하필 금요일 밤이었다고 했다. 친한 동생 A가 스마트폰에서 ‘당신 구글 계정에 외국에 있는 누군가가 접속한 것 같으니 확인해달라’는 이메일을 보고 링크를 누른 것은. 최근 외국 여행을 간 적이 없어 저도 모르게 클릭한 게 문제였다. 이상한 앱이 깔렸고, 휴대전화는 갑자기 먹통이 됐다.
처음엔 전화기가 왜 그런 건지 깨닫지 못했다. ‘고장 났나?’ ‘배터리에 문제가 생겼나?’ 두 시간쯤 지나서야 그는 불현듯 알아차렸다. ‘말로만 듣던 메시지 해킹 스미싱(사기)을 내가 당했구나….’
집 전화기를 찾아 주거래 은행에 전화를 걸었다. 은행 상담 직원은 “수상한 거래가 세 건 있다. A씨 저축은행 통장에서 총 1400만원이 빠져나갔다”고 했다. 그는 헛웃음을 지었다. “전 저축은행 통장이 없는데요.” “차명 계좌가 그 사이 개설됐나 봅니다. 거래 지급 동결 조치부터 하고요….’
대학 나오고 대기업에 취직한 A가 이때부터 겪은 일은 ‘IT 보안 강국 대한민국’의 허점을 한꺼번에 보여주는 시트콤이다. 은행에 거래 지급 동결 조치를 마친 그가 정신을 가다듬고 한 일은 인터넷에 ‘스미싱 신고’ ‘보이스피싱 신고’라고 검색하는 것. ‘경찰청 112번’ 혹은 ‘금융감독원 민원 상담 1332번’에 전화하라는 안내가 보였다.
112에 전화를 걸어 “스미싱 사기를 당했고, 저축은행이나 다른 곳에 차명 계좌가 몇 개 개설됐는지 알고 싶은데 확인할 수 있느냐”고 물었다. 경찰은 잠시 머뭇거리더니 “그런 건 다산콜센터에 물어보라”면서 전화를 연결했다. 정작 다산콜센터는 A의 질문에 “그런 건 경찰에 물어봐야 한다”며 112를 다시 연결했다.
이번엔 금감원 콜센터 1332번에 전화를 걸었다. ‘지금은 서비스 이용 가능 시간이 아닙니다’라는 목소리만 나왔다. 참다못한 그는 경찰서를 직접 찾아갔다. 당직 경찰은 하품을 하며 “오늘 비슷한 스미싱 피해자가 5명쯤 왔다”고 하더니 사건 대응 요령이 적힌 종이 한 장을 내밀었다. 계좌 도용 피해를 파악하려면 ‘계좌 통합 관리’라는 애플리케이션을 깔라는 안내가 적혀 있었다.
그는 해당 앱을 깔았지만 접속할 순 없었다. 스미싱범이 이미 A의 은행 공동인증서를 바꿔놓았고, A는 이후 은행과 경찰에 전화로 신고를 했기 때문에 더욱 비대면 접속이 불가능했다. 경찰은 “은행에 직접 가서 대면 상담을 요청하는 수밖에 없다”고 했다. “내일은 토요일인데요.” “그럼 월요일에 가세요.” “가해자가 그 사이 몇 억원씩 돈을 더 대출하면 어쩌나요?” “지금은 경찰도 할 수 있는 게 없어요.”
그는 결국 돈을 못 찾았다. 나중에 보니 자신 명의로 개설된 대포용 알뜰폰 계정도 여러 개였다. 그런데도 카드사·통신사는 “범인이 쓴 돈은 A씨가 내야 한다”고만 했다.
A는 말했다. “제가 실수했죠. 그치만 IT 강국이라면, 요즘 범람하는 사기 메시지는 걸러주는 통신사, 비대면 계좌 열 때 신분증이 사본인지 아닌지 감지하는 은행, 범죄자가 스마트 대출 시도할 때 최소 바이오 인증은 거치는 카드사, 원스톱 신고를 돕는 경찰은 기본 아닙니까. 기술이 그리 발달했다면서 기업들은 뭐 합니까? 다들 ‘스미싱 당하면 보안이 좀 더 센 아이폰으로 바꾼다’는데, 안드로이드 이용자도 악성 앱이 차단되는 휴대전화를 맘 편히 쓸 수 있어야 하지 않나요? 저도 헤맸는데 어르신들은 오죽하겠습니까.”
A는 대화를 마치고 회사 근처 은행에 갔다. 입구엔 경찰청·금융감독원이 내건 ‘보이스피싱·스미싱 자수 특별 신고 기간’ 광고가 붙어있었다. ‘자수 신고’라니, ‘노답’이란 말은 이럴 때 쓰는가, 그는 생각했다.