디지털생활연구소디지털생활연구소

2026-07-18 · 곽태원 (수석연구원)

온라인 사기 예방법, 피싱 피해 1조 시대에 개인이 반드시 지켜야 할 확인 절차와 생활 수칙 5가지 총정리

#디지털생활#온라인사기예방#보이스피싱#스미싱#기관사칭형#디지털안전#사이버범죄신고#ecrm#개인정보보호

온라인 사기, 조심하는데도 왜 계속 당하는 걸까요?

핵심은 요즘 온라인 사기가 부주의한 사람을 노리는 게 아니라 정상적인 절차처럼 보이도록 설계돼 있다는 점입니다. 경찰청 집계로 2025년 1~10월 피싱 피해액은 1조566억 원을 기록해 연간 기준 처음으로 1조 원을 넘었고, 그중 77%인 8,186억 원이 검찰·경찰·금융감독원 같은 기관을 사칭한 유형이었습니다. 건당 평균 피해액은 2021년 2,498만 원에서 2025년 5,290만 원으로 두 배 넘게 뛰었습니다. 발생 건수는 오히려 줄었는데 한 번 걸렸을 때 잃는 금액이 커진 겁니다. 그래서 예방의 출발점은 의심하는 태도가 아니라, 어떤 연락이 와도 통화를 끊고 내가 아는 번호로 다시 확인하는 단 하나의 습관을 고정하는 데 있습니다.

목차

"택배가 반송됐습니다" 문자를 받은 어느 저녁

저희 연구소가 수집한 생활 사례 중 오래 기억에 남은 건 40대 직장인의 경험이었습니다. 퇴근길 지하철에서 "주소 불일치로 택배가 반송 처리되었습니다"라는 문자를 받았다고 합니다. 그날 실제로 주문한 물건이 있었고, 문자에 적힌 배송사 이름도 낯설지 않았습니다. 링크를 누르자 익숙한 배송 조회 화면이 떴고, 수령지를 다시 입력하라는 안내가 나왔습니다. 이름과 휴대전화번호를 넣는 순간까지도 이상하다는 느낌은 없었다고 했습니다.

문제가 드러난 건 다음 날이었습니다. 지인들에게서 "돈 빌려달라는 메시지 보냈냐"는 연락이 오기 시작했습니다. 링크를 누른 시점에 악성 앱이 설치돼 연락처와 문자 수신 권한이 넘어간 상태였습니다. 이분이 특별히 방심한 편도 아니었습니다. 오히려 평소 보이스피싱 뉴스를 챙겨 보던 쪽이었죠. 다만 그날은 실제로 택배를 기다리던 저녁이었을 뿐입니다.

또 다른 사례는 60대 이용자였습니다. 자신을 서울중앙지검 수사관이라고 밝힌 사람이 "명의가 대포통장에 도용됐다"며 전화를 걸어왔습니다. 통화 중에 공문 이미지를 카카오톡으로 보내왔고, 검찰청 대표번호로 직접 걸어보라고까지 했다고 합니다. 실제로 걸었는데 같은 사람이 받았습니다. 악성 앱이 발신을 가로채는 방식이었습니다. 여기서 알수 있는 건 하나입니다. 사기범은 이용자가 확인하려 들 것을 이미 계산에 넣고 있습니다. 확인 절차마저 시나리오 안에 들어와 있는 겁니다.

숫자로 본 온라인 사기의 규모와 무게 변화

한국형사·법무정책연구원이 실시한 전국범죄피해조사 2024를 보면 온라인 범죄가 일상 범죄피해의 중심으로 이동했다는 사실이 분명해집니다. 인구 10만 명당 개인 대상 범죄피해는 2016년 3,556건에서 7,631건으로 약 2.1배 늘었는데, 이 중 온라인 범죄피해가 6,794건을 차지했습니다. 유형별로 나누면 다음과 같습니다.

