돌잔치 초대 사기도 등장…출처 불분명한 링크주소 함부로 클릭 말아야
정부는 최근 신·변종 금융사기(피싱, 파밍, 스미싱) 피해가 반복적으로 발생하고 이에 대한 대국민 유의사항 전파가 필요하다며 미래창조과학부·금융위원회·경찰청·금융감독원 등 관계기관 합동 주의경보를 발령했다.
신·변종 전자금융사기 합동경보제란 지능화되는 보이스피싱 수법에 적극 대응하고 피해 확산을 조기에 차단 및 예방하기 위해 미래부·금융위·경찰청·금감원 4개 기관이 공동으로 경보 발령 및 전파·홍보하는 제도다.
신종·변종 수법으로 인한 피해가 연속해서 발생하거나 대국민 유의사항 전파가 필요한 경우 발령되며 지난 3월 제도 도입 당시 첫 ‘파밍’ 합동 경보가 발령됐으며 이번이 두 번째 발령이다.
다음은 관계기관이 밝힌 최근 진화된 금융사기 수법이다.
| ◈ 대포통장 이용 → 정상계좌 이용 (피싱) 전화로 국가기관, 금융회사 등을 사칭하거나 자녀 납치 등으로 피해자를 기망 또는 협박하여 피해자의 자금을 대포통장계좌로 이체 후 현금인출기를 통해 인출 (신·변종 피싱) 피해금을 대포통장계좌로 이체하는 대신 귀금속 등 물품판매자의 정상 계좌로 송금 또는 이체하여 물품을 인도받은 후 현금화 ◈ 가짜사이트, 보안카드번호 전체 → 정상사이트, 보안카드 앞,뒤 번호 (파밍) 이용자PC를 악성코드에 감염시켜 정상적인 인터넷뱅킹 사이트에 접속해도 가짜사이트로 유도되어 해커가 비밀번호, 보안카드번호 전체 등 금융거래정보 탈취 후 자금을 이체 (메모리해킹)정상 인터넷뱅킹 사이트에서 가짜 팝업창을 띄워 이체에 필요한 보안카드 비밀번호 앞·뒤 2자리를 탈취 후 자금을 이체 ◈ 이용자 모르게 악성앱 설치, 휴대폰 소액결제 → 가짜 금융회사앱 설치, 사기 전화 (스미싱) 사기범이 휴대폰 문자메시지를 통해 이용자가 모르게 악성 앱을 설치하여 휴대폰 소액결제 관련 정보를 탈취한 후 게임사이트에서 아이템 구매 등으로 피해 일으킴 (신·변종 스미싱) 문자메시지를 통해 금융회사를 가장한 앱을 설치하고 앱에 표시된 번호로 전화를 걸면 사기 전화로 연결되어 기존 대출금의 상환을 요구하거나 대출해주겠다며 수수료를 요구 |
관계기관이 밝힌 신·변종 전자금융사기의 유형은 다음과 같다.
첫째 신·변종 피싱이다.
정상계좌를 이용한 피싱은 피싱을 통해 피해금을 편취한 후 고가의 보석 구매나 모바일상품권 구매를 위해 해당 판매자의 정상계좌로 송금 또는 이체하고, 물품을 인도받은 후 현금화한다.
통신사 사칭 피싱은 통신사 전화번호로 발신번호를 변작 후 피해자에게 전화를 걸어 통신요금 체납, 핸드폰 교체 이벤트 등을 가장하여 개인정보나 금융정보 등을 요구한다.
통신사 사칭 비율은 올1분기 21.8%에서 2분기 들어 43.1%로 급증해 각별한 주의가 요구된다.
둘째는 신·변종 파밍 및 메모리 해킹이다.
이중 메모리 해킹은 이용자PC를 악성코드에 감염시켜 정상적인 인터넷뱅킹 화면에서 가짜 팝업창을 띄워 이체에 필요한 보안카드 비밀번호 앞·뒤 2자리 숫자를 탈취 후 자금을 편취한다.
