뉴스

[취재파일] 계좌번호까지 손에 넣은 피싱사기단의 신종 수법

[취재파일] 계좌번호까지 손에 넣은 피싱사기단의 신종 수법
바퀴벌레처럼 생명력이 강하고 카멜레온처럼 주변 환경에 자신을 적응시키고 있는 것이 피싱 사기단인 것 같습니다. 교묘한 수법에 놀라고 발 빠른 움직임에 경악을 금치 못합니다. 불과 지난 4월입니다. 피싱 사기단이 가짜 은행 사이트를 만들어 놓은 뒤 인터넷이나 모바일 뱅킹 이용자를 노리고 문자를 보내 스마트 폰으로 그냥 클릭해 접속하면 보안카드 번호와 비밀번호를 알아내 그 즉시 돈을 인출해 가거나 대출받아 간다는 소식을 전해드렸던 시점이 말입니다.

이후 금감원이 가짜 사이트 주의보를 발령했고, KB국민은행과 우리은행, 신한은행 등은 인터넷으로 이뤄지는 대출을 전면 중단시켰습니다. 그러면서 “은행에서 보내는 문자는 문자 내용에 고객 이름이 있으니 피싱 문자와 구별하라”는 설명도 은행 측에서 했습니다. 피싱 문자를 보내는 사기단이 발신번호를 조작할 수 있어 은행 대표 번호로 보내서 속는 고객들이 있기 때문이었습니다.

그런데 이달 초부터는 가짜 은행사이트 접속을 유도하는 피싱 사기 문자가 휴대전화 소유자의 이름과 계좌번호까지 정확하게 포함돼 전송이 되고 있습니다. "000고객님, 00은행입니다. 당신의 계좌번호 000000의 보안서비스를 강화해야 하니 등록하시기 바랍니다"는 식입니다. 불특정 다수에게 같은 내용의 문자를 보내는 방식이 아니라 보내는 대상을 특정해 놓고, 그 사람 이름과 거래은행 계좌번호, 휴대전화를 적어도 정확히 알아야 가능한 문자를 보내는 겁니다. 취재를 해보니 6월 초부터 등장한 이 피싱 사기 문자는 NH농협은행에서 확인한 것만 일주일 동안 15건이고, 비슷한 시기에 KB국민은행과 우리은행에도 이런 피싱 사기 문자를 받았다는 고객의 신고가 접수된 것으로 드러났습니다. 
이미지
단순 피싱보다 훨씬 심각하고 차원이 다른 문제입니다. 은행에서는 계좌번호와 고객 이름 같은 정보는 엄격한 보안 장치를 만들어 외부 유출을 막도록 하고 있습니다. 이런 정보가 피싱 사기단 손에 넘어갔다는 겁니다. 어디서 유출됐는지 도대체 몇 명의 정보나 입수하고 있는 지 정확히 파악 먼저 해야 할 사안입니다. 일단 내부 조사를 벌였던 은행들은 “결코 은행에서 유출된 정보가 아니다” 라고 말하고 있습니다. 그러면서 해당 문자를 받은 고객들이 공통적으로 대부분 특정 통신사 고객이면서 해당 계좌번호를 통신사 자동이체 결제 계좌로 쓰고 있다며 통신사 대리점에서 유출됐을 가능성을 의심하고 있습니다.

물론 아직 100% 확증이 없기 때문에 경찰에 어떤 통신사인 지에 관해선 넘기지 못하고 있다고 합니다. 은행들의 연락을 받고 진상 파악에 나섰던 금융감독원도 은행 해킹이나 은행 쪽 정보유출보다는 통신사나 쇼핑몰 등에서 계좌번호 같은 정보가 흘러나갔을 것으로 보고 있습니다. 실제 공동 구매가 진행되는 인터넷 쇼핑몰이나 개인 블로그 등을 보면 이름과 계좌번호를 입력하게 돼 있는데 이들 사이트의 보안수준은 그리 높지 않기 때문에 추출 프로그램을 가동하면 쉽게 계좌번호 정보 등을 구할 수 있는 환경이라고 보안전문가들은 말합니다. 다시 말해 피싱 사기 수법이 또 어떻게 어떤 방식으로 진화될 지 알기 어렵다는 뜻이기도 합니다.
이미지
가짜 은행 사이트 등에 접속을 유도하는 피싱 사기는 최근 급증세를 보이고 있습니다. 한국인터넷진흥원(KISA)에 신고돼 접속이 차단된 건수를 보면 지난해의 경우 1년 모두 합쳐서 74건에 불과했는데 올해는 5월까지만도 벌써 2,271건이나 됩니다. 이 가운데 1,137건이 5월에 집중돼 있고 6월 통계까지 포함시키면 숫자는 더욱 늘 것으로 보입니다. 가짜 사이트 한 번 만드는데 2백만원도 들지 않는다고 하니 사기단들이 계속 사이트 주소를 바꿔가면서 사기를 치고 있는 것으로 보입니다. 상대적으로 보이스 피싱에 대한 단속이 강화되니까 이쪽으로 집중하고 있는 분위기도 있는 것 같습니다.     

금융감독원이 보이스 피싱 사기 피해를 줄이겠다면서 300만원 이상의 거래를 CD와 ATM 등에서 할 때는 10분간 지연입금을 하도록 하는 방안을 실시하게 했지만, 인터넷 뱅킹을 통한 현금 이체는 대상이 아니기 때문에 스마트 폰 이용자를 노린 이런 가짜 은행사이트 피싱 문자 사기에는 적용되지 않습니다. 순식간에 당하고 아차 싶어도 늦는다는 말입니다.

피싱 사기단은 은행이 고객들에게 피싱 사기 주의에 관한 문자를 보내면 그 문자에 담긴 문구를 변형해서 바로 사기 문자를 보낼 정도로 신속하게 대응하고 있습니다. 따라서 아무리 진짜 은행에서 보낸 것 같은 문자를 받는다고 하더라도 해당 사이트에 접속하기 전에는 반드시 사이트 주소를 은행 측에 확인할 필요가 있고, 무엇보다 보안카드 번호 35개를 모두 입력시키라고 한다면 무조건 피싱 사기로 보고 응하지 않아야 피해를 막을 수 있습니다.
   
Copyright Ⓒ SBS. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지

많이 본 뉴스

스브스프리미엄

스브스프리미엄이란?

    댓글

    방금 달린 댓글
    댓글 작성
    첫 번째 댓글을 남겨주세요.
    0 / 300

    댓글 ∙ 답글 수 0
    • 최신순
    • 공감순
    • 비공감순
    매너봇 이미지
    매너봇이 작동 중입니다.