[취재파일] "젊은 부부가 대낮에 뭐?" 내 번호로 온 스팸문자

8월 16일 금요일 저녁 7시 28분. 저는 8시 뉴스에 나갈 기사를 작성하고 영상을 편집하느라 바쁜 시간을 보내고 있었습니다. 손에 쥐고 있던 휴대전화가 부르르 떨며 문자메시지가 도착했음을 알려왔는데, 발신자가 '나'로 돼 있었습니다. 번호도 제 번호 그대로였죠. 문자 내용은 아무래도 음란 사이트로 연결될 것 같은 수상한 링크 한 줄. 캡쳐 화면입니다.

무사히 뉴스 편집을 마친 뒤 집에 돌아와 인터넷 대형 커뮤니티와 SNS 등을 살펴 보니 이런 문자를 받은 건 저뿐만이 아니었습니다. 반응도 다양했습니다. "내 번호로 스팸 오는 건 처음 본다", "살다살다 내 번호를 내가 스팸등록해야 하다니...", "어디 큰 사이트가 털린(해킹) 건가?" 등등...인터넷에 올라온 내용을 종합해서 16일 저녁의 괴이한, 즉 발신자가 '나'로 되어 있는 스팸문자에 대해 몇 가지 생각할 부분을 정리해 봤습니다.

1. 대형 인터넷 사이트의 추가 해킹 가능성?

인터넷의 반응을 볼 때 일단 이번 스팸 문자는 특정 통신사를 가리지 않은 것으로 추정됩니다. 따라서 통신사를 가리지 않고 휴대전화번호를 수집하는 대형 인터넷 사이트에서 번호가 유출됐다고 추측할 수 있습니다. 이렇게 쓰면 '또야~!' 하고 분노할 독자분들도 계시겠지만, 해킹이라는 게 최근에 일어나지 않았을 가능성도 있으니 너무 급하게 화내지 마시기 바랍니다. 이 자리에서 굳이 예를 들지 않아도 "개인정보 해킹 피해자 수를 모두 합치면 우리 국민 숫자를 이미 훨씬 뛰어넘는다"는 말이 나올 정도로 지난 몇 년 동안 개인정보 해킹, 또는 유출은 잊을만 하면 찾아오는 연례 행사였습니다. 개인이 전화번호를 바꾸는 게 본인은 물론 주변에게 상당히 귀찮은 일로 받아들여지는 우리 사회에서 적어도 한 번호를 몇 년 이상 계속 쓰는 게 일반적이라면 휴대전화 번호가 어디선가 '털려서' 스팸 문자 받는 거, 이제는 사실 '일상'이라고 해도 과언이 아닌 상황입니다. 이번 스팸문자도 예전에 이미 유출되어 어딘가를 떠돌던 '리스트'가 원천이 됐을 가능성이 높습니다. 물론, 주말이 지나고 난 뒤 해킹으로 인한 개인정보 유출이 또 한 번 터질 가능성도 배제할 수는 없습니다. 말씀드렸듯, 이제는 거의 연례행사니까요.

2. '똘똘한' 스패머...곳곳에 머리 쓴 흔적

적어도 이번 '본인 문자 스팸'은 하는 입장에서는 상당히 귀찮은 작업임에 틀림없습니다. 인터넷에 바로 접속할 수 있는 스마트폰이 일반화되고, 문자에 링크를 걸어 보낼 수 있는 '스미싱'이 등장하면서 요즘 오는 스팸문자는 '발신 번호' 자체를 그리 중요하게 여기지 않는 것 같습니다. (물론 '발신 번호'가 중요한 대리운전, 유흥업소 등은 제외하고요.) 따라서 스팸 문자를 자동 발송할 때 발신 번호가 들어갈 자리에는 대개 무작위로 아무렇게나 만든 번호를 넣어서 불필요한 추적을 피하는 게 일반적이라고 볼 수 있습니다. 그런데 이번에는 발신자에 수신자 본인의 번호를 넣었습니다. 수신자의 전체 숫자를 볼 때 이건 사람이 일일이 할 수 없는 일일 테니 수신번호의 숫자열과 발신번호의 숫자열을 '같게 만드는' 이른바 '매크로' 설정이 적용됐을 가능성이 높습니다. 이런 알고리즘을 만든 뒤 일괄 적용했다고 가정하면 그리 어려운 일은 아닙니다만, 굳이 왜 그렇게 했을까요? 아마도 '내 번호를 내가 스팸 등록한다'는 생각에 대한 사람들의 부담, 혹은 거부감을 이용했을 가능성이 큽니다.