올 6~7월 총 112건이 발생해 6억 9500만원의 피해가 발생했다.
| <메모리 해킹을 이용한 금융피해 흐름 > |
 |
포털사이트를 사칭한 피싱사이트 수법도 있다. 이용자PC를 악성코드에 감염시켜 정상적인 포털사이트에 접속해도 피싱사이트로 유도되고, 재차 금융회사를 가장한 피싱사이트로 유도하는 수법이다.
| <정상 포털사이트> |
<포털사이트 사칭 피싱사이트> |
 |
 |
셋째 신·변종 스미싱이다.
이중 대출금리비교 사칭 앱은 사기범이 ‘대출금리 간편 비교’ 등 대출관련 문자를 발송하고, 피해자가 메시지에 포함된 인터넷 주소 클릭시 금융회사를 가장한 앱을 설치하는 수법이다.
앱 실행 후 사기전화로 연결을 유도해 사기범은 기존 대출금의 상환을 요구하거나 대출해주겠다며 수수료를 요구한다. 최근 2개월간 약 10여건의 피해(상담) 사례가 접수됐다.
청첩장·돌잔치 사칭 앱도 있다. 사기범은 피해자의 지인을 사칭해 ‘모바일 청첩장’이나 ‘돌잔치 초대’를 가장한 문자메시지를 발송하고, 피해자가 메시지에 포함된 인터넷 주소 클릭시 악성 앱이 설치된다.
휴대폰 소액결제(월 30만원 한도) 피해가 발생하며 개인정보 및 금융정보를 탈취당할 수 있다.
| <청첩장 사칭 문자메시지> |
<돌잔치 사칭 문자메시지> |
 |
 |
관계기관이 밝힌 피해 예방 요령은 다음과 같다.
◆ 피싱 예방 요령
우선 공공기관, 금융회사, 통신사 등을 사칭한 기망·공갈에 주의해야 한다.
보안강화 등을 빙자해 특정 사이트 또는 현금인출기로 유도하거나, 개인정보 또는 금융정보(보안카드번호 등)를 요구하는 경우 100% 피싱 사기다.
또, 피해 발생 시 경찰청(112) 또는 금융회사에 즉시 지급정지를 요청해야 한다.
피싱사이트에 금융거래정보를 입력했거나 피해가 발생한 경우 즉시 경찰청(112) 또는 금융회사(콜센터)에 신고해 사기계좌의 지급정지를 요청한다.
◆ 파밍·메모리해킹 예방 요령
무엇보다 악성코드 탐지 및 제거 등 PC보안점검을 생활화하는 것이다.
백신프로그램을 항상 최신으로 업데이트하고 악성코드 탐지 및 제거를 주기적으로 수행한다. 출처가 불분명한 파일 다운로드나 이메일 클릭 등을 금지한다.
보안카드보다 안전성이 높은 보안매체를 적극 이용하는 것이다. 일회용 비밀번호 생성기(OTP) 이용이 권장된다.
거래은행 홈페이지에서 전자금융사기 예방서비스를 반드시 가입하는 것도 좋다.
공인인증서를 (재)발급받거나 인터넷뱅킹으로 300만원 이상(1일 누적) 이체시 본인확인(전화확인, SMS인증)이 강화된다.
이 경우 사기범이 타인 명의의 공인인증서를 (재)발급받거나 인터넷뱅킹을 통한 부정이체를 예방할 수 있다.
◆ 스미싱 예방 요령
출처가 불분명한 링크주소 클릭 및 앱 설치를 금지한다.
‘무료(할인)쿠폰’, ‘모바일 청첩장’, ‘돌잔치 초대’, ‘금리비교’ 등으로 전송된 문자 클릭 시 스미싱용 악성 앱이 설치될 수 있으므로 특히 주의해야 한다.
휴대폰 소액결제 미이용시 통신사 콜센터를 통해 차단해야 한다.
미래부 등 관계기관은 경보 발령된 유의사항에 대해 가용 전파매체를 모두 활용해 국민들의 주의를 촉구하는 한편, ‘국민공감 기획수사’와 연계해 신·변종 금융사기 특별단속을 오는 11월 19일까지 지속적으로 실시할 계획이다.
지방청 금융범죄수사팀, 경찰서 지능팀 등 전문 수사인력 중심으로 콜센터·송금책·인출책 등 검거에 주력하기로 했다.
