커버스토리
피싱·스미싱은 이미 ‘고전 수법’
정상 금융거래 중에도 예금 빼가
지난 3일 양평군에 거주하는 40대 회사원 A씨는 계좌 이체를 위해 자신의 PC로 XX은행 인터넷 뱅킹에 접속했다. 계좌이체 금액과 보안카드 번호까지 입력했지만 갑자기 오류 화면이 뜨며 다시 입력해 달라는 메시지가 떴다. 또 입력해 봐도 오류 화면은 그대로였다. 이 순간 A씨의 PC에 미리 악성코드를 심어놓은 해커는 보안카드 정보를 빼돌렸고, XX은행 ○○지점에서 300여만원을 인출한 뒤 사라졌다.
위 사례는 신종 파밍인 ‘메모리 해킹’ 수법이다. 해커가 PC에 미리 심어놓은 악성코드는 이용자가 금융사 정상 사이트에 들어가 금융 업무를 보는 중에 화면을 정지시키거나 반복적인 오류를 발생시켜 이용자의 주의를 돌린 후 동시에 개인정보를 빼내는 방식이다.
보이스피싱을 넘어 ‘낚시문자’인 스미싱도 이제는 고전 수법이 됐다. 최근에는 진짜 금융권 사이트에서도 개인 정보를 빼돌리는 ‘파밍’이 보이스피싱과 결합된 신종 혼합 금융사기 피해사례가 지난 9월 양평경찰서에 신고 접수됐다.
30대 여성 공무원 B씨는 인터넷 포털사이트에 자신이 거래하는 금융 사이트를 입력해 접속했다. 사이트는 평소와 다르지 않았다. 다만 팝업창에 ‘개인정보가 유출됐으니 명의도용 예방을 위해 보안카드를 입력해야 한다’는 메시지가 떴다. 얼마 후 금융감독원 직원이라고 밝힌 한 남성의 전화가 걸려와 계좌번호와 비밀번호, 보안카드 일련번호 등을 입력했다.
그러나 이 사이트는 사기조직이 B씨의 개인정보를 빼내기 위해 만든 가짜 사이트였다. 사기조직은 B씨의 개인정보를 바탕으로 공인인증서를 재발급 받아 B씨 통장에 있는 500여만원을 찾아갔다.
수법이 이미 알려진 스미싱의 피해 신고 건수는 감소 추세다. 하지만 돌잔치 초청장에서 긴급 출석 요구서까지 예금주의 통장을 노리는 낚시 문자는 여전하다. 지난 9월25일 양평군 주민 C씨(24)는 ‘[사이버수사대]고객님 명의로 통장이 개설되었습니다. 확인요망 dok.do/*****JD’라는 문자를 받고 순간 명의를 도용당했다고 생각해 인터넷 주소를 클릭했다. C씨는 휴대폰 소액결제로 20만원이 결제됐다.
양평경찰서 지능범죄수사팀 신명복 경사는 “수사기관이나 공공기관은 통장 계좌번호나 비밀번호를 묻는 경우가 없는 만큼 수상한 전화는 바로 끊고 경찰에 신고해줄 것”을 당부했다.
#“여기 중앙지검인데….” 이런 전화를 받으면 떨리기부터 한다. 다급한 마음에 시키는 대로 통장 비밀번호를 입력하고 나면 그때는 이미 늦었다. 전화금융사기, 당하지 않을 것 같은 사람도 한순간에 당한다. 당신은 절대 아니라고? 수법을 알아두지 않으면 예외는 없다.
월 2∼3건→10여건, 3배 증가
두 달 새 피해액 1억5000만원
스미싱 ↓… 신종 혼합 피싱 ↑
정부가 신·변종 금융사기에 적극 대응하면서 스미싱으로 인한 금융사기 피해는 줄었지만 전화금융사기인 보이스피싱과, 피싱과 파밍 등을 결합한 신종 혼합 금융사기는 늘어난 것으로 나타났다. 양평도 전국적인 추세와 다르지 않게 스미싱은 거의 자취를 감춘 반면 파밍은 여전히 기승을 부리고 신종 사기 수법으로 피해를 봤다는 신고가 접수되고 있다.
