피싱·파밍·스미싱, 알아야 피해 막을 수 있다!
‘서민생활 침해 사범 근절방안’, 금융사기 근절에 중점
납치됐다며 돈을 요구하거나 은행으로 유인하던 ‘보이스 피싱’이 유행처럼 번졌을 때가 있었다. 실제로 사기에 휘말려 거액의 돈을 송금시키는 등의 피해가 많이 발생해 주의가 당부되기도 했다. 어느덧 은행 곳곳에 비치된 ‘금융사기조심’이란 문구는 일상이 돼버렸고 은행송금을 넘어 인터넷, 스마트폰 등 다양한 경로를 통해 진화된 금융사기가 또 한 번의 대어를 낚기 위해 어망을 넓히고 있다. 심심치 않게 들려오는 개인정보유출 사건·사고들로 개인정보보호가 중요한 만큼 금융사기에 관한 예방이 그 어느 때보다 절실하다.
신종 금융사기, 알아야 안 낚인다!
#30대 후반의 자영업자 박모씨는 인터넷 주소 즐겨찾기를 이용해 S은행의 인터넷뱅킹에 접속했다. 팝업창이 나타나자 박씨는 인터넷뱅킹에 필요한 계좌비밀번호, 보안카드 코드번호 등 금융거래 정보를 입력했다. 이튿날 박씨의 계좌에서는 3000만원이 인출됐다.
#띵동. ‘NH농협입니다. 고객님 개인 정보가 유출됐으니 보안승급바랍니다.’ 문자를 받고 놀란 직장인 김모씨(26·여)는 홈페이지에 접속하려다 멈칫했다. 문자에 나온 인터넷 주소가 ‘NH’로 시작했지만 자세히 보니 은행 사이트 주소와 달랐기 때문이다.
‘파밍(Pharming)’, ‘스미싱(SMising)’ 등 신종 금융사기가 기승을 부리고 있다. 특히 파밍은 피해 사례가 점차 늘어 최근 금융위원회·경찰청·금융감독원이 합동 주의경보를 발령할 정도로 피해가 심각한 상황이다.
파밍은 개인정보(Private data)와 낚시(Fishing)의 합성어로 이용자 PC를 악성코드에 감염시켜 인터넷 ‘즐겨찾기’ 또는 ‘포털사이트 검색’을 통해 금융회사의 홈페이지에 접속해도 악성코드가 이용자를 파밍 사이트로 유도해 금융정보를 빼 나가는 신종 수법이다. 이용자의 컴퓨터는 악성코드에 감염돼 정상적인 홈페이지 주소로 접속해도 가짜 사이트로 자동으로 연결되기 때문에 일반인이 알아차리기가 대단히 어렵다. 또한 이 악성코드는 백신에 잡히는 일반 바이러스와는 다르기 때문에 감염이 되고 알 수 없다는 게 문제다. 피싱이 금융기관 등의 웹사이트에서 보낸 이메일로 위장해 이용자가 접속하도록 유도한 뒤 개인정보를 빼내는 데 반해, 파밍은 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에 탈취하는 수법이다. 때문에 파밍의 경우 이용자가 아무리 도메인 주소나 URL 주소를 눈여겨보더라도 속기가 쉽다. 주소 자체에는 오류가 없기 때문이다.
금융당국에 따르면 지난해 11월부터 올 2월까지 파밍 피해 사례는 총 323건이며, 금액은 20억6000만원의 피해가 발생한 것으로 알려졌다. 올해 들어 피해 사례가 더욱 늘어나고 있는 추세다.
스미싱은 문자메시지(SMS)와 피싱(Phiching)의 합성어로 최근 유행하는 신종 휴대전화 소액결제 사기다. 주로 햄버거, 치킨, 아이스크림 등 외식상품의 무료쿠폰을 가장해 특정 URL이 포함된 문자메세지(SMS)를 불특정 다수에게 발송한다. 이를 무심코 클릭하면 악성코드가 휴대폰에 설치되는데 이후 인증번호가 포함된 문자메세지가 악성코드 제작자에게 전달돼 결제에 이용된다. 대부분 온라인 게임머니나 아이템 결제에 사용되고 바로 현금화된다. 스마트폰 사용자들은 인증번호 입력 등 결제와 관련한 어떠한 절차도 없기 때문에 청구서가 올 때 까지 결제사실을 모르는 경우가 대부분이다. 스마트폰 사용자의 등급에 따라 휴대폰 소액결제의 한도가 달라지지만 피해금액은 25~30만원 사이가 가장 많다. 최근에는 모바일 청첩장으로 위장한 사례도 있고 ‘사이렌24 신용정보’ 서비스로 위장해 수신자로 하여금 개인정보 및 명의도용 등 다소 민감한 내용으로 호기심을 유발시켜 악성 애플리케이션이 포함된 단축 URL 주소를 클릭하도록 하는 지능적 사기수법을 활용하고 있어 주의가 요구된다. 국민권익위원회의 조사 결과 올해 2월까지 2달 동안 접수된 스미싱 피해는 260건으로, 파밍과 함께 갈수록 느는 추세다.
