상단여백
HOME 뉴스 연재 커버스토리
[cover story] 진화하는 신종 금융사기… 알고도 당한다커버스토리

피싱·스미싱은 이미 고전 수법
정상 금융거래 중에도 예금 빼가

지난 3일 양평군에 거주하는 40대 회사원 A씨는 계좌 이체를 위해 자신의 PC로 XX은행 인터넷 뱅킹에 접속했다계좌이체 금액과 보안카드 번호까지 입력했지만 갑자기 오류 화면이 뜨며 다시 입력해 달라는 메시지가 떴다또 입력해 봐도 오류 화면은 그대로였다이 순간 A씨의 PC에 미리 악성코드를 심어놓은 해커는 보안카드 정보를 빼돌렸고, XX은행 ○○지점에서 300여만원을 인출한 뒤 사라졌다

위 사례는 신종 파밍인 메모리 해킹’ 수법이다해커가 PC에 미리 심어놓은 악성코드는 이용자가 금융사 정상 사이트에 들어가 금융 업무를 보는 중에 화면을 정지시키거나 반복적인 오류를 발생시켜 이용자의 주의를 돌린 후 동시에 개인정보를 빼내는 방식이다

보이스피싱을 넘어 낚시문자인 스미싱도 이제는 고전 수법이 됐다최근에는 진짜 금융권 사이트에서도 개인 정보를 빼돌리는 파밍이 보이스피싱과 결합된 신종 혼합 금융사기 피해사례가 지난 9월 양평경찰서에 신고 접수됐다

 

   
▲ 파밍에 의해 유도된 피싱사이트.(자료=경찰청)

30대 여성 공무원 B씨는 인터넷 포털사이트에 자신이 거래하는 금융 사이트를 입력해 접속했다사이트는 평소와 다르지 않았다다만 팝업창에 개인정보가 유출됐으니 명의도용 예방을 위해 보안카드를 입력해야 한다는 메시지가 떴다얼마 후 금융감독원 직원이라고 밝힌 한 남성의 전화가 걸려와 계좌번호와 비밀번호보안카드 일련번호 등을 입력했다

그러나 이 사이트는 사기조직이 B씨의 개인정보를 빼내기 위해 만든 가짜 사이트였다사기조직은 B씨의 개인정보를 바탕으로 공인인증서를 재발급 받아 B씨 통장에 있는 500여만원을 찾아갔다.

수법이 이미 알려진 스미싱의 피해 신고 건수는 감소 추세다하지만 돌잔치 초청장에서 긴급 출석 요구서까지 예금주의 통장을 노리는 낚시 문자는 여전하다지난 925일 양평군 주민 C(24)는 사이버수사대고객님 명의로 통장이 개설되었습니다확인요망 dok.do/*****JD’라는 문자를 받고 순간 명의를 도용당했다고 생각해 인터넷 주소를 클릭했다. C씨는 휴대폰 소액결제로 20만원이 결제됐다.

양평경찰서 지능범죄수사팀 신명복 경사는 수사기관이나 공공기관은 통장 계좌번호나 비밀번호를 묻는 경우가 없는 만큼 수상한 전화는 바로 끊고 경찰에 신고해줄 것을 당부했다.

<진화하는 전자금융사기>

#“여기 중앙지검인데.” 이런 전화를 받으면 떨리기부터 한다다급한 마음에 시키는 대로 통장 비밀번호를 입력하고 나면 그때는 이미 늦었다전화금융사기당하지 않을 것 같은 사람도 한순간에 당한다당신은 절대 아니라고수법을 알아두지 않으면 예외는 없다.

양평에서도 최근 전자금융사기 피해 급증

월 2310여건, 3배 증가
두 달 새 피해액 15000만원
스미싱 ↓… 신종 혼합 피싱 

 

   
▲ 스미싱 문자메시지 예시.(자료=경찰청)

정부가 신·변종 금융사기에 적극 대응하면서 스미싱으로 인한 금융사기 피해는 줄었지만 전화금융사기인 보이스피싱과피싱과 파밍 등을 결합한 신종 혼합 금융사기는 늘어난 것으로 나타났다양평도 전국적인 추세와 다르지 않게 스미싱은 거의 자취를 감춘 반면 파밍은 여전히 기승을 부리고 신종 사기 수법으로 피해를 봤다는 신고가 접수되고 있다

