종합게시판

진화하는 낚시질 … 눈 뜨고 당한다

자유행동 2007. 9. 20. 10:08
진화하는 낚시질 … 눈 뜨고 당한다
주간동아 | 기사입력 2007-09-19 09:24
피싱 수법이 다양해져 최근에는 메신저를 통한 피싱인 스핌도 등장했다.

[주간동아]

대구의 자영업자 Y(59)씨는 6월 말 한 통의 전화를 받았다. 금융감독원(이하 금감원) 직원이라고 자신을 소개한 남자는 Y씨의 개인정보가 유출됐다면서 “큰 피해가 우려되니 통장 잔액을 금감원이 관리하는 안전한 계좌로 분산이체하라”고 제의했다. 당황한 Y씨는 다급히 그가 안내한 계좌 11개로 자신의 돈 1억여 원을 나눠 이체했다. 전화를 끊고 잠시 후 뭔가 이상하다고 느낀 Y씨. 확인해본 결과 돈은 이미 다 빠져나갔고, 11개의 계좌 모두 대포통장이었다.


휴대전화와 e메일, 가짜 홈페이지 등을 매개로 개인정보를 빼내 범죄에 악용하는 다양한 피싱(phishing) 사기가 기승을 부리고 있다. 최근 가장 심각한 문제를 낳고 있는 것은 전화 금융사기, 즉 보이스 피싱이다. 4, 5년 전 대만에서 유행하기 시작한 보이스 피싱은 2005년 말부터 우리나라로 옮겨와 빠르게 번지고 있다. 현재까지 총 400억원의 피해액이 신고됐을 정도다.

남녀노소 낚이는 데는 누구도 예외 없어

잘 알려진 것처럼 보이스 피싱은 전화를 통해 자동입출금기기(ATM)로 유도한 뒤, 상대가 불러주는 번호를 그대로 따라 누르게 해 돈을 이체하는 방식. 그런데 우둔한 사람들만 이런 보이스 피싱을 당하는 것일까.

“법원 직원도 보이스 피싱을 당했다는 말이 있습니다. 실제로 피해자 중에는 고학력 공무원이나 회사원들도 많습니다.”


지난 5월 말부터 시행한 보이스 피싱 관련 수사를 통해 4억원 규모의 피해를 낸 대만과 중국의 범죄조직을 검거, 구속 기소한 인천지검 마약조직범죄수사부 김종호 부장검사에 따르면, 피해자 50명 중에는 대학교수(2명), 공무원(7명) 등도 포함돼 있으며 20~40대가 절반에 이른다(20대 1명, 30대 8명, 40대 14명).


“보이스 피싱의 수법과 성격이 갈수록 다양하고 정교해지고 있습니다. 초기의 보이스 피싱이 국세청이나 보험관리공단을 사칭해 세금을 환급해주겠다며 계좌이체를 유도하거나 자식을 납치했다며 돈을 요구하는 방식이었다면, 최근에는 금감원이나 검찰청을 사칭해 ‘개인정보가 유출됐다’거나 ‘수사에 필요하다’는 식으로 불안감을 조성하는 등 수법이 진화했습니다.”(김종호 부장검사)

2005년부터 성행하고 있는 보이스 피싱 범죄는 중국·대만 폭력조직과 연관된 경우가 많다. 은행계좌를 만들거나 휴대전화 가입이 비교적 쉬운 재중동포가 많기 때문이다.


또 바로 통화하지 않고, 자동응답서비스(ARS)로 돌린 뒤 버튼을 누르게 해 전화를 돌려받거나 텔레마케터가 금감원 직원을 연결하는 식으로 여러 번의 단계를 거쳐 통화하기도 한다. 김 부장검사는 범죄 수법에 대해 “인터넷 폰으로 무차별적으로 전화를 거는 데다, 비교적 젊은 층이 전화를 받으면 언론에 자주 소개된 방식을 피해 접근한다”고 분석했다.

이 같이 진화하는 보이스 피싱 피해를 막기 위해 정보통신부와 한국정보진흥원이 나섰다. 두 기관이 7월 말 발표한 ‘보이스 피싱 피해 예방 10계명’에는 ‘범죄에 악용될 수 있는 동창회나 동호회 사이트의 주소록과 비상연락망 등 개인정보 파일을 삭제할 것’ ‘발신자 표시가 없거나 001, 080, 030 등 처음 보는 국제 전화번호는 받지 말 것’ ‘녹음 멘트로 시작되거나 ATM 사용을 유도하는 경우에는 대응하지 말 것’ 등 보이스 피싱 대처법이 담겨 있다.

또 이미 보이스 피싱을 당해 돈을 송금한 경우 즉시 은행에 연락해 ‘계좌지급정지’를 요청하거나 금감원‘개인정보노출자 사고 예방 시스템’에 등록해 추가 피해를 최소화할 것을 권고했다.

동창회 사이트 주소록 삭제 등 각별한 주의 필요


보이스 피싱뿐 아니라 e메일을 악용한 피싱도 갈수록 기법이 정교해지면서 증가하는 추세다. 금감원에 따르면 올 상반기 은행과 보험사에서 발생한 인터넷뱅킹 사고는 모두 11건, 피해금액은 1억2000여 만원으로 지난해의 2건, 피해액 1500만원에 비해 급속히 늘었다.

기존 피싱이 은행이나 쇼핑몰 등을 사칭해 개인정보를 입력하도록 e메일을 보낸 뒤 여기서 수집한 정보를 악용해 예금 등을 빼내는 수법이었다면, 최근에는 해커가 프로그램을 퍼뜨려 가짜 금융사이트로 연결되도록 해 개인정보를 훔치는 파밍(pharming) 수법이 등장했다.

스핌(spim)이라는 메신저 피싱도 있다. 스팸(spam)과 인스턴트 메신저(instant messenger)의 합성어인 스핌은 메신저를 통해 동영상이나 뉴스를 가장한 URL을 전달하고, 이 URL을 클릭한 사용자로 하여금 메신저의 아이디와 패스워드를 입력하도록 해 개인 신상정보를 빼내는 수법이다.

따라서 이런 신종 피싱 대처법으로 마이크로소프트사(社)는 메신저 사용자들에게 ‘메신저 자체의 보안기능을 설정할 것’ ‘안티 바이러스, 안티 스파이웨어 프로그램을 정기적으로 업데이트할 것’ ‘정기적으로 패스워드를 변경할 것’ 등 보안수칙을 제안했다.

석병희 안철수연구소 시큐리티대응센터장은 “피싱처럼 사회공학적 기법의 공격이 계속 증가하고 있는 만큼 사용자의 각별한 주의와 보안의식이 필요하다”고 충고했다.



구가인 기자 comedy9@donga.com