정부가 지난해 12월 마련한 ‘신·변종 금융사기 종합대책’ 추진 이후 스미싱·메모리 해킹 등 모바일 기기의 기술적 취약성을 노린 신·변종 금융사기가 크게 감소한 것으로 나타났다. 스미싱의 경우 악성 앱 서버 조기차단 등으로 월평균 피해건수가 전년대비 90% 이상 줄었다. 지난해 월평균 2480건에 달했던 피해접수 건수는 올해 1~6월 220건으로 감소했다. 반면 같은 기간 보이스피싱의 피해는 월평균 397건에서 475건으로 늘었다.
양평의 피해 상황도 이와 다르지 않다. 4일 양평경찰서에 따르면 올해 상반기 6건이던 스미싱 피해건수는 하반기 들어 이날 현재 1건에 불과하다. 다만, 파밍 피해는 하반기 4개월 남짓 동안 17건이 발생해 상반기 20건을 곧 넘어설 것으로 보인다. 여기에 통계에서 빠진 신종 혼합 피싱 사례까지 더하면 피해건수는 상반기 총계를 훨씬 넘어서게 된다.
신종 혼합 피싱 피해건수는 상반기 중 월 2∼3건 정도에 불과했지만 7월 이후엔 월 10건이 넘는다는 게 경찰의 설명이다. 최근 두 달 사이 양평경찰서에 접수된 갖가지 전화금융사기 피해액만 1억5000여만원에 달한다. 전자금융사기 피해를 본 양평군민들은 평범한 주부와 70대 노인은 물론 30대 여성 공무원, 40대 남성 회사원, 20대 청년, 50대 사업가에 이르기까지 다양하다.
양평에서 사업을 하는 60대 초반의 한 여성은 최근 저금리로 대출해주겠다는 전화를 받고 1000만원을 사기 당했다. 은행 직원이라고 밝힌 남성의 “신용이 안 좋으니 2000만원을 대출받아 알려주는 계좌로 입금하면 신용평점이 상승해 5000만원을 대출받을 수 있다”는 말에 그만 깜빡 속은 것이다. C씨의 1회 이체한도가 1000만원이어서 피해금액을 줄인 게 그나마 다행이었다.
피싱, 가짜사이트 접속 유도
파밍, PC 조작해 정보 빼내
스미싱, 문자메시지로 피싱
개인정보 유출로 ‘피싱’, ‘파밍’, ‘스미싱’, ‘메모리 해킹’과 같은 신종 금융사기 피해가 많아지고 있다. 피싱(Phishing)은 개인정보(Private data)와 낚시(Fishing)의 합성어로, 악성코드를 심거나 이메일·즐겨찾기 등으로 가짜 은행사이트로 접속을 유도한다. 이후 보안카드번호 전부를 입력하도록 요구하는 등의 방식으로 금융정보를 빼내고 자신들의 계좌로 돈을 이체하게 한다. 최근엔 은행 직원인 것처럼 속여 사이트의 실시간 채팅창을 이용하거나 금융사 대표번호로 발신번호를 조작해 ‘자동응답(ARS) 인증이 필요하다’며 인증번호를 가로챈 신종 수법이 등장하기도 했다.
파밍(Pharming)은 악성코드에 감염된 PC를 조작해 금융정보를 빼내는 유형이다. 피싱이 진짜 사이트처럼 생긴 가짜 인터넷 주소로 접속을 유도한다면, 파밍은 이용자가 정확한 사이트(예를 들어 www.kbstar.com)를 입력해도 가짜 사이트로 접속되는 차이가 있다. 이용자는 분명 진짜 사이트로 알고 접속을 했지만 실제로는 가짜사이트에 접속이 돼 버리는 것이다. 정상적인 홈페이지라고 생각한 이용자가 공인인증서 비밀번호와 보안카드 번호를 입력하면 이때 금융정보를 탈취한다.
