[취재파일] 스마트폰 신종 피싱 기승…대책은 낮잠만

피싱 사기는 정말 독버섯 같습니다. 수법에 익숙해 질만하면 다른 수법으로 사기를 치고 있습니다. 최근에는 인터넷 뱅킹을 하는 스마트 폰 사용자들이 주된 타겟 입니다. 신종 피싱입니다. 여러분 가운데는 "난 그런 수법에 안 속는다" 며 안심하실 수 있지만 수법만 보면 혀를 내두르게 합니다.

지난해까지만 해도 피싱 사기라고 하면 검찰,경찰, 금감원 등 공공 기관을 사칭하면서 "당신이 사기를 당해 돈이 인출됐으니 개인정보를 알려 달라"는 식이었습니다. 그런데 요즘 수법은 진짜 금융회사 대표 번호로 문자를 보내 "포털 사이트 정보 유출 때문에 보완등급을 올려야 한다"고 합니다.

네이트 등 포털 사이트 정보 유출은 잇따랐고 당장 돈을 보내라는 게 아니니까 별로 의심을 안 하게 됩니다. 인터넷 뱅킹을 하는 스마트 폰 사용자는 이 문자에 적힌 사이트 주소를 무심코 클릭하게 됩니다. 그럼 은행 사이트와 거의 비슷한 인터넷 화면이 뜹니다. 문자를 보내온 번호도 은행 번호고, 사이트도 은행 사이트 처럼 생겼으니까 이때부터는 시키는 대로 하게 된다는 것이 피해자들의 공통적인 반응입니다.

사이트에서 입력하라는 대로 계좌 번호와 비밀번호, 그리고 보안카드 번호를 넣으면 "보안등급이 올랐다"는 창이 뜨면서 끝나는데 그 순간부터 피싱 사기단은 피해자의 금융정보로 공인인증서를 발급받아서 인터넷 뱅킹으로 돈을 인출해 갑니다. 제가 만난 피해자는 순식간에 계좌에서 천 만원이 넘는 돈이 인출됐습니다. 사기단이 공인인증서를 발급받아서 비밀번호를 바꿔버리면 뒤늦게 피해자들이 인터넷 뱅킹에 접속하려 해도 할 수가 없게 돼 버립니다.



이런 수법의 피싱 사기는 지난 달부터 급증세를 보이고 있습니다. 가입자가 가장 많은 KB국민은행을 사칭하는 사기가 많지만 우리은행, 농협, 신한은행 등 다른 은행 고객들의 피해도 잇따르고 있습니다. KB국민은행의 경우 요즘 하루에 20~30건씩 다른 주소의 피싱 사이트가 신고되고 있을 정도입니다. 보통 피싱 사이트가 신고되면 은행이 확인을 거쳐서 KISA, 즉 한국인터넷진흥원에 신고해 차단하는데 얼마나 늘었는지 KB국민은행이 차단한 피싱 사이트 건수를 봤더니 지난해 전체 건수가 9건 밖에 안 됐는데 지난달에만 29건으로 늘었습니다. 이달에는 지금까지 무려 270개 피싱 사이트를 차단했습니다.

한국인터넷진흥원 통계를 보더라도 올해 1분기에 발견된 피싱 사이트만 천 218개나 됩니다. 지난해 전체 건수가 천 849개인데 1분기 만에 그 숫자를 육박하고 있습니다. 문제는 피싱 사기단이 이런 피싱 사이트 주소를 하루나 이틀 단위로 바꾸고 있다 보니까 피싱 사이트로 등록하고 차단하는 대책이 별다른 효과를 발휘하지 못하고 있는 실정입니다.

피해 신고가 잇따르자 금감원이 가짜 은행 사이트 접속을 유도하는 문자 피싱에 주의하라는 경고를 하고 나섰는데 피해자들은 너무 늦은 것 아니냐는 불만도 있습니다. 금융당국이나 은행들이 미리 문자로 이런 신종 피싱에 주의하라는 경고만 해 줬더라고 덜 속지 않았겠느냐는 겁니다.  

그나마 피해를 줄일 수 있는 다른 대책도 낮잠을 자고 있기는 마찬가지 입니다. 올 들어 금융회사를 사칭한 피싱 사기의 공통점은 그 회사 대표번호로 문자나 전화를 하고 있다는 겁니다. 이미 SC제일은행, 외환카드, 삼성생명 등이 각각 자기 회사 대표전화로 피싱 사기가 이뤄지고 있다며 고객들에게 주의보를 발령했습니다. 이런 수법이 가능한 이유는 주로 중국 등 해외에서 인터넷 전화를 사용해 피싱 사기를 하는 단체들이 발신자 번호를 조작하고 있기 때문입니다.

그래서 방송통신위원회가 이렇게 해외에서 걸려오는 발신자 번호를 조작하는 것을 제한하도록 통신사업자들이 기술적 조치를 의무적으로 취하라는 내용의 전기통신사업법 개정안을 냈습니다. 국회에 제출해 당초 올 2월 통과, 8월 시행을 목표로 했는데 처리는 미뤄졌고 18대 국회에서는 처리가 어려울 전망입니다. 그렇게 되면 19대 국회 원 구성을 기다려야 하는데 대선 일정까지 맞물려 있어서 과연 올해 처리나 할 수 있을 지 의문입니다. 그 동안 신종 피싱 피해자는 계속 늘어날 텐데 말입니다.  

결국은 스스로 더욱 조심할 수 밖에 없는 현실인데 몇 가지 신종 피싱 사기를 구별할 수 있는 방법이 있으니 알아두실 필요가 있을 것 같습니다. 우선 은행에서 고객에게 중요한 문자 메시지를 보낼 때는 보통 고객 이름이 문자에 포함돼 있습니다. 예를 들어 ‘000 고객님’ 이런 식으로 말입니다. 그렇기 때문에 만약 은행에서 보냈다는데 자신의 이름이 없다면 일단 의심하실 필요가 있습니다. 또 금융회사는 문자메시지로 보완등급을 올릴 것을 요구하지 않습니다. 보완등급을 올린다며 고객의 금융정보를 입력하도록 하지도 않습니다.

가장 중요하게 보셔야 할 것은 보안카드 번호를 어떻게 요구하느냐 입니다. 금융회사에서 고객에게 보안카드 번호를 요구할 때는 처음 두 자리나 끝 두자리 처럼 일부만 입력하도록 합니다. 그런데 피싱 사기단은 보안카드 전체 번호를 알아야 사기를 칠 수 있으니까 보안카드 번호 전체를 입력하도록 합니다. 따라서 어떤 내용의 문자가 됐건 보안카드 전체를 요구한다면 100% 피싱 사이트로 간주하시면 될 것 같습니다.

마지막으로 혹시 피싱을 당하셨다면 바로 112로 신고를 해서 출금 정지를 요청하시고 비밀번호와 보안카드 번호를 바꿔야 피해를 줄일 수 있습니다. 요즘엔 112로만 전화해도 연결을 해서 이런 대처가 다 가능하니까 참고하시길 바랍니다.