것일까요? 답은 자명합니다.

<2008년>  옥션 회원정보 1000만건/ GS 칼텍스 1100만건
<2011년>  SK컴즈(네이트, 싸이월드) 3500만건  /  넥슨(메이플스토리) 1300만건
<2012년>  KT 870만건
<2014년> 3개 카드사 1억 400만건/   KT 1200만건

 이런 대규모 개인정보 유출사건을 통해 이미 전국민의 개인정보가 범죄집단의 손에 들어가 있다고 해도 과언이 아닙니다. 이래도 개인 이용자들의 과실이 크다고 이야기할 수 있을까요?