정부가 지난해 12월 마련한 ·변종 금융사기 종합대책’ 추진 이후 스미싱·메모리 해킹 등 모바일 기기의 기술적 취약성을 노린 신·변종 금융사기가 크게 감소한 것으로 나타났다스미싱의 경우 악성 앱 서버 조기차단 등으로 월평균 피해건수가 전년대비 90% 이상 줄었다지난해 월평균 2480건에 달했던 피해접수 건수는 올해 1~6월 220건으로 감소했다반면 같은 기간 보이스피싱의 피해는 월평균 397건에서 475건으로 늘었다

양평의 피해 상황도 이와 다르지 않다. 4일 양평경찰서에 따르면 올해 상반기 6건이던 스미싱 피해건수는 하반기 들어 이날 현재 1건에 불과하다다만파밍 피해는 하반기 4개월 남짓 동안 17건이 발생해 상반기 20건을 곧 넘어설 것으로 보인다여기에 통계에서 빠진 신종 혼합 피싱 사례까지 더하면 피해건수는 상반기 총계를 훨씬 넘어서게 된다

신종 혼합 피싱 피해건수는 상반기 중 월 23건 정도에 불과했지만 7월 이후엔 월 10건이 넘는다는 게 경찰의 설명이다최근 두 달 사이 양평경찰서에 접수된 갖가지 전화금융사기 피해액만 15000여만원에 달한다전자금융사기 피해를 본 양평군민들은 평범한 주부와 70대 노인은 물론 30대 여성 공무원, 40대 남성 회사원, 20대 청년, 50대 사업가에 이르기까지 다양하다

양평에서 사업을 하는 60대 초반의 한 여성은 최근 저금리로 대출해주겠다는 전화를 받고 1000만원을 사기 당했다은행 직원이라고 밝힌 남성의 신용이 안 좋으니 2000만원을 대출받아 알려주는 계좌로 입금하면 신용평점이 상승해 5000만원을 대출받을 수 있다는 말에 그만 깜빡 속은 것이다. C씨의 1회 이체한도가 1000만원이어서 피해금액을 줄인 게 그나마 다행이었다

피싱·파밍·스미싱… 수법 알아보니

피싱가짜사이트 접속 유도
파밍, PC 조작해 정보 빼내
스미싱문자메시지로 피싱

 

   
▲ 스마트폰에 스파이앱을 설치해 정보를 유출해가는 과정.(자료=경찰청)

개인정보 유출로 피싱’, ‘파밍’, ‘스미싱’, ‘메모리 해킹과 같은 신종 금융사기 피해가 많아지고 있다피싱(Phishing)은 개인정보(Private data)와 낚시(Fishing)의 합성어로악성코드를 심거나 이메일·즐겨찾기 등으로 가짜 은행사이트로 접속을 유도한다이후 보안카드번호 전부를 입력하도록 요구하는 등의 방식으로 금융정보를 빼내고 자신들의 계좌로 돈을 이체하게 한다최근엔 은행 직원인 것처럼 속여 사이트의 실시간 채팅창을 이용하거나 금융사 대표번호로 발신번호를 조작해 자동응답(ARS) 인증이 필요하다며 인증번호를 가로챈 신종 수법이 등장하기도 했다.

파밍(Pharming)은 악성코드에 감염된 PC를 조작해 금융정보를 빼내는 유형이다피싱이 진짜 사이트처럼 생긴 가짜 인터넷 주소로 접속을 유도한다면파밍은 이용자가 정확한 사이트(예를 들어 www.kbstar.com)를 입력해도 가짜 사이트로 접속되는 차이가 있다이용자는 분명 진짜 사이트로 알고 접속을 했지만 실제로는 가짜사이트에 접속이 돼 버리는 것이다정상적인 홈페이지라고 생각한 이용자가 공인인증서 비밀번호와 보안카드 번호를 입력하면 이때 금융정보를 탈취한다

스미싱(Smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. ‘무료쿠폰 제공’ ‘돌잔치 초대장’ ‘모바일 청첩장과 같은 문자를 받고 인터넷 주소를 클릭하면 악성코드가 스마트폰에 설치된다이후 휴대전화 명의자도 모르는 사이에 소액결제가 되거나 저장된 주소록과 연락처사진공인인증서와 같은 개인정보들을 훔쳐간다국민건강보험공단을 사칭한 건강검진 안내 문자로 유도하는 경우도 있다.

