체험단 리뷰를 가장한 신규 보이스 피싱 [M 마켓]

 

2024년 3월 15일, 지난주 금요일 오전 10시 개인 폰으로 한 통의 전화가 걸려왔다.

모르는 번호는 원래 안 받지만 요즘 개인적인 일도 많고, 업무적으로도 통화가 필요해 전화가 상당히 많이 걸려오는 탓에 일단은 받았다. 

 

 

전화를 받아보니 안녕하시냐면서 내 안부를 묻는다. 누구냐 물어보니 쿠* 파트너스 체험단에 당첨되었다면서 혹시 시간이 잠깐 되면 리뷰 작성 이벤트에 참여해 줄 수 있냐고, 참여하면 올**영, 배달의 **, 이마* 상품권을 준다면서 참여 의사를 물어봤다.  혹시 어디서 보고 전화하셨냐 물어보니 개인정보 처리방침에 동의해서 전화했다고 한다.

 

아, 요즘 부업 한다고 이것저것 설문조사 하고 그래서 그런가? 근데 보안업무를 주업으로 하다 보니 [개인정보 처리 방침 및 동의]와 [개인정보 제 3자 제공 동의]는 해봤자 좋을 게 없어 단 한 건도 체크한 적이 없다.

 

근데도 이런 전화가? 중간에 실수로 동의한게 있었나..?

 

일단은 참여하겠다 하니 상담원은 어떤 리뷰이벤트인지 간략하게 설명하기 시작했다.

 

아~ 저희는 신규로 만들어진 쇼핑몰인데요, 신규 쇼핑몰이다 보니 리뷰가 필요해서 작성해주시면 소정의 상품권을 드리고 있습니다. 혹시 참여 가능하시나요? 가능하다면 카카오톡으로 ID 검색해서 상담원 친구 추가해주시구요, 곧 상담원이 카톡으로 연락을..(이하생략)

 

이런 안내를 한다. 근데 진짜 이상한 게 말을 하면 할수록 발음이 중국교포의 발음이 들리는 것..! 특히 영어단어 말할때 좀 이상해서 이게 쿠팡 리뷰가 맞냐 물어보니 맞단다.

 

아 ㅋㅋ 그럴수 있지. 쿠팡 상담원으로 교포직원이 일할 수도 있는 거잖아. 요즘 인력부족이라던데 편견을 갖지 말자!

 

근데 체험단 모집 중이라고는 하는데 이런걸 전화로 하지 카톡으로 ID까지 추가하라고? 그리고 상담원 연결을 위해 이름이 뭐냐고 묻는다. 이름?? 개인정보 처리방침에 동의했으면 이름이랑 볼 수 있을 텐데.. 많이 이상해서 가명을 말해주며 약 4분간의 통화를 끝냈다.

 

 

 

잠시 후 카톡으로 친구 추가한  상담원에게 카톡이 왔다.

 

 

자기들 쇼핑몰에 가입 후 알려주면 리뷰 작성 후 상품권을 주겠다는 내용이었다. 보내준 링크로 들어가 보니 https로 만들어진 쇼핑몰이 나오긴 한다. 들어가자마자 나오는 'LG 공식 거래 판매점', '삼성 인증 판매점', 'APPLE 대리 판매점'안내와 마크들.. 그리고, 묘하게 어디선가 가져온 듯한 이미지 사진들, 픽셀이 박살나 깨져있는 이벤트 안내 배너, 수상쩍게 어설픈듯한 홈페이지 퀄리티를 보니 수상한 느낌이 물씬 났다.

 

홈페이지를 잠깐 둘러보니, 상품들이 전부 고가 상품들이다. 기본 50만 원 이상가전 제품과 100만 원 짜리 고가의 캠핑용품 카테고리(듀랑*)들만 있는 게 눈에 들어왔다. 신기한테 마치 지금 막 사이트를 오픈한것 처럼 상품은 많은데 리뷰가 단 한건도 없었다. 그리고 사이트 하단의 있는 정보를 보니 무슨 인증이란 인증은 다 받았다. 심지어 신규 쇼핑몰이고, 사업 등록을 2020년에 했는데 ISMS 인증도 받았다는 마크가 있다. 

