"4억원에 가까운 돈이 29차례에 걸쳐 계좌에서 빠져나갔는데 일절 연락을 받지 못했습니다. 저와 같은 억울한 피해자가 더는 발생해서는 안 됩니다."
A씨는 지난 26일 연합뉴스에 자산이 당한 스미싱 사건을 제보하면서 이렇게 하소연했다.
연합뉴스에 따르면 그는 지난 22일 택배 수신 주소가 잘못돼 정정을 요구하는 휴대전화 문자 메시지를 보고 인터넷주소(URL) 링크를 눌렀을 뿐인데 이틀 뒤 거액을 손해 보는 일을 당했다고 분통을 터뜨렸다.
27일 경찰 등에 따르면 이번 사건은 누군가 A씨에게 휴대전화 문자메시지를 보내 개인정보를 해킹해 계좌에서 돈을 빼내는 스미싱 사건으로 추정된다.
A씨는 지난 24일 오후 4시 17분 누군가 3억원이 넘는 자신의 정기예금을 해지하고 보통예금으로 입금한 뒤 약 8시간 30분 동안 29차례에 걸쳐 다른 사람에게 계좌이체로 돈을 빼돌렸다고 밝혔다.
문제는 거액의 돈이 수십 차례에 걸쳐 계좌이체 되는 동안 금융기관도 몰랐다는 것이다.
A씨는 자신이 거래하는 은행으로부터 사건 발생 다음 날 오전 9시께 비정상적으로 계좌이체가 되고 있다고 전화로 통보받고 경찰에 신고했다.
A씨의 휴대전화는 스미싱으로 이미 '먹통'이 된 상태여서 A씨는 은행에서 알려주기 전까지 피해조차 알 수 없었다.
범인이 금융 보안장치인 일회용 비밀번호 생성기(OTP)를 어떻게 확보할 수 있었느냐도 이번 사건에서 경찰이 확인해야 할 핵심적인 사항이다.
A씨는 "실물 OTP를 내가 보관하고 있는데 어떻게 나도 모르게 모바일뱅킹으로 계좌이체가 가능했는지 잘 모르겠다"고 의문을 제기했다.
경찰은 금융권에서 발행하는 모바일 OTP의 도용 가능성에 무게를 두고 수사에 착수했다.
A씨가 가지고 있는 실물 OPT는 당사자가 신분증을 가지고 직접 은행 창구에 가서 대면으로 발급된다.
하지만 휴대전화로 발급과 재발급을 받을 수 있는 모바일 OPT는 사정이 다르다.
신분증과 개인정보를 갖고 있으면 비대면으로 모바일 OPT를 발급받을 수 있다는 것이다.
새로운 OTP가 재발급되면서 A씨가 가지고 있던 기존 OTP가 소유자의 의사와 관계없이 무력화됐다는 피해자의 주장도 경찰이 확인해야 할 사항이다.
경찰은 모바일 OPT 발급의 허점을 범인이 노렸을 가능성에 대해서 수사를 벌일 예정이다.
경찰 관계자는 "금융기관이 온오프라인에서 계좌 주인과 동일 인물이라는 것을 확인하고 발급해야 하는데 이번 사건은 온라인으로 금융기관에서 OPT 재발급을 받아 계좌이체에 사용했을 가능성이 있다"고 밝혔다.
이 관계자는 "보통 계좌에서 이체가 되면 휴대전화 문자메시지로 소유주에게 알려주는데 이번 사건은 누군가 A씨의 휴대전화를 먹통으로 만든 뒤 계좌에서 돈을 빼낸 것으로 보인다"며 "비대면으로 이뤄지는 모바일 OPT 발급 여부 등 계좌 이체 과정 전반을 살펴볼 예정"이라고 덧붙였다.