부산에서 자영업을 하는 A씨는 지난 22일 휴대전화 문자 메시지를 보고 인터넷주소(URL) 링크를 눌렀다가 이틀 뒤 거액을 손해 보는 어처구니 없는 일을 당했다.
27일 사상경찰서 등에 따르면 이번 사건은 누군가 A씨에게 휴대전화 문자메시지를 보내 개인정보를 해킹해 계좌에서 돈을 빼낸 스미싱 사건으로 보인다.
그는 지난 24일 오후 4시 17분 누군가 3억원이 넘는 자신의 정기예금을 해지하고 보통예금으로 입금한 뒤 약 8시간 30분 동안 29차례나 다른 사람에게 계좌이체로 돈을 빼돌렸다고 밝혔다.
그런데 문제는 거액의 돈이 수십 차례에 걸쳐 계좌이체 되는 동안 금융기관도 이 사실을 몰랐다는 것이다.
A씨는 자신이 거래하는 은행으로부터 사건 발생 다음 날 오전 9시께 비정상적인 계좌이체가 이뤄지고 있다고 전화 통보받고 경찰에 신고했다.
A씨의 휴대전화는 스미싱으로 이미 먹통이 된 상태여서 A씨는 은행이 알려주기 전까지 피해 사실을 알 수 없었다.
범인이 금융 보안장치인 일회용 비밀번호 생성기(OTP)를 어떻게 확보할 수 있었냐는 점도 이번 사건에서 경찰이 확인해야 할 부분이다.
A씨는 "실물 OTP를 내가 보관하고 있는데 어떻게 나도 모르게 모바일뱅킹으로 계좌이체가 가능했는지 잘 모르겠다"고 의문을 제기했다.
경찰은 금융권에서 발행하는 모바일 OTP의 도용 가능성에 무게를 두고 수사 중이다.
A씨가 보유한 실물 OPT는 당사자가 신분증을 가지고 직접 은행 창구에 가서 대면으로 발급받을 수 있다.
하지만 휴대전화로 발급과 재발급이 모두 가능한 모바일 OTP는 다르다. 신분증과 개인정보만 갖고 있으면 비대면으로도 모바일 OTP를 발급받을 수 있다는 것이다.
새로운 OTP가 재발급되면서 A씨가 가지고 있던 기존 실물 OTP가 소유자의 의사와 관계없이 무력화됐다는 피해자의 주장도 경찰이 확인해야 할 사항이다.
경찰은 모바일 OPT 발급의 허점을 범인이 노렸을 가능성에 대해서 수사를 벌일 예정이다.
경찰 관계자는 "금융기관이 온오프라인에서 계좌 주인과 동일 인물이라는 것을 확인하고 발급해야 하는데 이번 사건은 온라인으로 금융기관에서 OTP 재발급을 받아 계좌이체에 사용했을 가능성이 있다"고 밝혔다.
이 관계자는 "보통 계좌에서 이체가 되면 휴대전화 문자메시지로 소유주에게 알려주는데 이번 사건은 누군가 A씨의 휴대전화를 먹통으로 만든 뒤 계좌에서 돈을 빼낸 것으로 보인다"며 "비대면으로 이뤄지는 모바일 OTP 발급 여부 등 계좌 이체 과정 전반을 살펴볼 예정"이라고 덧붙였다.
김주미 키즈맘 기자 [email protected]