유형10만 명당 건수비중신고율
온라인 사기4,491건66.1%27.2%
개인정보 유출·네트워크 피해1,199건17.6%4.5%
온라인 폭력범죄1,103건16.2%7.3%

같은 조사에서 온라인 사기의 평균 피해액은 251만 6,000원이었습니다. 한 사람의 한 달 생활비에 육박하는 금액입니다.

피싱 쪽 숫자는 방향이 조금 다릅니다. 경찰청 자료를 정리하면 건수는 줄고 금액은 커지는 흐름이 뚜렷합니다.

항목2021년2025년
발생 건수3만 982건1만 9,972건
건당 평균 피해액2,498만 원5,290만 원

건수가 35% 넘게 줄어드는 동안 건당 피해액은 두 배 이상 올랐습니다. 무차별 대량 발송에서 한 사람을 오래 붙잡아 크게 뜯어내는 방식으로 옮겨갔다는 뜻입니다. 소액 사기가 사라졌다는 얘기가 아니라, 한 번 걸렸을 때의 타격이 훨씬 무거워졌다고 읽는 편이 정확합니다.

기관을 사칭하는 방식이 주력이 된 이유

2025년 1~10월 피싱 피해액 1조566억 원을 유형별로 보면 기관사칭형이 8,186억 원, 대출사기형이 2,380억 원이었습니다. 기관사칭형 비중이 77%에 이릅니다. 2016년 기관사칭형 피해액이 541억 원이었으니 10년 사이 15배 넘게 불어난 셈입니다. 건수로 봐도 2016년 3,384건에서 2025년 1만 3,323건으로 약 4배가 됐습니다.

왜 하필 기관 사칭일까요. 대출을 권하는 전화는 이용자가 거절할 명분이 있습니다. 필요 없다고 하면 끝입니다. 그런데 수사기관을 사칭하면 상황이 뒤집힙니다. 거절이 곧 비협조가 되고, 이용자는 자신이 혐의를 벗어야 하는 위치에 놓입니다. 여기에 "수사 기밀이니 가족에게도 말하지 마라"는 조건이 붙으면 주변에 물어볼 통로까지 차단됩니다. 실제 사례를 보면 며칠에 걸쳐 하루 여러 차례 통화가 이어지고, 그동안 피해자는 사실상 격리된 상태로 지냅니다.

지역별로도 집중이 나타났습니다. 서울은 1,604건에서 4,028건으로, 경기남부는 846건에서 2,364건으로 늘어 수도권에서 2.5배 이상 증가했습니다. 피해자 연령대에서는 50대 이상 비중이 2023년 32%, 2024년 47%를 거쳐 53%까지 올랐습니다. 다만 이 수치를 "고령층이 잘 속는다"로 읽으면 곤란합니다. 기관사칭형은 예금·퇴직금처럼 목돈을 보유한 층에서 회수액이 크기 때문에 표적이 그쪽으로 몰린 결과에 가깝습니다. 20~30대는 중고 직거래 사기나 투자 리딩방 쪽에서 더 자주 걸립니다. 2024년 사이버 사기 발생은 10만 539건이었고, 그중 사이버 투자 사기가 1만 2,851건, 연예인 등을 빙자한 사기가 2,253건으로 새로 규모를 키웠습니다.

피해자 4명 중 3명은 신고하지 않습니다

가장 눈여겨봐야 할 숫자는 신고율일지도 모릅니다. 온라인 사기 신고율은 27.2%, 개인정보 유출 피해는 4.5%에 그쳤습니다. 신고하지 않은 이유로는 피해 금액이 적어서, 절차가 번거로워서라는 응답이 앞자리를 차지했습니다.

신고하지 않는 선택은 개인 차원에서는 합리적으로 보일수 있습니다. 3만 원짜리 중고 거래 사기를 당했는데 진술서를 쓰고 경찰서에 가는 시간이 더 아깝다고 느끼는 건 자연스럽습니다. 문제는 그 판단이 모이면 사기 조직 입장에서 소액 반복 범행이 거의 무위험 사업이 된다는 데 있습니다. 같은 계좌와 같은 번호가 계속 쓰이는데 신고가 없으니 차단 근거도 쌓이지 않습니다. 온라인 사기 검거율이 29.9%, 개인정보 유출 피해 검거율이 6.3%에 머무는 배경에도 이 신고 공백이 있습니다.

