[단독] 교묘해지는 보이스피싱…지웠는데 악성 앱 또 깔려

보이스피싱을 유도하는 악성 앱 차단 건수가 좀처럼 줄지 않고 있다. 차단 이후에도 새 악성 앱이 계속 배포되는 탓이다. 이런 가운데 피해자가 금융회사나 금융감독원 번호로 직접 전화를 걸어도 범죄 조직으로 연결되거나, 범죄 조직이 건 전화가 기관 번호처럼 표시되도록 휴대폰을 조작하는 이른바 ‘강수강발’(강제수신·강제발신) 수법도 여전히 기승을 부리는 것으로 나타났다.

3일 경찰청에 따르면 지난해 10월 전기통신금융사기 통합대응단 출범 이후 올해 3월까지 악성 앱 차단은 월평균 4613건으로 집계됐다. 출범 이전인 지난해 1~9월 월평균 5777건보다는 줄었지만 여전히 높은 수준이다. 지난해 연간 차단 건수는 7만146건, 올해 1분기 차단 건수는 9527건이었다.

이 같은 현상 뒤에 강수강발 수법을 활용한 피싱 피해가 여전하다는 분석이 나온다. 서울동부지방법원이 지난 17일 라오스 현지 보이스피싱 조직에 가담한 한국인 조직원에게 선고한 판결문에 따르면, 이 범죄 조직은 2022년 8월 카카오뱅크 직원을 사칭해 피해자들에게 본인인증 앱으로 위장한 강수강발 프로그램 설치 링크를 보냈다. 이후 피해자들에게 대출 상환 등을 요구하며 5명에게서 1억7600만원을 뜯어냈다.

전문가들은 강수강발 악성 프로그램이 공식 채널이 아니라 외부 경로로 앱을 설치하는 이른바 ‘사이드로딩’ 방식으로 유포된다는 점을 문제로 지적한다. 사이드로딩은 공식 앱 마켓이 아니라 제3의 경로로 앱을 설치하는 방식이다. 악성 앱이 계속 새로 만들어져 배포되다 보니 차단만으로는 대응에 한계가 있다는 것이다.

사이드로딩 자체를 전면적으로 막는 문제는 오픈소스 생태계를 내세우는 일부 빅테크 정책과 연결돼 있어 해결이 쉽지 않다는 분석도 나온다.

최영총/류병화 기자 youngchoi@hankyung.com