보이스피싱 범죄 조직이 발신 번호를 계속 바꿔가며 전화 돌리는 수법

보이스피싱 발신 번호 변조 수법의 기술적 메커니즘 분석

현대 보이스피싱 범죄의 핵심은 발신자 번호를 신뢰할 수 있는 기관(은행, 검찰, 경찰, 통신사 등)으로 위장하는 데 있습니다. 이는 단순한 기술이 아닌, 국제 통신망의 프로토콜 취약점과 불법 개조된 통신 장비를 악용한 체계적인 공격입니다. 기존의 고정된 번호로 지속적인 공격을 가할 경우 빠른 차단이 가능하므로, 범죄 조직은 실시간으로 발신 번호를 변경하며 대응합니다. 이는 피해자의 경계심을 낮추고, 차단 시스템을 무력화시키는 핵심 전략으로 작동합니다.

발신 번호 변조의 주요 기술 수단

발신 번호 변조는 크게 두 가지 경로를 통해 이루어집니다. 첫째는 불법 VoIP(Voice over Internet Protocol) 게이트웨이를 이용한 방식이며, 둘째는 불법 개조된 셀룰러 기지국(일명 ‘이동통신기지국 사기장치’ 또는 IMSI Catcher의 변종)을 활용한 방식입니다. 두 방식 모두 정상적인 통신사 인프라를 우회하거나 모방하여, 네트워크 상에서 발신 번호 정보를 자유자재로 조작할 수 있게 합니다.

VoIP 기반 번호 스푸핑 상세 분석

이 방식은 SIP(Session Initiation Protocol) 트렁크를 불법으로 개방받거나 해킹하여 운영됩니다. 범죄 조직은 인터넷을 통해 발신 명령을 내리면, 이 불법 VoIP 게이트웨이가 공공 전화망(PSTN)에 접속하여 사전에 프로그래밍된 임의의 발신 번호 정보를 네트워크에 전달합니다. 통신사의 차단 시스템이 특정 번호의 이상 발신 패턴(예: 단시간 내 수백 건 발신)을 감지하여 차단하더라도, 범죄 조직은 즉시 데이터베이스에 준비된 다른 번호 풀에서 새로운 가짜 번호를 할당받아 공격을 지속합니다. 이 경우의 보안 등급은 통신사 네트워크의 외부 접점 관리 취약성으로 인해 C등급에 해당합니다.

발신 번호 변조 공격의 진행 단계별 패턴

보이스피싱 공격은 무작위적인 것이 아닌, 심리적 취약점을 공략하는 잘 정립된 프로세스를 따릅니다. 번호 변조는 이 프로세스의 신뢰성 구축 단계에서 결정적인 역할을 합니다.

1단계: 신뢰 기반 구축 (Trust Fabrication)

첫 통화에서는 지역 경찰서나 금융감독원 등 공공기관 번호로 위장하여 ‘개인정보 유출 사고’나 ‘불법 거래 적발’과 같은 위기 상황을 공고히 합니다. 이때 사용된 번호는 1-2시간 후 차단될 수 있으므로, 다음 단계를 위한 ‘연락처’로 검찰청 총무과나 은행 본점 안전센터 등의 다른 변조 번호를 제공합니다, 이는 피해자가 직접 114 등록 번호를 확인하더라도 일치함으로써 신뢰를 강화하는 전략입니다.

2단계: 채널 이전 및 고립 (Channel Migration & Isolation)

두 번째, 세 번째 통화는 피해자가 이전 통화에서 받은 ‘연락처’로 걸려옵니다. 이 단계에서 범죄 조직은 카카오톡, 텔레그램 등 암호화된 메신저로 대화 채널을 옮길 것을 지시합니다. 이는 통화 내용 기록을 남기지 않고, 동시에 피해자를 주변인의 조언으로부터 고립시키는 목적이 있습니다. 채널 이전 후에도 지속적인 전화 압박은 변조된 번호를 통해 이루어지며. 각 통화는 서로 다른 번호로부터 발신되어 피해자의 의심을 흐립니다.

3단계: 실행 및 현금화 (Execution & Monetization)

최종적으로 자금 이체를 요구하는 단계에서는 피해자의 스마트폰에 원격 제어 앱을 설치하거나, 가짜 금융앱/웹사이트(피싱 사이트)로 유도합니다. 이 과정에서도 ‘은행 직원’이나 ‘검찰 수사관’을 사칭한 최종 확인 전화는 다시 새로운 변조 번호를 통해 이루어집니다. 이는 마지막 순간까지 상황의 리얼리티를 유지하고. 피해자의 최종적 저항을 무력화하기 위함입니다.

기술적 대응 메커니즘 및 한계점

통신사와 금융당국은 다양한 기술적, 제도적 대응을 시도하고 있으나, 범죄 조직의 진화 속도를 완전히 따라잡기에는 한계가 있습니다. 대응 시스템의 효율성은 실시간 탐지율과 차단 속도에 의해 결정됩니다.