 

아니 보안하는 사람의 시각으로 보자면 이건 너무 말이 안 되지ㅋㅋㅋ 무슨 4년 됐는데 ISMS 인증까지 받고 신규 쇼핑몰이라고 리뷰를 작성해달래 ㅋㅋㅋㅋ 이 정도면 사이트를 나름 공들여서 만들었구나 생각이 들었다. 그리고 그 아래에 사업자 등록 번호도 있어서 조회해보니 무려 3월 초에 폐업한 사업장으로 조회된다.

 

그래,, 처음부터 하나도 말이 안되네. 남의 사업자 번호를 베낀건지 뭔지는 모르겠지만, 사람들 낚으려고 거대한 함정을 만들었구나.. 노력이 가상하다 정말. 이제 홈페이지의 회원가입 메뉴에 들어가 보니 회원가입 약관 동의와 개인정보처리방침까지 만든 게 보인다. 아쉽게도 사이트 이름은 안넣고 그냥 '회사' 라고만 되어있는 정도. 그리고 실제 개인정보 입력 페이지에는 이름, 아이디, 비밀번호, 주소만 입력하게 되어있다.

 

 

이게 정말 위험하다 생각하는 게 요즘엔 하도 사이트가 많아서 사이트마다 동일한 아이디와 비밀번호를 사용하는 사람이 많다. 그러니까, 이 사이트에 자주 쓰는 아이디와 비밀번호를 입력하면 그 즉시 주로 사용하는 계정 정보가 이 '보이스 피싱범'들 한테 넘어가는 것이다. 여기까지 수법이 보이니 오히려 허술한 사이트를 좀 더 구경하고 싶다는 생각이 들었다. 그래서 아이디를 test로, 집주소는 서울 종로구 청와대로 1 로 입력해 회원가입을 했다. 

 

 

별다른 검증 없이 회원가입 성공.

 

 

이후 점심시간에 잠깐 홈페이지를 뒤적여 보니, 방문자 IP를 조회하는 사이트도 있고 댓글 입력 랭킹수, 다른 쇼핑몰 홈페이지 이미지와 사업자 정보 등이 있길래 역시 대충 다른 사이트를 베낀 가짜 쇼핑몰인걸 확인했다. 실제 공격을 하기엔 허가받지 않은 행위라서 그렇게는 못하고 진짜 가짜 계정으로 가입해서 사이트 구경만 하다 나왔다.

 

그리고 주말이 지나고 2일 뒤 아직 사이트를 운영하고 있나 다시 들어가 보니 그새 서버를 내렸나 보다.

 

 

 카카오톡 아이디는 아직 살아있던데..

 

이제는 보이스 피싱으로 쿠* 파트너스에 당첨됐다며 자연스럽게 사이트 회원가입을 유도하고, 개인정보와 계정정보를 입력하면 그걸 악용할 목적으로 사용하려는 것까지 정말 피싱방식이 다양해 졌다는 게 느껴졌다.

 

이제는 이벤트 당첨됐다는 전화조차 의심해야 하고, 사이트가 진짜인지 사업자 번호도 한 번씩은 조회해야 하고..

그리고 혹시 인터넷을 통해 자주 사용하는 아이디, 비밀번호가 유출될 가능성을 조심해서 사이트마다 비밀번호를 다르게 하거나, 검증된 사이트만 로그인하는 등 개개인이 보안을 위해서, 아니 사기 예방을 위해 노력해야 하는 시대가 도래한 걸 느꼈다. 

 

물론 그전에 이벤트 당첨이네 뭐네, 그리고 카카오톡 등 2차 연락을 유도하는 것 자체가 피싱이고 사기이므로 이런 식으로 유도하면 그냥 무시하는 게 답인것 같다.

 

 

조심해서 소중한 개인정보를 잘 지키자.