스미싱(Smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. ‘무료쿠폰 제공’ ‘돌잔치 초대장’ ‘모바일 청첩장’과 같은 문자를 받고 인터넷 주소를 클릭하면 악성코드가 스마트폰에 설치된다. 이후 휴대전화 명의자도 모르는 사이에 소액결제가 되거나 저장된 주소록과 연락처, 사진, 공인인증서와 같은 개인정보들을 훔쳐간다. 국민건강보험공단을 사칭한 건강검진 안내 문자로 유도하는 경우도 있다.
메모리 해킹은 메모리에 상주한 데이터를 위·변조하는 해킹이다. 피해자의 PC에 해킹을 위한 악성코드를 심어놓고 인터넷뱅킹이 진행될 때 이체 계좌번호와 금액을 조작해 엉뚱한 계좌로 이체하게 만든다. 정상적인 계좌이체 종료 후 ‘전자금융사기 예방서비스 신청’ 또는 ‘보안강화’라는 팝업창이 뜨면서 통장 비밀번호와 이체 비밀번호, 보안카드 앞·뒤 두 자리를 입력하게 해 범행 계좌로 이체하기도 한다.
사기 유형별 예방수칙 소개
◇파밍… 악성코드에 감염된 PC를 조작해 예금을 인출한다. 이용자가 정상적인 금융회사 홈페이지에 접속해도 피싱(가짜) 사이트로 유도돼 금융정보를 탈취하기 때문에 속을 수 있다. 이를 예방하려면 보안카드 일련번로 전부를 절대 입력해선 안 된다. OTP(일회성 비밀번호 생성기), 보안토큰(비밀번호 복사 방지) 등의 사용을 권장한다. 무료 다운로드 사이트 이용을 자제한다. 출처가 정확하지 않은 파일이나 이메일은 즉시 삭제한다.
◇메모리 해킹… PC 메모리의 데이터를 위·변조해 정상적인 금융회사 사이트에서 보안 프로그램을 무력하게 만들어 예금을 인출하는 수법이다. 윈도우, 백신프로그램 등을 최신 상태로 업데이트하고 실시간 감시 상태로 유지하는 것이 좋다. 영화나 음란물 등 무료 다운로드 사이트 이용을 자제한다. 컴퓨터·이메일 등에 공인인증서와 보안카드를 촬영한 사진, 비밀번호를 저장하지 않는다.
◇스미싱… 스마트폰 문자메시지에 뜬 인터넷주소를 클릭하면 악성코드가 설치돼 자신도 모르는 사이에 소액결제가 된다. 메시지에 링크된 인터넷주소에 접속하지 않는다. 지인에게서 온 메시지라도 인터넷주소가 있으면 한 번 더 확인한다. 스마트폰 114 콜센터로 전화해 소액결제 차단 또는 제한 서비스를 요청한다. 스마트폰 기능의 보안설정을 강화한다. 자신의 스마트폰 ‘환경’(설정)의 ‘보안’에서 ‘디바이스(휴대폰) 관리’의 ‘알 수 없는 소스(출처)’를 ‘허용하지 않음’으로 하거나 √ 체크를 해제하면 된다.
정부는 스마트폰 도난 및 분실 시 개인 데이터 삭제 기능(킬 스위치)을 스마트폰의 펌웨어나 운영체계(OS)에 기본 탑재하도록 유도하고 있다. 킬 스위치는 스마트폰 분실 시 원격조작으로 개인 데이터를 삭제하고 사용을 막는 일종의 자폭 기능이다. 팬택은 지난해 2월, 애플도 같은 해 9월, 삼성전자는 올해 4월, LG전자 역시 지난 5월부터 이 기능이 적용된 스마트폰을 각각 출시했다.
양평경찰서 지능범죄수사팀 신명복 경사는 “보안 강화나 예금 보호 등을 빙자해 특정사이트 접속 또는 앱 설치를 유도하거나, 사건연루·수사협조 등을 이유로 금융거래 정보를 요구하는 경우 100% 사기”라고 강조했다. 또 “만일 전자금융사기 피해가 발생했다면 즉시 금감원(1332), 각 금융회사 콜센터에 지급정지를 요청하고 경찰청(112)에 신고해야 한다”고 당부했다.