메신저가 일상이 된 지금, 보이스피싱의 무대도 빠르게 변하고 있다. 지인과의 대화처럼 보이는 짧은 메시지, 일상적인 이모티콘, 심지어 자연스러운 맞춤법까지 갖춘 접근이 사용자들의 의심을 누그러뜨린다. 범죄자는 우리가 익숙하다고 느끼는 디테일을 정교하게 모방하며 빈틈을 노린다.
“요즘은 링크를 누르게 하기보다, 차분히 상담하듯 대화하며 스스로 송금하게 만든다”는 말이 더는 과장이 아니다. 메신저의 신뢰를 겨냥한 위협은 조용히, 그러나 집요하게 확산되고 있다.
수법의 핵심: 지인 위장과 계정 탈취
범죄자들은 지인이나 가족을 사칭해 “잠깐만 확인해줄래?” 같은 자연스러운 문장으로 대화를 시작한다. 이들은 최근 대화 이력, 프로필 사진, 상태메시지 등 공개 정보로 일관성을 맞춘 뒤, 작은 부탁을 쌓아 신뢰를 강화한다.
일부는 메신저 계정을 탈취해 실제 지인의 대화방으로 접근한다. 이 경우 대화 맥락이 이어져 의심이 더 어려워진다. 상황에 따라 음성 통화로 확인하려는 사용자에게 짧은 통화를 시도하며, 배경 소음과 속도까지 조절해 의심을 무디게 만든다.
이렇게 진행된다: 단계별 전개
첫 단계는 ‘인사 → 짧은 부탁’이다. “휴대폰이 고장나서 인증번호가 내 번호로 가” 같은 메시지로 2단계 인증 코드를 노린다. 다음은 ‘소액 테스트 → 고액 확대’다. 문화상품권, 택시비, 급한 계좌이체 등 명목으로 소액을 요청한 뒤, 성공하면 금액을 늘린다.
링크 클릭을 최소화하고, 사용자가 직접 이체하도록 유도하는 게 최근 경향이다. 사용자가 조심스러워하면 “영상통화로 확인해줄까?”라며 품을 더 들인다. 이때 화질을 낮추거나 얼굴을 반쯤만 보이며 식별을 어렵게 만든다.
사용자 사례: “너무 자연스러워 의심을 못 했다”
직장인 A씨는 저녁 무렵 지인 계정으로 연락을 받았다. “회의 중이라 송금이 안 돼, 택시비 좀 대신 내줄래?”라는 말과 함께 이전 대화의 톤이 그대로였다. A씨는 “사진도 같고, 말투도 너무 익숙해서 방심했다”고 회상했다.
송금 직후, 상대는 “정말 고마워, 바로 갚을게”라며 안심시키는 메시지를 보냈다. A씨는 “그제야 통화 연결이 계속 피하는 게 수상해져 직접 전화를 했고, 그때서야 계정 탈취를 알았다”고 말했다. 짧은 시간에 두 번의 송금이 이뤄져, 피해는 눈덩이처럼 불어났다.
왜 속을까: 심리와 인터페이스의 빈틈
가장 강력한 건 ‘지인’이라는 라벨이다. 우리 뇌는 익숙한 프로필과 말투를 보면 경계심을 낮춘다. 여기에 메신저의 속도감, 읽음 표시, 빠른 회신 같은 인터페이스 요소가 ‘지금 처리해야 한다’는 압박을 만든다.
보안 전문가 김지훈은 “사기꾼은 우리의 배려심과 신뢰를 자원처럼 쓴다”며 “특히 늦은 저녁, 퇴근길처럼 주의력이 떨어지는 시간을 노린다”라고 경고한다.
플랫폼과 당국의 대응 흐름
플랫폼은 로그인 알림, 이중 인증, 낯선 기기 차단 등 보호 장치를 강화하고 있다. 다만 사용자가 설정을 미루거나 경고를 간과하면 효과는 제한적이다. 경찰과 유관 기관은 신고 채널을 통해 신속한 대응을 강조하지만, 사후 복구는 여전히 쉽지 않다.
한 관계자는 “예방은 습관, 대응은 속도”라며 “의심이 들면 즉시 앱 내 신고와 차단을 병행하라”고 당부했다.
지금 바로 할 수 있는 자가 점검
- 새 기기 로그인 알림을 활성화하고, 2단계 인증을 강력한 암호앱 기반으로 설정한다.
- 지인이 돈을 요청하면 반드시 음성 또는 영상으로 재확인하고, 통화 품질을 의도적으로 높여 식별성을 확보한다.
- 인증번호·QR·원격제어 앱 설치 요청은 무조건 거절, 회사 IT라도 절차를 확인한다.
- 대화 중 급박함·감사 과다 표현·반복 독촉 등 ‘사회공학’ 신호가 보이면 대화를 중단한다.
- 메신저만으로 거래하지 말고, 계좌 명의와 메모를 남기는 등 외부 기록을 병행한다.
- 가족·팀과 ‘송금 전 5분 룰’ 같은 공동 원칙을 만들어 습관화한다.
위기 시 행동: 30분 골든타임
이미 송금했다면 즉시 은행 고객센터로 지급정지 요청을 넣어라. 이어서 메신저 계정의 비밀번호를 변경하고, 모든 세션을 로그아웃한다. 지인들에게 계정 침해 사실을 알려 2차 피해를 막고, 관련 대화와 거래 기록을 캡처해 신고에 활용하라.
보안 앱에서 악성 앱 탐지를 실행하고, 원격제어 앱이 있다면 즉시 삭제한다. 필요시 단말기를 공장 초기화하고, 주요 서비스의 암호를 전면 재발급받는다.
업무 현장도 안전지대가 아니다
사칭은 개인을 넘어 팀장·회계 담당자, 외주 업체까지 겨냥한다. 결재 승인 문구, 프로젝트 용어, 파일명 관성까지 흉내 내며 송금을 유도한다. 특히 ‘지금 마감이라 급해’ 같은 상황 압박은 조직에서 더 잘 먹힌다.
기업은 결재 전 2채널 확인(메신저+사내전화), 가상계좌 화이트리스트, 야간 송금 쿨링오프 등 절차적 방어를 제도화해야 한다. 작은 불편이 큰 손실을 막는 가장 현실적 방법이다.
달라지는 공격, 달라져야 할 습관
공격자는 더 적게 요청하고, 더 오래 대화하며, 더 교묘히 맞춤화한다. 우리에겐 작은 의심, 짧은 확인, 느린 송금이 최고의 방패다. “지인이면 더 잘 확인한다”는 역발상이 새로운 표준이 되어야 한다.
전문가 김지훈은 말한다. “보안은 기술 절반, 습관 절반입니다. 일상 대화 속에 규칙을 심어두면, 사기는 우리를 건너뛴다.” 오늘 단 10분, 설정을 점검하고 가족·동료와 규칙을 합의하라. 그 작은 루틴이 내일의 피해를 바꾼다.
