[컴퓨터월드] 지난 1월 발생한 카드사 고객정보 유출 사건은 온 국민의 마음을 불안하게 만들었다. 단순히 이름, 전화번호와 같은 개인정보뿐만 아니라 카드번호와 결제계좌정보 등 금융정보까지 유출됐다는 소식이 알려졌기 때문이다. 금융당국은 고객정보 유출로 인한 2차 피해를 방지하기 위해 여러 방안들을 내놓으며 국민들을 안심시키기 위해 노력했지만, 한 번 무너진 국민들의 신뢰를 다시 회복시키긴 많은 시간이 걸릴 것으로 보인다.

이번 카드사 고객정보 유출과 관련, 가장 우려되는 2차 피해는 단연 금융사기다. 본지는 이번 호에서 보이스피싱, 스미싱, 파밍, 메모리해킹 등 국민들의 불안한 심리를 이용해 부당한 방식으로 금전적인 이득을 취하는 주요 금융사기 방법들과 이들을 예방할 수 있는 방법들에 대해 알아본다.

(1) 보이스피싱
전화상 상세 정보 물을 시 보이스피싱 의심해야

대전에 거주하는 박 모씨(60대)는 지난 2013년 3월 21일 오후 5시경 경찰청 사이버수사대를 사칭한 사기범으로부터 최근 주요은행 및 방송사의 해킹사고로 보안강화가 필요하다며 인터넷뱅킹 거래는 위험하니 텔레뱅킹 거래를 해야 한다는 전화를 받았다.

박 씨는 전화 내용에 따라 N은행에 텔레뱅킹 거래를 신청하고 사기범에게 텔레뱅킹 이용을 위한 계좌번호, 비밀번호, 보안카드 코드번호 등을 알려 줬다.

사기범은 박 씨가 알려준 정보를 이용해 박 씨 통장에서 190만원을 자신의 통장으로 이체하여 편취했다.

‘보이스피싱’은 이처럼 전화로 수사기관·정부기관·금융기관 등을 사칭해 돈을 송금하게 하거나 개인정보·금융정보 등을 물어보는 금융사기 수법이다. 보이스피싱은 지난 2006년 최초 발생한 오래된 금융사기 수법이지만, 별다른 준비물 없이 전화 한 통화로 이용자들의 불안 심리를 이용해 금품을 갈취할 수 있기 때문에 피해가 꾸준히 발생하고 있다.

보이스피싱으로 인한 피해를 막고자 경찰이 특별단속, 제도개선 및 대대적인 홍보에 나섰고, ’08년 기점으로 ’10년까지 피해 건수도 감소했지만, 손쉬운 방법으로 인해 보이스피싱은 여전히 대표적인 금융사기 수법으로 이어져 오고 있다.

만약 모르는 번호로 전화가 걸려왔을 때 공공기관 또는 금융기관을 사칭한다면 일단 보이스피싱을 의심할 필요가 있다. 전화로 경찰, 검찰, 금융감독원 또는 은행직원을 사칭하는 경우 일단 전화를 끊고 해당 기관에 문의하여 실제 그런 사람이 근무하는지 확인하고, 직접 통화해야 한다.

전화말투가 조선족 억양, 통화자의 말을 잘 못 알아듣는 경우, 책을 읽는 듯한 말투, 본인 이야기만 하는 경우에도 의심이 필요하다. 녹음된 멘트로 시작하는 전화는 사기전화 아니면 영업용 전화로서 수사기관에서는 이용하지 않으며, 공공기관이나 신용카드사 등에서는 항상 공식적으로 인정되는 ‘서면(우편)’을 이용한다는 사실을 명심해야 한다.

또한 전화상으로 개인정보 및 금융정보를 상세히 물을 때도 역시 보이스피싱을 의심해야 한다. 통상 공공기관이나 금융기관에서 전화할 경우, 상대방의 개인 정보를 상당부분 알고 전화하는 경우가 많으며, 신분확인을 위해 주민등록번호 전체를 물어보는 경우는 없다. 특히, 금융기관에서는 개인의 금융정보 및 비밀번호를 알고 있으며, 공공기관에서는 이 부분을 알 필요가 없으므로, 이에 대해 상세히 묻는 경우 의심해야 한다.

