【건강다이제스트 | 정유경 기자】
【참고 | 금융감독원 보이스피싱 지킴이, 사이버경찰청】
그 황망한 눈빛을 지금도 잊을 수가 없다. 며칠 전 기자는 은행에서 진짜 보이스피싱 사기를 당한 어르신을 봤다. 창구에 웅성웅성 사람들이 모여 있길래 무슨 일인지 궁금해서 직원에게 물었다. 방금 나간 어르신이 보이스피싱을 당했다고 했다. 대출금이 밀렸으니 현금인출기로 가서 돈을 보내라는 전화에 속은 것이었다. 돈을 돌려받을 방법이 없는지 물으려고 들렀다고 했다. 안타깝게도 건네 들은 피해 액수도 상당했다.
금융사기 수법이 날로 교묘해지고 있다. 이를 막을 방법은 오직 사기를 당하지 않는 것뿐이다. 뛰는 사기꾼 위에 나는 당신이 되어야 한다. 진화하는 금융사기의 수법과 예방법을 알아본다.
피싱, 뭘까?
피싱보다는 보이스피싱이 익숙할 것이다. 피싱이란 개인정보(Private data)와 낚시(Fishing)의 합성어로 개인정보를 낚는다는 뜻이다. 개인정보를 전화로 얻으면 보이스피싱이 되는 것이다. 최근에는 금융기관 또는 공공기관을 가장해 전화나 이메일로 인터넷 사이트에서 보안카드 번호 전체를 입력하도록 요구해 금융 정보를 몰래 빼가는 수법이 판치고 있다. 이 거짓 사이트를 피싱사이트라고 부른다.
보이스피싱, 어떻게 진화했을까?
보이스피싱이 생겨난 초기처럼 여전히 사기범은 검찰, 경찰, 금융감독원, 금융기관 등을 사칭한다. 한 명의 피해자에게 사기범 3~4명이 교대로 여러 기관을 사칭해 전화를 걸어 개인 정보 제공을 유도한다. 최근에는 사기범들이 발신번호를 실제 공공기관과 금융기관의 전화번호로 조작해 더욱 혼란스럽게 만들고 있다. 그러나 검찰청, 경찰청, 금융감독원 등은 절대 전화로 금융거래정보를 묻지 않는다.
또한 현금지급기를 이용해서 세금, 보험료 등을 환급해 준다고 하거나 계좌 안전 조치를 해주겠다고 해도 사기다. 경찰도 금융감독원도 현금인출기로 예금보호조치를 해주지 않는다. 전화해서 갖은 이유를 대며 현금인출기로 유인할 경우는 100% 사기라고 보면 된다.
만약 금융거래 정보가 유출됐다면 바로 폐기해야 한다. 개인정보를 알려줬을 경우에는 가까운 은행에 방문해서 ‘개인정보 노출자 사고예방 시스템’에 등록하면 된다.
*보이스피싱 실제 사기 사례
H 씨는 ○○은행 직원이라는 자에게 “누군가 당신의 신분증을 가지고 돈을 찾아가려고 해서 경찰에 신고해주겠다.”는 전화를 받음. 잠시 후 경찰을 사칭하는 자가 전화를 걸어 “당신 통장 계좌에 있는 거래내역을 추적해야 하니 내가 불러주는 계좌로 돈을 이체시켜라.”라고 함. 이 말에 속아 5개 계좌로 총 3000만 원을 입금함.
피싱 사이트 어떻게 구별할까?
금융기관을 가장한 이메일은 의심하고 봐야 한다. 이메일에서 안내하는 은행 인터넷 주소를 의심 없이 클릭해서는 안 된다. 이때부터 본격적인 사기다. 이메일에서 안내하는 은행사이트가 가짜 은행사이트인 것이다. 해당 은행과 똑같이 만들어서 속기 딱 좋다. 그 사이트에 보안카드 번호를 전부 입력하게 만들어 금융정보를 캐내고, 사기범은 진짜 은행사이트에서 돈을 이체해 버린다.
