#서울에 거주하는 최모씨는 지난달, 지인에게 돈을 송금하기 위해 은행 홈페이지에 접속했다. 평상시대로 자금 이체를 위해 공인인증서로 로그인해 인터넷 뱅킹을 시도했다. 계좌 비밀번호와 보안카드 앞·뒤 두 자리를 입력했지만 계속 오류가 났다. PC 오류로만 생각한 최씨는 결국 다음날 돈을 이체하기로 하고 인터넷 뱅킹 업무를 중단했다. 하지만 그 다음날 밤, 자기도 모르게 은행 계좌에서 870만원이 빠져나갔다. 수사 결과, 이용자 PC를 악성코드에 감염시켜 정상적인 인터넷 뱅킹 화면에서 가짜 팝업창을 띄워 이체에 필요한 보안카드 비밀번호를 빼가는 신종 메모리 해킹 수법으로 드러났다.
#충남 논산에 거주하는 전모씨는 지난달 본인 PC로 평소 즐겨보는 네이버에 접속했다. 그런데 갑자기 화면에 금감원의 보안인증 안내문이 떴다. 안내문을 클릭하자 개인금융거래정보를 입력하라는 창이 열렸다. 보안 사고를 방지하기 위한 조치로만 생각했다. 하지만 다음날 15회에 걸쳐 3000만원이 이체됐다. 포털사이트를 사칭한 신종 피싱사이트 기법이다.
한층 지능화하고 고도화한 피싱과 파밍, 스미싱 등 신·변종 금융사기 무법천지다. 알고도 당한다는 전자금융사기, 이제 연령대를 가리지 않고, 피해는 갈수록 커지고 있다. 과거 보이스피싱과는 차원이 다르다. 전화에서 비롯된 보이스피싱은 이제 PC를 비롯해 스마트폰, SNS 등 거의 모든 IT기기와 커뮤니티 기술에 독버섯처럼 퍼지고 있다.
◇新 금융사기 수법의 진화, 어디까지 왔나
최근 전자금융사기 수법은 진짜보다 더 진짜 같은 사이트와 애플리케이션(앱)이 등장한다는 점이다. 메모리 해킹과 청첩장·돌잔치 사칭앱이 대표적이다. 메모리 해킹 수법은 가짜 팝업창으로 이체에 필요한 보안카드 비밀번호를 편취하는 수법인데, 한달간 무려 112건(약 7억원)의 피해가 발생했다.
가짜 팝업창을 구분할 방법이 없을 정도로 교묘하다. 스미싱 기술은 한술 더 뜬다. 한번쯤은 받아본 모바일 청첩장과 돌잔치 문자가 대표적이다. 피해자 지인을 사칭해 문자메시지를 발송하고 메시지에 포함된 인터넷 주소를 클릭하면 악성 앱이 설치된다. 휴대폰 소액결제 피해로 이어진다. 개인 정보와 금융정보가 바로 탈취된다. 아직 피해 사례가 발견되지 않았지만, 수만명이 악성앱에 감염된 상황이다. 금융당국은 사칭앱으로 인한 후폭풍에 예의주시하고 있다.
돈세탁을 통한 편법 피싱도 있다. 정상 계좌를 이용하기 때문에 막을 방법도 없고 피해가 발생한 후 책임 소재를 놓고 논란이 되고 있는 사례다. 파밍을 통해 돈이 이체됐지만 지급정지를 할 수도 없다. 사기범이 대포통장이 아닌 정상계좌를 사용했기 때문이다. 사기범은 고가의 보석을 구매한다며 판매상에 예약한 후, 피해자의 돈을 보석 대금 지급 계좌로 이체했다. 대신 보석을 가지고 종적을 감췄다.
정부가 대포통장 근절 대책을 마련하고 고강도 규제안을 꺼내들자 정상계좌를 악용해 제3자 거래 방식으로 돈을 갈취하는 신종 사이버 금융 범죄기법이다. 자금 추적 등을 피하기 위해 대출·취업 등을 통해 확보한 타인의 정상 계좌를 악용, 피해 자금을 거래대금으로 송금해 다른 고가의 물품을 취득한다. 상품권이나 중고차 물품 대금으로 피해자의 돈을 송금하거나 심지어 숙박업체에 예약 자금으로 돈을 이체한 후 취소하고 돈을 돌려받는 방법도 최근 적발됐다.
문제는 피해자가 지급 정지를 요청해도 정상계좌를 통한 거래일 때, 환급 분쟁 소지가 다분하다는 점이다. 이 같은 신종 피싱 사기는 피해금 잔액이 사기이용 계좌에 남아 있더라도 명의자가 정상 거래 대금이라고 주장하면 환불할 수 있는 방법이 없다는 점이다.
◇8년간 피해금액만 5000억 훌쩍, 방지책은?
정부의 강력한 보이스피싱 근절대책이 나오고 있지만. 신변종 금융사기는 이를 비웃기라도 하듯 진화의 진화를 거듭한다. 8년간 보이스피싱을 통해 빠져나간 돈만 5000억원이 넘는다. 2011년 최고의 정점을 찍은 보이스피싱은 그해에만 1000억원을 돌파했다. 최근 신변종 전자금융사기가 또 다시 기승을 부리면서 피해도 큰 폭 증가추세다. 1월부터 6월까지 피해건수는 2146건이며, 피해금액만 200억원을 뛰어넘었다.
정부는 최근 신·변종 전자금융사기 합동경보를 발령했다. 지능화하는 전자금융사기를 예방하기 위한 첫걸음은 바로 인식 전환이다. 보안 강화 등을 빙자해 특정 사이트 또는 현금 인출기로 유도하거나, 개인정보와 보안카드번호 등 금융정보 등을 요구하면 100% 피싱사기다.
악성코드 탐지와 제거, PC 보안점검 생활화도 필수다. 백신프로그램을 항상 최신으로 업데이트하고 악성코드 탐지 및 제거를 주기적으로 수행해야 한다. 출처가 불분명한 파일 다운로드나 이메일은 클릭하지 말아야 한다. 최근 가장 빈번하게 일어나는 금융사고가 바로 보안카드 번호 탈취문제다. 보안카드보다 안전성이 높은 보안매체를 적극 이용하고, OTP(일회용 비밀번호 생성기)를 사용하는 것도 권장한다.
스미싱 사기는 해당 통신사의 소액결제를 차단해 결제금액을 제한하고, 백신프로그램을 설치하는 게 좋다. 보안설정을 강화해 확인되지 않은 앱이 설치되지 않도록 하고, 앱은 T스토어·올레마켓·U+앱마켓 등 공인된 마켓을 통해 설치한다.
피싱 범죄는 스스로 진화해 피해가 줄어들만하면 새로운 형태가 등장한다. 아무리 새로운 형태의 수법이라도 기본적으로는 범죄자가 피해자의 금융정보를 캐내 금융사기로 이어가려는 목적은 같다.
[표]보이스피싱 피해 현황 자료-금융위원회
메모리 해킹을 이용한 신종 금융사기 기법
정상 사이트(위)와 피싱사이트(아래)
청첩장 사칭 문자메시지
돌잔치 사칭 문자메시지
길재식기자 osolgil@etnews.com