“언제까지 낚일텐가? 예방법 알고 있어야해”
이러한 신종 금융사기 방지를 위해 여러 가지 예방·해결법이 속속 나오고 있다. 특히 SK텔레콤은 업계 최초로 스미싱에 따른 불법적인 결제 요청을 취소해주는 방침을 내놨다. 인터넷전자결제업체(PG)들과 함께 자사에 접수된 스미싱 피해 사례에 대해 확인 절차를 거친 뒤 스미싱으로 인한 결제가 확인되면 결제를 유보·취소해주기로 한 것. 올해 초 SK텔레콤에 접수된 소액결제 차단 요청은 16만 건에 육박하는데 이는 작년 12월에 비해 4배가량 늘어난 것으로 대부분 스미싱 같은 소액 결에 피해에 따른 것으로 파악됐다. SK텔레콤은 이와 함께 스미싱 피해를 원천적으로 막기 위해 스마트폰 소액 결제에 비밀번호 인증제도를 도입할 방침이다.
NH농협은행에서도 인터넷뱅킹 파밍 사기를 원천 차단하는 ‘나만의 은행주소 서비스’를 개발, 시행한다. 농협은행 관계자는 “나만의 은행주소를 사용하면 PC에 저장된 은행주소를 피싱사이트 주소로 바꾸는 방식으로 해킹을 시도하는 악성코드가 은행주소를 찾을 수 없어 파밍이 원천 차단된다”며 “전자금융사고 예방의 대안이 될 것”이라고 설명했다.
업계뿐만 아니라 경찰청에서도 예방 프로그램을 공개해 다운로드 받을 수 있도록 무료로 배포중이다. 경남지방경찰청에서 만든 ‘파밍캅’은 파밍을 예방하는 프로그램으로 악성코드가 감염시킨 hosts파일을 제거할 목적으로 개발됐다. 경찰청 관계자는 “점점 진화되는 모든 ‘파밍’기법 전부를 파밍캅이 대응할 수 없기 때문에 백신의 사용은 물론 예방법을 준수해야 한다”고 강조했다.
<파밍, 스미싱 예방법>
1. 은행사이트에서 보안카드 일련번호 및 보안카드의 코드번호 전체를 입력하도록 권유하는 경우에는 경찰청(112)으로 신고한다.
2. 타인에 의한 공인인증서가 발급되지 않도록 거래은행 인터넷뱅킹에 접속해 전자금융사기 예방서비스에 가입한다.
3. 출처가 불분명한 이메일을 열어보거나 파일을 다운받는 것을 자제한다.
4. 핸드폰에 ‘쿠폰’, ‘상품권’, ‘무료’ 등의 단어를 스팸문구로 등록해 문자전송을 차단한다.
5. 공인된 오픈마켓이 아니면 애플리케이션을 깔지 않는다.
6. 통신사 고객센터나 홈페이지를 통해 ‘휴대폰 소액결제’ 서비스를 차단한다.
이러한 상황에 발맞춰 얼마 전 청와대에서 불법 고금리 대부업체, 폭행·협박 등의 방법으로 꿔준 돈을 받아내는 불법채권추심업체, 불법 다단계유사수신행위, 보이스피싱, 서민형 갈취사범, 불법사행행위 등을 중점 단속하는 ‘서민생활 침해 사범 근절방안’을 대책으로 내놨다. 이는 청년실업·신용불량자 증가 등 어려운 경제상황에 편승해 서민생활을 위협하는 민생침해사범이 증가하는 것에 대한 대응조치로 풀이된다. 또한 ‘피싱대응센터’를 개설해 신종 금융사기를 근절하기 위한 발판을 마련했다. 이렇게 정부가 적극적인 지원을 약속한 만큼 사용자들 또한 신종 금융사기에 현명하게 대처할 수 있는 능력을 길러야 할 것으로 보인다.
