'인증 문자' 없이 어떻게 결제?…'카톡 자동 로그아웃' 주목

<앵커>

이번 사건이 더 의문스러운 건, 피해자들이 악성 앱을 설치하지도 않았고 의심스러운 문자를 열어보지도 않았는데 피해를 봤다는 겁니다. 한 가지 단서라면 피해자들이 같은 동네, 같은 통신사라는 건데요.

의문점들을 김관진 기자가 짚어봤습니다.

<기자>

일반적인 스미싱 수법은 피해자가 문자 메시지 속 URL을 클릭하면 악성 앱이 설치되고, 결제 과정에서 단말기에 수신되는 본인인증 번호 문자를 악성 앱이 가로채는 방식입니다.

하지만 이번 사건 피해자들은 링크가 첨부된 문자를 받거나, 의심스러운 문자 메시지를 클릭한 적이 없다고 말합니다.

[피해자 : (문자 메시지가) 하나도 없으니까 경찰서에서도 되게 이상한 거예요. 아무것도 없이 그냥 그 아침에 좀 이상해서 봤더니 소액 결제가 되어 있었고….]

피해자들 모르게 소액결제 한도까지 임의로 상향한 뒤 결제하려면, 반드시 거쳐야 하는 본인인증 절차를 위해, 가입자 인증 정보 이름과 주민등록번호, 휴대전화 번호 등이 필요합니다.

어떤 형태로든 이런 정보가 제3자에게 넘어갔다는 의미입니다.

피해자들 가운데 일부는 본인인증을 위한 문자 메시지를 따로 수신한 적이 없어 악성 앱이 설치되지 않은 상태에서 문자 메시지 가로채기를 당한 거라, 이 부분을 규명하는 게 중요합니다.

[곽 진/아주대 사이버보안학과 교수 : 인증 문자를 못 받았다라고 하게 되면 (통신사) 서버에 남아 있을 거잖아요. 로그 기록들도 그렇고. 그것에 대해서 정확하게 파악을 해서….]

휴대전화 카카오톡이 자동 로그아웃된 것도 주목할 대목입니다.

PC와 달리 모바일에선 같은 번호가 다른 기기에서 개통되는 경우가 아니라면, 자동 로그아웃되는 일은 없기 때문입니다.

가입자 정보를 통째로 탈취해 다른 기기에서 접속했을 가능성이 제기되는 이유입니다.

특히 피해자들이 광명시 소하동과 하안동, 인근 서울 금천구 등 반경이 넓지 않은 특정지역에 집중돼 있다는 점에서, 이 지역 가입자 정보를 다루는 통신사 유통망에 대한 확인도 필요하다고 전문가들은 지적합니다.

(영상편집 : 우기정, 디자인 : 강윤정·장예은)