◆ 신·변종 전자금융사기 유형별 피해사례 모음
<피싱사례 1> 정상계좌를 악용한 피싱
경기도 구리시에 거주하는 김모씨는 6월경 인터넷뱅킹을 이용하기 위해 본인이 거래하는 은행 사이트를 포털사이트검색을 통해 접속하였으나 PC가 악성코드에 감염되어 피싱사이트로 접속되었고 금융거래정보를 입력하였다.
사기범은 피해자로부터 편취한 개인정보를 이용하여 상품권 판매처에서 140만원 상당의 상품권을 구매한 후 상품권을 수령 및 현금화하며, 상품권 구매대금은 피해자가 피싱사이트에 입력한 정보를 통해 사기범이 인터넷뱅킹으로 지급했다.
<피싱사례 2> 통신사 사칭 피싱
서울에 거주하는 김모씨는 5월경 전화요금이 미납되어 사용 정지되니, 상담을 원하시면 0번을 누르라는 전화를 받고 상담원에게 개인정보 등을 알려줬다.
그런 후 수사기관을 사칭하는 전화가 걸려 와서 “피해자의 명의로 대포폰이 개설되었고 대포폰의 미납요금이 피해자의 계좌에서 인출되니, 빨리 다른 곳으로 예금을 이체시켜라”고 독촉을 받았다.
경황이 없던 피해자는 사기범이 시키는 대로 하였고, 결국 자신의 계좌에 있던 예금이 사기범의 계좌로 송금되어 수천만원의 피해를 입었다.
<메모리해킹 사례> 메모리 해킹
피해자 최모씨가 8월 6일 오후 4시경 돈을 송금하기 위해 은행 홈페이지에 접속하여 자금을 이체하고자 공인인증서로 로그인했다.
정상적으로 인터넷뱅킹을 진행하는 과정에서 계좌비밀번호와 보안카드 번호 앞·뒤 2자리를 입력하였으나, 오류가 발생하여 더 이상 진행이 되지 않자 거래를 중단했는데, 그날 밤 10시경 본인도 모르게 은행 계좌에서 890만원이 이체되어 피해를 입었다.
<파밍 사례> 포털사이트 사칭 피싱사이트
충남 논산시에 거주하는 전모씨는 7월 4일 오후 4시경 본인PC를 통해 인터넷을 실행 후 네이버에 접속하자(→가짜 네이버사이트에 연결) 금감원을 사칭한 보안인증 안내문이 뜨는 것을 확인했다.
전씨가 해당 안내문을 클릭하자 개인금융거래정보를 입력하라는 새로운 창이 열려 사기임을 의심하지 않고 관련 정보 일체를 입력했다.
또, 다음날 오전 10시경에도 동일하게 접속해 본인 소유의 타 계좌 정보 일체도 입력하였는데, 그날밤 10시부터 7일일까지 총 15회에 걸쳐 3000만원 상당의 금전 피해를 입었다.
<스미싱 사례 1> 대출금리비교 사칭 앱
피해자 강씨는 H캐피탈을 사칭한 자로부터 ‘스마트폰에 특정 앱(App)을 설치하면 본인의 신원 확인 및 대출이 가능하다’는 내용의 전화를 받은 뒤 해당 프로그램을 설치했다.
앱을 실행하자 여러 금융기관의 전화번호 목록이 확인됐으며, 피해자가 대출을 이용 중인 R대부업체 연락처를 확인해 상환방법을 문의하고자 전화통화를 시도(앱상 통화연결기능)했다.
그러나 피해자가 설치한 앱은 통화연결 시 자동으로 특정번호(사기범)에게 전화가 연결되었고, 사기범이 알려준 상환계좌로 196만원을 송금해 피해를 입었다.
<스미싱 사례 2> 돌잔치 초대문자 사칭 스미싱
충북 청주시에 사는 이씨는 동료로부터 ‘돌잔치에 초대한다’는 내용이 담긴 문자메세지 한 통을 받았다.
이를 의심한 이씨가 동료에 확인한 결과 동료도 같은 문자메세지를 받아 링크된 주소를 무심코 눌렀고 본인도 모르게 전화번호부에 등록된 지인 전체에 돌잔치 초대문자가 발송됐다.
현재 소액결제 등의 금전적인 손해는 파악되지 않았으나, 신종 스미싱 수법으로 의심되므로 링크주소를 절대 클릭하지 말 것이 당부됐다.
박주환 기자
news@ejanews.co.kr