현금지급기 조작을 지시하는 경우는 무조건 사기에 해당하므로 주의해야 한다. 현금지급기는 현금의 인출·이체·입금 등 단순 금융거래업무를 위한 기기이며, 보안코드 설정, 예금보호를 위한 안전장치 설정 등의 업무는 불가능하다. 따라서 위와 같은 사유로 현금지급기 조작을 지시하는 경우 100% 사기라고 봐도 무방하며, 특히 은행직원이나 타인에게 이야기하지 말라고 하면 반드시 의심해야 한다.

만약 보이스피싱으로 인한 피해를 입었을 경우 즉시 112로 피해 사실을 신고하고 해당 계좌에 대해 지급정지 요청을 해야 한다.

(2) 스미싱
출처 불분명한 링크주소 클릭하거나 앱 설치 금지

소매업을 하는 강모씨는 캐피탈 직원을 사칭한 자로부터 ‘스마트폰에 특정 앱(App)을 설치하면 본인의 신원 확인 및 대출이 가능하다’는 내용의 전화를 받은 뒤 해당 앱을 설치했다.

설치한 앱을 실행하자 여러 금융기관의 전화번호 목록이 나타났으며, 강씨가 대출을 이용 중인 R대부업체 연락처도 확인됐다. 이에 강씨는 상환방법을 문의하고자 전화통화를 시도(앱상 통화연결기능)하였으나, 강씨가 설치한 앱은 통화연결 시 자동으로 특정번호(사기범)에게 전화가 연결되었고, 사기범이 알려준 상환계좌로 196만 원을 송금하여 피해를 입었다.

이처럼 앱 실행 후 사기전화로 연결을 유도하여, 사기범이 기존 대출금의 상환을 요구하거나 대출해주겠다며 수수료를 요구하는 ‘스미싱’이 등장해 주의가 필요하다.

스미싱은 악성 앱 주소가 포함된 휴대폰 문자메시지(SMS)를 대량으로 전송 후, 이용자가 악성 앱을 설치하도록 유도하여 금융정보 등을 탈취하는 금융사기 수법이다. 지난 2013년 10월까지 경찰에 접수된 스미싱 피해 건수는 28,469건, 피해액도 54억 원에 이른다.

그러나 최근 들어 스미싱의 원인인 악성코드가 계속 진화하면서 신·변종 스미싱 또한 증가하고 있다. 단순히 악성 앱 주소가 포함된 링크를 첨부해 소액결제를 유도하는 것을 넘어 강씨 사례처럼 기관을 사칭하여 악성 앱을 깔게끔 유도, 개인·금융정보를 탈취하고 그 정보를 이용한 피해자 예금 인출방식으로 진화하고 있다.

이와 같은 스미싱 피해를 막기 위해서는 우선 출처가 불분명한 링크주소를 클릭하거나 앱을 설치하지 말아야 한다. 특히 ‘무료(할인)쿠폰’, ‘모바일 청첩장’, ‘돌잔치 초대’, ‘금리비교’ 등으로 전송된 문자메시지에 첨부된 링크를 클릭했을 경우 스미싱용 악성 앱이 설치될 수 있기 때문에 더욱 주의가 필요하다.

휴대폰 소액결제를 이용하지 않는다면 해당 서비스를 차단하는 것도 피해를 예방할 수 있는 방법이다. 해당 통신사 고객센터에 연락하거나 통신사 인터넷 홈페이지를 이용하면 휴대폰 소액결제 차단 신청이 가능하다.

또한 스마트폰용 백신프로그램을 설치하고 주기적으로 업데이트하여 악성코드 설치를 차단하는 한편, 확인되지 않은 앱이 함부로 설치되지 않도록 보안 설정에서 ‘알 수 없는 출처’에 체크표시를 해제하는 것도 스미싱을 위한 악성코드 설치를 막을 수 있다.

(3) 파밍
보안강화 목적으로 금융정보 요구 안 해

J씨(37세, 남)는 인터넷뱅킹을 하기 위해 사무실 컴퓨터를 통해 은행사이트로 접속하자 금융감독원이라며 보안인증이 필요하다는 팝업창이 떴다. 이에 J씨는 해당 팝업창을 클릭하여 파밍 사이트로 연결했고, 이 사이트에서 개인금융거래정보를 입력하라는 내용을 보고, 의심 없이 관련 정보를 입력했다. J씨는 이후 한 시간 동안 총 20회에 걸쳐 5,200만 원 상당의 금전 피해를 입었다.

이처럼 이용자 PC를 악성코드에 감염시켜, 정상사이트로 접속해도 이용자 모르게 가짜 사이트로 유도하여 금융정보 등을 탈취하는 ‘파밍’이 기승을 부리고 있다. 이용자는 정상사이트로 접속했기 때문에 자신이 접속한 사이트가 가짜라고 인식하지 못하며, 이에 요구하는 금융정보를 의심하지 않고 입력하게 됨으로써 피해가 발생한다.