여기에 심리적 요인도 겹칩니다. 사기를 당했다는 사실 자체가 스스로 어리석었다는 증거처럼 느껴져 가족에게조차 말하지 못하는 경우가 적지 않습니다. 저희가 만난 사례 중에는 투자 리딩방에서 수천만 원을 잃고도 반년 넘게 아무에게도 알리지 않은 30대도 있었습니다. 기관사칭형처럼 "가족에게 말하지 말라"는 지시가 포함된 유형은 피해 이후에도 침묵이 이어지기 쉽습니다. 신고를 미루는 동안 자금은 여러 계좌를 거쳐 빠져나가고, 회수 가능성은 시간에 비례해 떨어집니다.

신고 자체가 부담스럽다면 경찰청 사이버범죄 신고시스템(ECRM)에서 온라인으로 접수할 수 있습니다. 방문 없이 진행되고, 피해 금액이 작아도 접수 대상입니다. 같은 계좌번호로 신고가 여러 건 모이면 그때부터 계좌 지급정지와 추적이 훨씬 빨라집니다. 내 3만 원은 못 돌려받더라도 다음 사람의 300만 원을 막는 데 쓰이는 데이터가 됩니다.

대응 체계는 어디까지 왔나요

2025년 9월 출범한 경찰청 보이스피싱 통합대응단의 초기 성과는 참고할 만합니다. 출범 후 6개월간 발생 건수는 6,687건으로 전년 동기 9,777건 대비 31.6% 줄었고, 피해액은 5,258억 원에서 3,870억 원으로 26.4% 감소했습니다. 2026년 2월에는 전년 동월 대비 64.5%까지 떨어졌습니다.

무엇이 달라졌는지 보면 방향이 보입니다. 의심 전화번호를 차단하는 데 걸리던 시간이 1~2일에서 10분 이내로 줄었고, 누적 4만 1,387개 번호가 차단됐습니다. 번호를 새로 구하는 비용만 범죄 조직에 약 150억 원의 부담을 지운 것으로 추산됩니다. 신고 응대율은 69.5%에서 98.2%로 올랐고, 신고 창구는 대표번호 1394로 통합됐습니다. 악성 앱 감염자 2만 4,706명을 찾아내 개별 대응한 것도 성과로 꼽힙니다.

여기서 이용자가 기억할 실용적인 정보는 두 가지입니다. 하나는 1394라는 번호입니다. 의심스러운 전화를 받았거나 이미 송금한 뒤라도 이 번호로 바로 연결할 수 있습니다. 다른 하나는 속도가 곧 회수율이라는 점입니다. 차단 시간이 이틀에서 10분으로 줄었을 때 발생이 3분의 1 가까이 감소했다는 건, 개인 차원에서도 신고 시점을 몇 시간 당기는 것이 실제 결과를 바꾼다는 의미로 읽힙니다.

오늘 바로 적용하는 생활 수칙 5가지

첫째, 문자와 카카오톡에 담긴 링크는 원칙적으로 누르지 않습니다. 택배·과태료·건강보험·모바일 청첩장 등 형태는 다양하지만 목적은 대부분 같습니다. 확인이 필요하면 해당 기관의 앱을 직접 열거나 검색으로 공식 사이트에 들어가면 됩니다. 링크를 누르지 않는 것만으로 악성 앱 설치 경로의 상당 부분이 막힙니다.

둘째, 걸려 온 전화는 일단 끊습니다. 이건 예의 문제가 아니라 절차 문제입니다. 수사기관이든 은행이든 통화를 끊고 내가 알고 있는 번호, 예를 들어 카드 뒷면이나 공식 홈페이지에 적힌 번호로 다시 걸어야 합니다. 앞서 소개한 사례처럼 발신 가로채기가 걸려 있을 수 있으므로, 가능하면 가족의 다른 휴대전화로 거는 편이 안전합니다.

