“문자를 봤을 땐 진짜 정부에서 보내준 건 줄 알았어요.”

‘사장님 부담경감 크레딧 신청 대기 중입니다’라는 문구 아래엔 그럴듯한 신청 링크가 함께 붙어 있다.

소상공인을 위한 정부 지원이라는 설명에 마음이 흔들린 순간, 통장과 개인정보가 모두 빠져나가는 덫이 기다리고 있었다.

‘부담 덜어준다’더니…카드정보까지 요구

정부가 지난 14일부터 시행한 ‘소상공인 부담경감 크레딧’ 지원사업은 전기·수도·가스 요금과 4대 보험료를 줄이기 위해 마련된 제도다.

연 매출 3억 원 이하의 소상공인에게 50만 원 상당의 크레딧을 카드로 지급하는 내용으로, 신청은 간단히 온라인에서 이뤄진다.

문제는 이를 사칭한 스미싱 문자가 등장하면서부터다. ‘소상공인 지원센터’라는 이름을 내세우고, ‘지금 바로 신청하세요’라는 문구와 함께 링크를 보낸다.

클릭하면 정부기관처럼 보이는 사이트로 연결되지만 주소는 미묘하게 다르다. ‘loan’, ‘cash’, ‘2025’ 같은 단어가 뒤섞인 비공식 도메인이다.

공식 사이트는 간편 인증으로 로그인하지만, 가짜 사이트는 주민등록번호와 카드번호를 직접 입력하게 한다. 일부는 OTP나 통장 사본을 요구하고, 심지어 원격제어가 가능한 앱 설치를 유도하는 경우도 확인됐다.

비슷한 방식의 스미싱은 ‘민생회복 소비쿠폰’ 안내 문자 등으로도 퍼지고 있다.

한국인터넷진흥원(KISA)은 최근 정부 지원 사업을 빙자한 보이스피싱이 급증하고 있다며, 정식 안내 문자에는 인터넷주소(URL)를 포함하지 않는다고 강조했다.

카카오톡 채널 ‘보호나라’를 통해 스미싱 여부를 실시간으로 판별할 수 있는 서비스도 제공 중이다. 발신지가 ‘국외’거나 생소한 링크가 포함됐다면 즉시 차단하고 신고해야 한다.

피해자 늘어나는 중…“앱 설치 요구 땐 100% 사기”

2025년 상반기까지 신고된 스미싱 탐지·차단 건수는 이미 270만 건에 달했고, 최근 5년간 피해액도 546억 원을 넘어섰다.

범죄 수법은 날로 정교해지고 있으며, 정부·지인·금융기관 사칭부터 무료쿠폰, 청첩장 위장까지 유형도 다양하다.

특히 설 명절, 연말정산 등 계절성 이슈가 있을 때마다 공공기관이나 택배를 사칭하는 스미싱이 폭증하는 경향이 있다.

실제 스미싱 건 중 절반 이상은 ‘정부기관 사칭’ 유형이었고, 이 중 상당수가 카드번호, 비밀번호, 주민등록번호 등을 직접 요구하는 방식으로 피해를 입혔다.

정부는 “공식 신청 사이트는 반드시 정부24, 지자체, 카드사 홈페이지에서만 접속할 수 있다”며 “문자 속 URL 클릭, 앱 설치, 개인정보 입력 요구는 100% 사기”라고 못박았다.