메모리 해킹은 메모리에 상주한 데이터를 위·변조하는 해킹이다피해자의 PC에 해킹을 위한 악성코드를 심어놓고 인터넷뱅킹이 진행될 때 이체 계좌번호와 금액을 조작해 엉뚱한 계좌로 이체하게 만든다정상적인 계좌이체 종료 후 전자금융사기 예방서비스 신청’ 또는 보안강화라는 팝업창이 뜨면서 통장 비밀번호와 이체 비밀번호보안카드 앞·뒤 두 자리를 입력하게 해 범행 계좌로 이체하기도 한다

전자금융사기이것만 알면 안 당한다

사기 유형별 예방수칙 소개

전자금융사기의 수법이 진화하고 있지만 기본적인 예방수칙만 잘 숙지해도 피해를 예방할 수 있다지난 1월 카드 3사의 개인정보 유출사고 이후 금융감독원과 경찰청 사이버안전국이 소개한 사기 유형별 피해 예방 요령과 대처 방법을 소개한다.

파밍… 악성코드에 감염된 PC를 조작해 예금을 인출한다이용자가 정상적인 금융회사 홈페이지에 접속해도 피싱(가짜사이트로 유도돼 금융정보를 탈취하기 때문에 속을 수 있다이를 예방하려면 보안카드 일련번로 전부를 절대 입력해선 안 된다. OTP(일회성 비밀번호 생성기), 보안토큰(비밀번호 복사 방지등의 사용을 권장한다무료 다운로드 사이트 이용을 자제한다출처가 정확하지 않은 파일이나 이메일은 즉시 삭제한다

메모리 해킹… PC 메모리의 데이터를 위·변조해 정상적인 금융회사 사이트에서 보안 프로그램을 무력하게 만들어 예금을 인출하는 수법이다윈도우백신프로그램 등을 최신 상태로 업데이트하고 실시간 감시 상태로 유지하는 것이 좋다영화나 음란물 등 무료 다운로드 사이트 이용을 자제한다컴퓨터·이메일 등에 공인인증서와 보안카드를 촬영한 사진비밀번호를 저장하지 않는다

스미싱… 스마트폰 문자메시지에 뜬 인터넷주소를 클릭하면 악성코드가 설치돼 자신도 모르는 사이에 소액결제가 된다메시지에 링크된 인터넷주소에 접속하지 않는다지인에게서 온 메시지라도 인터넷주소가 있으면 한 번 더 확인한다스마트폰 114 콜센터로 전화해 소액결제 차단 또는 제한 서비스를 요청한다스마트폰 기능의 보안설정을 강화한다자신의 스마트폰 환경’(설정)의 보안에서 디바이스(휴대폰관리의 알 수 없는 소스(출처)’를 허용하지 않음으로 하거나 √ 체크를 해제하면 된다

정부는 스마트폰 도난 및 분실 시 개인 데이터 삭제 기능(킬 스위치)을 스마트폰의 펌웨어나 운영체계(OS)에 기본 탑재하도록 유도하고 있다킬 스위치는 스마트폰 분실 시 원격조작으로 개인 데이터를 삭제하고 사용을 막는 일종의 자폭 기능이다팬택은 지난해 2애플도 같은 해 9삼성전자는 올해 4, LG전자 역시 지난 5월부터 이 기능이 적용된 스마트폰을 각각 출시했다.

양평경찰서 지능범죄수사팀 신명복 경사는 보안 강화나 예금 보호 등을 빙자해 특정사이트 접속 또는 앱 설치를 유도하거나사건연루·수사협조 등을 이유로 금융거래 정보를 요구하는 경우 100% 사기라고 강조했다또 만일 전자금융사기 피해가 발생했다면 즉시 금감원(1332), 각 금융회사 콜센터에 지급정지를 요청하고 경찰청(112)에 신고해야 한다고 당부했다.

용은성 기자  yes@ypsori.com

<저작권자 © 양평시민의소리, 무단 전재 및 재배포 금지>

용은성 기자의 다른기사 보기
icon인기기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
Back to Top