위 표에서 알 수 있듯, 단일 기술로는 진화하는 번호 변조 공격을 막기 어렵습니다. 가장 유망한 기술은 발신 번호의 진위를 통신망 단에서 검증하는 STIR/SHAKEN 프로토콜이지만, 이의 전 세계적 표준화와 적용에는 상당한 시간이 소요될 것으로 분석됩니다.

개인 및 기관을 위한 실전 방어 체크리스트

기술적 대응의 한계를 고려할 때, 최종 사용자 차원의 사고 예방 체계 구축이 가장 실효성 높은 방어 수단입니다. 다음 체크리스트는 조직의 정보보호 관리체계(ISMS) 관점에서 개인에게 적용 가능한 항목을 재구성한 것입니다.

수동적 방어 (Passive Defense): 차단 및 필터링

• 스마트폰 기본 제공 ‘알 수 없는 번호 차단’ 기능 활성화. 이는 일차적인 무작위 공격을 80% 이상 감소시킬 수 있습니다.
• 통신사 제공 스팸/보이스피싱 차단 서비스 가입 (예: SKT ‘스팸알’, KT ‘스팸차단’, LGU+ ‘스마트 콜 가드’). 통신사 차단 데이터베이스는 실시간 업데이트되며, AI 기반 차단은 평균 24시간 내 신규 변조 번호를 추가합니다.
• 공공기관, 은행 등 주요 기관의 공식 고객센터 번호를 주소록에 저장. 발신 번호가 저장된 번호와 일치하더라도, 걸려온 전화에서 중요한 요구를 받을 경우 직접 걸어서 확인하는 습관을 가집니다.

능동적 방어 (Active Defense): 확인 및 대응 프로토콜

• 전화로 본인인증을 요구하거나, 개인정보(주민번호, 계좌번호, 카드 비밀번호 앞/뒤 자리)를 확인하려는 경우 100% 사기로 간주하고 즉시 통화를 종료합니다. 정상적인 기관은 전화로 이러한 정보를 요구하지 않습니다.
• ‘통화 내용이 녹음되고 있습니다’라는 안내멘트가 재생된 후 공공기관을 사칭하는 전화는 대표적인 수법입니다. 공공기관의 사전 녹음된 안내는 개인정보 유출 안내 등 일반적 내용에 한합니다.
• 금전 이체와 관련된 모든 최종 지시는 반드시 가족, 동료 등 제3자에게 상의합니다. 범죄 조직은 피해자를 고립시키려 하므로. 이 단계가 가장 효과적인 방어책이 될 수 있습니다.

사고 발생 시 피해 최소화를 위한 행동 매뉴얼

의심스러운 통화를 받았거나, 이미 개인정보를 일부 제공했을 가능성이 있다면, 즉시 다음 프로토콜을 실행해야 합니다. 이는 금융 사고 발생 시 보상 한도를 높이고, 추가 피해를 차단하는 데 필수적입니다.

즉시 실행 단계 (골든타임 1시간 이내)

첫째, 더 이상의 통화나 메시지에 응답하지 않고 모든 연락을 차단합니다. 둘째, 즉시 관할 경찰서(112) 또는 금융감독원 보이스피싱 신고센터(1332)에 신고합니다. 이때 통화 기록, 메신저 대화내용, 가짜 웹사이트 주소 등 모든 증거를 확보하여 제출합니다. 셋째, 노출되었을 가능성이 있는 모든 금융 계좌(은행, 증권, 카드)에 대해 즉시 전화를 걸어 ‘거래 정지’ 또는 ‘일시 정지’를 요청합니다. 이 조치는 추가 자금 이체를 물리적으로 막습니다.

후속 조치 단계 (사고 후 24시간 이내)

은행 방문을 통해 해당 계좌의 비밀번호를 변경하고, 불법 이체 신고 절차를 진행합니다, 금융사는 피해자가 신고한 시점, 계좌 정지 요청 시점 등을 기준으로 보상 책임을 판단합니다. 스마트폰에 원격 제어 앱이 설치되었다고 의심되면, 즉시 기기를 초기화(공장 초기화)하고, 중요한 모든 온라인 계정(이메일, SNS, 금융앱)의 비밀번호를 변경합니다.

최종 경고 및 리스크 관리 요약: 보이스피싱 번호 변조 공격의 근본적 취약점은 기술이 아닌 인간의 심리적 취약점에 기반합니다. 따라서 가장 강력한 보안 조치는 ‘확인’ 프로토콜의 엄격한 실행입니다. 모든 금전 및 개인정보 관련 요구는 발신 측의 주장이 아닌, 공식 채널(공식 홈페이지에 게시된 번호, 114 조회 번호)을 통해 직접 재확인해야 합니다. 이 단일 행동만으로도 피해 가능성은 95% 이상 감소합니다. 기술적 방어는 보조 수단일 뿐이며, 최종 결정에서의 인간적 판단이 최고의 보안 장치임을 인식해야 합니다.