[김유성의 금융CAST]스마트폰 위에 올라탄 금융사기 - 피싱

[이데일리 김유성 기자] 보이스피싱 사기꾼들은 오늘도 부지런하게 뛰어다닌다. 검찰이나 금감원 직원들이 하는 어투를 흉내내고 그들이 쓰는 단어를 학습한다. 진짜 그들이 될 때까지 연습한다.

이들은 웹과 앱도 개발한다. 단순 개인 홈페이지가 아니다. 시중은행들과 거의 흡사하다. 되레 더 유려한 디자인을 자랑한다. 누가봐도 혼란스러울 정도다.

한 금융사의 진짜 앱(왼쪽)과 피싱용 가짜 앱(오른쪽). 피싱앱이 더 진짜 같다. (이미지 제공 : 인피니그루)

동남아시아에 등지에서 경찰들의 추적을 피한 채 조직적으로 움직인다. 나름 출근 시간과 퇴근 시간을 정하고 부지런히 일한다. 한국에서 이들을 쫓는 사람들은 ‘정말 열심히 산다’고 감탄할 정도다.

목적은 단 한가지다. 지금 이 글을 보는 당신을 속이기 위해서다. 당신 스스로 돈을 꺼내어 어딘가로 돈을 보내고, 그 돈을 가로채기 위한 목적이다.

‘난 젊어, 난 이런거 많이 들어봐서 알아’라고 혹시 생각하는지? 아니다. 고도로 훈련되고 조직적으로 움직이는 그들에게 당신도 당할 수 있다. 모바일 기술 고도화로 우리 생활은 편리해지는 동안 사기꾼들도 그들의 기량을 갈고 닦고 있다.

피싱, 스마트폰을 매개로 한 금융사기

피싱은 개인정보를 뜻하는 ‘private data’와 낚시를 뜻하는 ‘fishing’이 합쳐진 단어다. 스마트폰 시대 생겨난 신조어인 셈. 피해자의 개인정보를 취득하고 이를 활용해 피해자를 낚는 사기 수법이다.

전에는 보이스피싱이 주된 사기 수법이었다. 검찰 혹은 금감원 또 혹은 경찰을 사칭해 사기 전화를 거는 방법이다. 요새는 발신지 전화번호 정체를 알려주는 앱이 있고, 보이스피싱 사기 사례가 많이 알려져있다. 뜸금없이 검찰 타령을 하면 의심부터 하는 사람이 늘었다.

스마트폰 시대 들어 이들 사기꾼들은 피해자를 ‘낚는 것’을 넘어 ‘개미지옥’에 가둬놓으려고 한다. 덫을 만들고 피해자가 그 위를 지나게 하는 식이다. 예를 들면 가짜 웹사이트를 만들고 주요 금융정보 등 개인정보를 입력하게 하는 식이다.

자료 : 인피니그루

결과적으로 보이스피싱 사기는 전성기를 맞았다. 2014년 2595억원 정도였던 피해금액 규모가 2019년 6700억원 수준에 이르렀다. 40~50대 집안의 가장들이 가장 많이 당한다.

사기꾼들이 피해자에게 덫을 보내는 방법은 실감난다. 미리 탈취한 개인정보가 있다면 그것도 적절히 활용한다. 이쯤 되면 사냥이다. 원시 수렵시대 인간들이 구덩이를 파놓고 사냥감을 몰아 넣는 거나 다름없다.

문자메시지(sms)를 보내는 방법은 고전적인 수법이다. 수백만원이 결제됐다는 메시지를 보내고 놀란 예비 피해자가 링크를 누르게 만들거나 금융기관을 사칭한 현혹 메시지를 보낸다. 나도 모르게 돈이 인출됐거나 대출이 실행됐다는 내용 등이다.

문자에 표기된 전화번호로 전화를 하면 사기꾼이 전화를 받는다. 이들은 목소리를 낮게 깔며 ‘개인 정보가 도용당한 거 같다’며 사이버수사대에 연결해준다고 안내해준다. 개인정보를 확인하는 척하며 주민번호, 계좌번호, 카드번호를 알아낸다.