따라서 은행에서 이메일이 오면 주소를 잘 확인해야 한다. 금융기관 주소와 다른 주소로 발송된 이메일은 즉시 삭제한다. 가짜 사이트 주소는 정상 사이트 주소와 비슷하지만 문자열 순서·특수문자 삽입 등에서 차이가 난다. 만약 이메일 첨부파일 확장자가 ‘.exe, .bat, .scr 등 압축파일’이면 열람해서 안 된다.
어떤 사이트라도 보안카드 번호 전부를 입력해서는 안 된다. 인터넷 뱅킹을 할 때는 OTP(일회성 비밀번호생성기), 보안토큰(비밀정보 복사방지)을 사용하는 것이 좋다.
금전적인 피해가 없었더라도 가짜 사이트에 입력했던 금융정보들은 해당 금융기관을 통해 모조리 변경해야 한다.
*피싱 사기 실제 사례
‘9월 카드 거래내역’이라는 제목의 이메일에서 안내하는 인터넷주소를 클릭하자 가짜 은행사이트로 접속됨. 보안카드 번호 전부를 입력한 결과, 범행계좌로 무단 이체를 당함.
파밍 악성코드 각별 조심
파밍(Pharming)이라는 신종 금융사기도 늘어나고 있다. 악성코드에 감염된 PC를 조작(Farming)해 금융정보를 빼내는 수법이다. PC가 악성코드에 감염되면 정상 홈페이지에 접속해도 피싱(가짜)사이트로 연결된다. 이 사이트에서 금융정보를 캐내 범행 계좌로 이체하는 방식이다.
파밍을 예방하기 위해서는 컴퓨터·이메일 등에 공인인증서, 보안카드 사진, 비밀번호 등을 저장하지 말아야 한다. 백신프로그램을 최신 상태로 업데이트하고 실시간 감시 상태를 유지한다. 공인인증서 사용 PC를 지정하는 전자금융사기 예방서비스에 가입하고 무료 다운로드 사이트 이용을 자제하는 것이 좋다.
*파밍 사기 실제 사례
피해자 184명이 동일한 파밍 수법으로 금융정보가 해킹당함. 공인인증서가 재발급되어 불시에 13억 원이 무단 이체됨.
택배, 명세서 사칭 문자 주의! 스미싱(Smishing) 예방법
우리나라의 높은 스마트폰 보급률답게 스마트폰을 이용한 스미싱 사기도 늘고 있다. 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어다. ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등이라고 써진 문자메시지와 연결된 인터넷주소를 클릭하면 악성코드가 스마트폰에 설치되어 피해자가 모르는 사이에 소액결제가 되고 개인·금융 정보가 빠져나간다.
요즘은 스미싱에 이용된 변종 악성코드가 소액결제 인증번호를 가로채는 것에 그치지 않는다. 피해자 스마트폰에 저장된 연락처, 사진(주민등록증·보안카드 사본), 공인인증서, 개인정보 등까지 빼가므로 자칫 큰 금융범죄로 이어질 수 있다.
따라서 출처가 확인되지 않은 문자 메시지의 인터넷주소를 클릭하지 말아야 한다. 혹시 지인 전화번호로 온 초대장이라도 인터넷 주소가 포함됐다면 진짜인지 확인해보는 것이 좋다.
미확인 애플리케이션이 함부로 설치되지 않도록 스마트폰의 보안설정을 강화해야 한다. 스마트폰의 보안 설정 강화 방법은 다음과 같다.
▲환경설정 → 보안 → 디바이스 관리 → ‘알 수 없는 출처’에 V체크가 되어 있다면 해제
가입한 이동통신사에 연락해 소액결제를 완전히 차단하거나 결제 금액 한도를 낮게 조정한다. 스마트폰도 PC처럼 백신프로그램을 설치하고 주기적으로 업데이트해야 한다. 보안 강화를 이유로 금융 정보를 요구해도 절대 입력해서는 안 된다.
*최근 등장한 스미싱 문자들
– 11월달 교통위반 단속 조회(스미싱 사이트 주소)
– 카드연체금 법원통지서입니다(스미싱 사이트 주소)
– 우체국택배 2~3일내로 택배 배송 예정입니다(스미싱 사이트 주소)