셋째, "가족에게 말하지 말라"는 요구가 나오면 그 순간 사기로 판단합니다. 정상적인 수사나 금융 절차에는 그런 조건이 존재하지 않습니다. 이 한 문장은 판별력이 매우 높은 신호입니다.

넷째, 계좌 이체 전에 한 번 더 확인합니다. 중고 거래라면 판매자 계좌번호와 전화번호를 사기 이력 조회 서비스에 넣어보고, 금액이 크면 직거래를 택합니다. 기관을 자처하는 상대가 "안전계좌로 옮기라"고 하면 그런 계좌는 실무상 없다고 보면 됩니다.

다섯째, 피해가 발생했다면 순서를 지킵니다. 즉시 1394 또는 거래 은행 고객센터에 전화해 지급정지를 요청하고, 그다음 ECRM이나 가까운 경찰서에 신고합니다. 휴대전화에 낯선 앱이 설치돼 있다면 삭제 후 초기화하고, 같은 기기로 금융 앱을 쓰지 않습니다. 금액이 작더라도 신고는 남깁니다. 신고율 27.2%라는 숫자를 조금씩 올리는 일이 결국 다음 피해를 줄이는 가장 현실적인 방법이기 때문입니다.

자주 묻는 질문

보이스피싱은 고령층이 주로 당하는 것 아닌가요?

피해자 중 50대 이상 비중이 2023년 32%에서 2025년 53%까지 올라온 건 사실입니다. 다만 이는 기관사칭형이 목돈 보유층을 표적으로 삼기 때문에 나타나는 결과에 가깝습니다. 20~30대는 중고 직거래 사기와 투자 사기 쪽 노출이 큽니다. 2024년 사이버 투자 사기만 1만 2,851건이 발생했습니다. 연령대별로 걸리는 유형이 다를 뿐, 안전한 연령대는 없습니다.

이미 송금했습니다. 지금 무엇부터 해야 하나요?

가장 먼저 지급정지입니다. 1394 또는 거래 은행 고객센터에 전화해 계좌 지급정지를 요청하세요. 상대 계좌에 돈이 남아 있는 동안에만 회수 가능성이 있으므로 분 단위가 중요합니다. 그다음 경찰청 사이버범죄 신고시스템(ECRM)이나 경찰서에 신고하고, 계좌번호·통화 기록·문자 원본을 지우지 말고 보관하세요.

피해 금액이 적으면 신고해도 소용없지 않나요?

그렇지 않습니다. 전국범죄피해조사 2024에서 온라인 사기 신고율은 27.2%에 그쳤고, 신고하지 않은 이유로 금액이 적어서라는 응답이 많았습니다. 같은 계좌·번호에 신고가 누적돼야 지급정지와 차단이 빨라집니다. 통합대응단이 차단 시간을 1~2일에서 10분 이내로 줄이자 6개월간 발생이 31.6% 감소한 사례가 신고 데이터의 효과를 보여줍니다.

공식 번호로 다시 걸었는데도 사기범이 받는 일이 가능한가요?

가능합니다. 악성 앱이 설치된 기기에서는 발신이 가로채기 될 수 있습니다. 2025년 9월 이후 통합대응단이 악성 앱 감염자 2만 4,706명을 발굴해 대응한 것도 이 때문입니다. 확인 전화는 가족이나 지인의 다른 휴대전화, 또는 유선전화로 거는 것이 안전합니다. 낯선 앱이 설치돼 있다면 삭제 후 초기화를 권합니다.

스미싱 문자인지 아닌지 구별하는 확실한 기준이 있나요?

문자 내용만으로 100% 판별하는 방법은 없습니다. 화면은 진짜와 거의 같게 만들 수 있기 때문입니다. 그래서 내용 판별보다 행동 규칙이 안전합니다. 문자에 포함된 링크는 누르지 않고, 확인이 필요하면 해당 기관 앱이나 공식 사이트를 직접 열어 조회하는 습관을 고정하는 편이 훨씬 효과적입니다.

같이 읽으면 좋은 것들