그러나 국내 어떤 은행에서도 보안강화 등을 목적으로 계좌번호와 비밀번호, 보안카드번호 등 금융정보를 요구하는 곳은 없다. 만약 인터넷 뱅킹 이용 시 보안강화(보안승급)를 이유로 계좌번호, 비밀번호, 보안카드번호 등을 입력하라는 창이 뜨면, 금융사기 수법인 ‘파밍’에 당할 수 있으므로 요구하는 정보를 절대 입력해서는 안 된다.

이용자가 파밍을 위한 악성코드에 감염됐다 하더라도 금융정보를 입력하지 않았다면 일단 피해는 막을 수 있다. 그러나 한 번 악성코드에 감염됐다면 이후로도 지속적으로 파밍에 의한 피해를 입을 수 있기 때문에 백신 프로그램 등을 이용하여 악성코드를 치료해야 한다.

파밍과 같은 금융사기를 예방하기 위해서는 잘 모르는 웹 사이트 접속을 자제하고, 출처가 불분명한 파일은 다운로드 하지 않는 것이 좋다. 또한 백신 프로그램은 주기적인 업데이트를 통해 최신 버전 상태를 유지하고, 파밍으로 의심되는 사이트로 접속될 시 즉시 해당 금융기관에 신고해야 한다.

(4) 메모리해킹
인터넷뱅킹 도중 비정상적 동작 감지되면 금융기관 문의해야

직장인 안 모씨는 지난 2013년 9월 11일 △△은행 홈페이지에 접속해 자금을 이체하고자 계좌번호, 보안카드번호, 이체 및 공인인증서 비밀번호 등을 입력했다. 모든 이체과정이 정상적으로 완료됐지만, 안 씨가 입력했던 입금계좌와 금액이 아닌 다른 입금계좌로 199만원이 이체되는 사고가 발생했다.

안 씨처럼 인터넷뱅킹을 이용해 이체가 완료됐지만, 본래 이체하려 했던 계좌가 아닌 다른 계좌로 이체가 되는 금융사기가 발생하고 있어 주의가 필요하다. 이는 신종 금융사기 수법인 ‘메모리해킹’ 때문이다.

이전까지 전자금융사기는 정상적인 홈페이지에서 인터넷뱅킹 도중 보안카드번호 입력 후 거래가 더 이상 진행되지 않고 비정상적으로 종료되는 특성이 있었으나, 신종 메모리해킹 수법에 당하면 정상적인 홈페이지에서 고객이 수취인 계좌번호, 금액을 입력하면 잠시 멈춤 현상이 발생한다. 이후 보안카드번호, 계좌비밀번호 등을 정상 입력하여 모든 이체 과정이 정상적으로 완료되지만, 고객이 보내고자 했던 계좌와 금액이 아닌 다른 계좌와 금액으로 이체된다.

특히 이체 과정이 정상적으로 진행되기 때문에 고객들은 이러한 피해 사실을 깨닫기까지 시간이 걸리는 경우가 많다. 그렇기에 인터넷뱅킹 이용 시 정상적인 인터넷뱅킹 절차에 따라 이체가 완료됐더라도 즉시 거래내역을 조회하여 입력한 수취계좌 및 금액으로 이체가 되었는지 확인해야 한다.

또한 인터넷뱅킹 과정에서 화면이 깜박거린다거나 컴퓨터에 비정상적인 동작이 감지되는 경우 즉시 해당 금융기관에 문의하여 이상 여부를 확인해야 한다.

이와 같은 메모리해킹 피해를 예방하기 위해서는 운영체제 및 백신프로그램을 최신 상태로 업데이트하여 실시간 감시상태를 유지하며, 출처가 불분명한 파일이나 이메일은 열람하지 말고 즉시 삭제하는 것이 좋다.

컴퓨터나 이메일 등에 공인인증서, 보안카드 사진, 비밀번호 등을 저장하는 것을 금지하고, OTP(일회성 비밀번호생성기)나 보안토큰(비밀정보 복사방지) 등을 사용하는 것도 피해를 예방하는데 도움이 된다.

이밖에도 인터넷뱅킹 이체한도 조정을 통해 거래금액을 최소화로 설정하면, 피해를 입더라도 그 규모를 줄일 수 있다.