또 있습니다. 바로 스팸 문자를 발송한 시간대입니다. 위에서 제가 스팸 문자를 받은 시간이 저녁 7시 28분이라고 했는데요, 인터넷에 도는 캡쳐나 커뮤니티, SNS 등의 반응을 보면 하나같이 적어도 저녁 6시 이후에 받은 걸로 나와 있습니다. 물론 제가 모든 스팸문자의 수신 시간을 확인할 수 없으니 예외가 있을 가능성도 있지만, 일단 파악되는 모든 스팸문자가 저녁시간부터 집중되기 시작한 것을 보면 각 통신사의 고객센터가 실시간 전화 상담을 종료하는 시점을 노린 게 아닐까 하는 의심을 가질 수밖에 없습니다. 내 번호를 스스로 스팸 등록해봐야 다음에 또 스팸이 온다는 보장도 없으니 별 실익이 없으니까 이참에 통신사 고객센터에 전화해서 따지거나, 스팸으로 신고해야지 하고 생각했는데 마침 시간대가 고객센터의 실시간 응대가 종료된 시간이라는 거죠. 월요일까지 기다려서 신고를 할 '바른 생활' 이용자는 그리 많지 않을테고, 바로 문자를 삭제한 사람이 아니라면 주말에 들어가 볼 일말의 가능성이라도 있을테니 그 작은 가능성에 스패머들은 희망을 걸었다는 얘깁니다. 그렇다면 이번 스팸의 모수(母數)가  얼마나 많기에 그런 자신감을 가질 수 있었는지, 개인적으로 상당히 궁금하기도 합니다.

3. '타겟 사이트'에도 신경 쓴 흔적

스팸 문자의 '내용'을 보니 클릭을 유도하는 링크가 말미에 달려 있습니다. 이런 링크는 불법 애플리케이션을 설치하는 페이지로 연결될 가능성도 있고, 클릭하는 순간 아예 앱이 설치될 가능성도 있어서 일단 스마트폰 상에서는 클릭하지 않는 게 좋습니다만, 가만히 들여다보니 단순 웹페이지일 가능성이 높아서 집에 있는 데스크탑으로 접속해 보았습니다. 아니나다를까 성인 콘텐츠 사이트더군요. 불그스름한 사진들을 아래로 지나치다가 제일 하단에 눈이 멈췄습니다. 이렇게 돼 있습니다.
일단 왼쪽 하단에 '인증 후 월정액 19800원이 과금'된다고 적혀 있습니다. 휴대전화 소액결제를 이용하는 것으로 추정됩니다. 오른쪽에는 친절하게도 '해지의사가 없으면 매월자동연장'된다고도 되어 있습니다. 자기 요금이 어디에 얼마나 나가는지 꼼꼼하게 따져보지 않는 분들에게서는 들킬 때까지 계속 매월 19800원을 뽑아 가겠다는 얘깁니다. 이런 건 사실 처음 본 방식은 아니니까 그러려니 했습니다. 문제는 상단에 있는 '서비스 이용약관 동의'입니다. 처음 접속했을 때 아예 V표시로 체크가 되어 있었는데, 아래 써 있는 내용을 보면 V표시는 '성인인증'용인 것처럼 되어 있죠. 혹시라도 누군가 이 사이트의 콘텐츠를 보기 위해 '성인'임을 인증하려고 클릭할 가능성이 있고, 그 사람은 '성인 인증'과 '과금 인증'은 별개라고 생각할 수 있습니다. 그런데 과연 그럴까요? '성인 인증'을 위해 클릭하는 순간 실은 '과금 인증', 즉 '돈 내는데 동의'한 것으로 순식간에 진행될 가능성이 높아 보입니다. 스팸 문자에 이미 익숙한 이용자라면 이런 건 클릭하면 안된다는 걸 이미 알고 계시겠지만, 스팸을 이용자 수백만 명에게 보냈다면 그 가운데 단 수백 명이라도 이런 마수에 걸려들 가능성이 있을테고, 한 명당 19800원을 매달 받게 된다면 일단 스패머로서는 소기의 목적을 달성한 셈이 될테죠.

사실 이런 스팸의 세계는 생각하는 것만큼 단순하지 않습니다. 이동통신사마다 비즈니스용 문자 서비스를 일괄적으로 판매해야 하는 할당이 정해져 있고, 그 때 이용하는 프로그램도 BIZ-SMS나 C2P같은 다양한 방식이 있습니다. 또 유선과 무선으로 발송 방법이 나뉘어져 있기도 합니다. 이동통신사에서 대량으로 문자 발송 건수를 구매하는 '도매상'이 있고, 이들로부터 이걸 매입하는 '소매상'도 있습니다.

이용자 입장에서도 마찬가지입니다. 휴대전화 단말기에서 스팸 번호를 등록했을때와 이동통신사나 방송통신위원회 같은 정부기관에 스팸 번호를 신고했을때가 각각 다른 결과를 가져옵니다. 이 부분에 대해서는 따로 다루도록 하겠습니다. 일단 명심해야 할 건 이겁니다. '스팸 문자의 링크는 클릭하지 말아 주세요'라는 것이죠. 결론은 늘 단순합니다.