고전적인 보이스피싱 조직은 이쯤에서 스스로 돈을 피해자가 인출하도록 했다. 요즘 스마트한 보이스피싱 조직은 원격 제어 앱을 몰래 깐다. 앱이 설치되는 동안 전화통화를 끊지 못하게 한다.

장악된 스마트폰을 통해 스마트한 사기꾼들은 각종 카드대출, 현금서비스, 마이너스통장 대출 등을 받는다. 피해자들은 모르고 당할 수 밖에 없다.

혹여 피해 사실을 알게 된 피해자가 신고를 한다고 해도 소용없다. 개미지옥 안에 들어왔기 때문이다. 경찰, 금감원 등에 전화를 할 때, 스마트한 사기꾼들은 이 전화를 가로챈다. 2차 3차 피해까지 당하게 된다.

더 심각한 것은 이렇게 장악된 전화가 또다른 보이스피싱의 숙주가 된다는 점이다. 지인, 가족에 카카오톡 메시지를 보내고, 또 링크를 누르게 만드는 식이다. 돈을 빌려달라고 하는 것은 애교에 속하고, 사칭 앱을 깔도록 만들기까지 한다.

방송인 홍석천이 자신의 인스타그램에 올린 카톡을 통한 금융사기 사례

우리에게 편리함을 안겨다 준 ‘기술’..사기꾼들의 수법도 고도화

기술의 발달은 우리에게 편리함을 줬다. 간편하고 간단하다. 예전 같았으면 은행 창구에서 몇 차례의 개인확인 절차를 거치고 돈을 보내야 했지만, 지금은 터치 몇번만 하면 수억원의 돈도 모바일로 보낼 수 있다.

사기꾼들은 그런 기술의 발달을 노린다. 편리해진만큼 사기를 당하는 것도 쉬워졌다. 사기꾼들은 그 허점을 파고들기 위해 오늘도 부지런히 일한다. 피해자를 속이기 위해 자신들의 조직원을 훈련 시키고 작전을 짠다. 정교하게 피싱앱을 만든다. 경찰의 추적도 뿌리쳐가면서 일을 한다.

이런 피해를 방지하기 위해서 우리는 뭘해야할까. 휴대전화의 운영체제를 되도록 최신화하는 것은 기본이다. 최신 스마트폰일 수록 이상한 앱이 설치되는 것에 민감하게 반응한다. 나름의 보안체계가 고도화되어서다.

정체를 알 수 없는 문자 메시지나 카카오톡 메시지에 반응하지 않는 것도 중요하다. 설령 수백만원, 수천만원 결제 문자 메세지가 왔다고 하더라도, 바로 전화하지 말고 과거에 무슨 일이 있는지 확인하자.

자신이 사용하는 스마트폰을 갖고 야한 동영상 사이트 등 출처와 정체를 알 수 없는 사이트에 방문하지 않는 것도 중요하다. 당신이 출처를 알 수 없는 영상을 보는 동안 수많은 악성코드들이 깔린다. 당신도 모르게.

평소 스마트폰을 조심히 잘 사용한다고 해도 막상 사기를 당하게 되면 속수무책으로 당한다. 사기꾼들은 피해자들을 정신없게 만드는 데 훈련된 고수들이기 때문이다.

마지막으로 믿을 것은 금융사와 정부 기관이다. 특히 금융사들은 이상거래탐지시스템(FDS)를 나름 갖추고 있다. 사용자가 평소와 다른 패턴의 금융거래를 보인다면 이상하게 느끼고 경고를 하는 시스템이다. 때로는 계좌를 막을 때도 있다.

지금은 각자 금융사들이 FDS를 운영하고 있다. 타 금융사에서 발생한 사기 사건에 대한 데이터가 공유가 안되니, 매번 같은 수법으로 피해자들은 당할 수 밖에 없다. 각 금융사 간 FDS 데이터를 공유하고, 공동으로 피싱 사기를 막을 수 있도록 장치를 마련해야 한다.

우리 ‘고객님들의 안위’를 생각하는 금융사라면 최소한 사기꾼들보다는 더 부지런하게 뛰어야 하지 않을까. 과연 잘하고 있을까.