교묘한 수법의 피싱 범죄가 늘어나는 가운데 교통카드 은행계좌가 속수무책으로 뚫려 거액의 피해가 발생했다.

이번 사건은 피해자에게 카카오톡 등 메신저로 가족인 척 접근한 후 개인정보와 은행계좌를 알아내 돈을 빼가는 '메신저 피싱'에서 더 진화한 형태로, 돈을 빼낼 때 교통카드를 매개로 인출한도와 관계 없이 계좌 잔액을 모두 훔쳐가는 새로운 피싱 수법을 사용했다.

예를 들어 은행계좌의 하루 인출한도가 1천만원이어도, 교통카드를 충전하는 방식으로 돈을 빼낼 경우 연결 계좌의 돈이 모두 소진될 때까지 인출이 가능한 시스템의 허점을 노린 것이다.

경기도 고양시에 거주하는 피해자 A씨(68)는 지난 5일 오후 2시16분께 "오늘 쿠폰 환불받아야 하는데 폰 때문에 내 것으로 인증이 안돼서 아빠 폰으로 연결해도 돼?"라는 카카오톡 메시지를 받았다.

당연히 아들이라고 믿은 A씨는 프로그램 설치 등 메신저로 요청하는 과정을 모두 따랐고, 결국 계좌번호와 개인정보를 모두 털렸다.

피싱범은 이후 같은 날 오후 2시45분부터 4시36분까지 2시간 동안 교통카드 충전 앱 댐댐을 이용해 거의 40초~1분 단위로 10만~30만원 가량의 돈을 충전하는 방식을 사용해 130여회에 걸쳐 3천만원을 인출했다.

피싱범이 인출한 A씨의 은행계좌는 국내 대형은행의 수시 입출금 계좌로 하루 인출 한도가 1천만원으로 제한되어있다. 하지만 교통카드를 충전하는 방식을 사용하자 돈을 뺄 때 아무런 제지가 일어나지 않았다.

피싱범은 여기에 그치지 않고 A씨의 7천300여만원 정기예금을 모두 해지한 후 입출금 계좌로 옮겨 다시 티머니, 댐댐 등을 이용해 300여차례에 걸쳐 3천600만원을 인출했다. 또 같은 수법으로 다음 날 600만원을 추가로 빼갔다.

A씨의 아들 B씨가 뒤늦게 상황 파악을 하고 계좌를 정지시켰지만 피해액은 이미 7천300만원으로 불어나 있었다.

B씨는 경찰에 신고했고, 티머니 등에 연락해 교통카드가 은행계좌의 인출 한도와 상관없이 모든 돈을 빼갈 수 있게 되어있어 피싱 범죄에 악용되고 있다며 항의했다.

조사 결과 피싱범은 티머니페이에 충전한 금액을 티머니 플레이트 카드로 옮겼다가 다시 댐댐 앱의 플레이트 카드로 이동시켜 상품권을 구입했다. 피싱범은 이런 '세탁과정'을 거쳐 상품권을 다시 현금화했을 것으로 추정된다.

B씨는 27일 "교통카드로 수백회에 걸쳐 수천만원이 빠져나가는데 아무런 보안장치가 돼 있지 않았다는 게 문제다. 피싱 범죄가 기승을 부리는 상황에서 이런 경우 당연히 거래를 차단하는 조치가 있어야 하는 거 아닌가"라고 지적했다.

그는 "피싱범이 관련 기관들의 행정적인 대응이 어려운 주말을 노린 점도 매우 지능적"이라고 지적했다.

티머니 관계자는 "처음 듣는 피해 사례이고 피해자에게 사과드린다"면서도 "해킹이라든지 내부 시스템상의 문제는 없었으며 정상적인 거래가 이뤄졌기 때문에 피해보상은 어렵다. 다만 이후 유사 피해가 발생하지 않도록 하루 충전 횟수와 금액 등을 조정하는 방안을 검토하겠다"고 말했다.

티머니 다른 관계자는 "경찰이 영장을 청구해 수사 협조를 요청한다면 피싱범 검거에 적극 협조하겠다"고 밝혔다.

경찰도 "사안이 시간을 다투는 사건이어서 빠른 시간 안에 수사에 나서도록 하겠다"고 밝혔다.


ㅇ
김주미 키즈맘 기자 mikim@kizmom.com