엔시스의 정보보호(보안) 따라잡기

인터넷은 생활에 없어서는 안될 필수 요소가 되었다. 인터넷 편리함 뒤에는 역기능도 점점 증가하고 있지만 아직도 사용자들 보안수준은 낮기만 하다. 최근 금융감독원에서 발표한 보도자료에 따르면 ‘14년도 상반기중 피싱사기금액은 886억 원(1만 3천건)으로 전년 동기대비 87.7%(건수 34%)가 증가하였다.

또한, 최근 사기수법이 더욱 지능화 되어 피해가 확대되는 가운데 기술범죄에 대한 예방 대책이 강화 되면서 전통방식으로 회귀하고 있다고 발표하였다.

피해사례가 증가한다는 것은 아직도 피싱,파밍,스미싱등 각종 금융사기 기법이 진화 발전하고 있는데 일반 국민은 인지하지 못하고 있다는 반증이기도 하다. 따라서 이번 호에서는 금융사기에 대표적인 피싱,파밍, 스미싱에 대하여 알아보고 대응 방안도 살펴보도록 하자.

1. 피싱(Phishing)

피싱이란 ‘개인정보(Private data)와 낚는다(Fishing)’의 합성어로, 전화·문자·메신저·가짜사이트 등 전기통신수단을 이용하여 피해자를 기망·공갈함으로써 이용자의 개인정보나 금융정보를 빼낸 후, 금품을 갈취하는 사기 수법을 말한다.

피싱 사기는 전화(보이스피싱) 뿐만 아니라 문자, 메신저, 인터넷 사이트 등 다양한 전기통신수단을 통해 이루어지고 있다.

피싱 사기를 당한 피해자는 피해구제절차를 통하여 은행 등에 지급정지를 요청하고 피해금을 환급받을 수 있다.

피싱에도 여러 가지 기법이 있다.  

▲ 출처 : 방송통신위원회, 「전기통신망에서의 이용자 피해 예방을 위한 전자금융사기(피싱) 방지 대책」, 2012.10. 22면 참조

일반적으로 피싱이라고 하면 제 마지막에 언급한 ‘피싱사이트’를 말한다고 보면 된다. 이메링을 보낼때 가짜 홈페이지 링크 URL을 함께 첨부하여 가짜 홈페이지로 접속 하게 유도하는 금융사기 기법을 말한다.

▲ 정상사이트 (좌), 가짜 사이트 (우)

좌측 홈페이지와 우측 홈페이지 구분되는 것을 혹시 알수 있는가? 우측에 빨간색으로 표시한 부분이 정상사이트와 틀린 점이다. 무엇보다 피해를 당하지 않는 것이 가장 안전한 방법이지만 피해시에는 아래 절차를 통하여 구제 받을 수 있다.

지급정지 및 피해금 환급 신청

피싱사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제 3조에 따라,

1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후

2. 해당 은행에 경찰이 발급한 ‘사건사고 사실확인원’을 제출하여 피해금 환급 신청을 하면된다.

※ 지금정지피해신고

경찰청 국번없이 ☎112 / 해양경찰청 ☎112

금융회사 콜센터

※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 ☎1332

2. 파밍 (Pharming)

파밍(Pharming)은 피싱(Phishing)과 조작(Farming)의 합성어로, 악성프로그램에 감염된 PC를 조작하여 정상 사이트에 접속하더라도 가짜 사이트로 접속을 유도하여 금융거래정보를 빼낸 후 금전적인 피해를 입히는 사기 수법을 말한다.

                                    ▲ 파밍 사기기법 구성도              출처: 경찰청

위 그림을 보면 조금 어렵게 보일수 있는데 쉽게 설명하면 다음과 같다. 예를들어 자신이 ABC.com 사이트에 접속하고자 하는데 악성코드에 감염이 되었다면 브라우저에 ABC.com 이라고 정상적으로 입력했지만 ABC.com 사이트와 동일한 가짜 사이트 abc.com 사이트로 접속하게 끔 하는 금융사기 기법을 말한다. 이렇게하여 개인정보등 각종 정보를 탈취하는 것이다.

파밍(Pharming)의 유형

파밍에도 여러 가지 유형이 있다. 대표적인 유형을 살펴 보기로 하자.

▲ 출처 : 경찰청 보도자료, “‘파밍(Pharming)’등 신종금융사기 주의!”, 2013. 6. 참조

                 ▲ 파밍에 의해 유도된 피싱사이트       출처: 경찰청

정상적인 주소를 입력하였지만 가짜 사이트로 접속하여 금융거래정보 입력화면이 나타나는 전형적인 형태를 말한다. 과도한 개인정보를 요구시에는 직접 은행에 문의해 보는 것이 좋다.

지급정지 및 피해금 환급 신청

파밍 사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제3조에 따라,

1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후 

2. 해당 은행에 경찰이 발급한 '사건사고 사실확인원'을 제출하여 피해금 환급 신청을 한다.

※ 지급정지 피해신고

경찰청 국번없이 ☎112 / 해양경찰청 ☎112

금융회사 콜센터

※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 ☎1332

3. 스미싱(Smishing)

문자메시지(SMS)와 피싱(Phishing)의 합성어로,‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일청첩장’ 등을 내용으로 하는 문자메시지에 포함된 인터넷 주소를 클릭하면 악성프로그램이 스마트폰에 설치되어 피해자가 모르는 사이에 소액결제가 이루어지는 금융사기기법을 말한다. 최근에는 피해자 스마트폰에 저장된 주소록 연락처, 사진(주민등록증·보안카드 사본), 공인인증서, 개인정보 등까지 탈취하여 더 큰 금융범죄로 이어지고 있다.

▲ 최근 필자가 받은 스미싱 관련 문자

스미싱(Smishing) 주요 피해사례

1) 대출금리비교 앱(App)을 사칭하여 돈을 송금하도록 한 사례

피해자는 캐피탈을 사칭한 자로부터 ‘스마트폰에 특정 앱(App)을 설치하면 본인의 신원 확인 및 대출이 가능하다’는 내용의 전화를 받은 뒤 해당 프로그램을 설치하였고, 앱을 실행하자 여러 금융기관의 전화번호 목록이 확인되었으며, 피해자가 대출을 이용 중인 대부업체에 상환방법을 문의하고자 전화통화를 시도(앱상 통화연결기능)하였으나, 피해자가 설치한 앱은 통화연결시 자동으로 특정번호(사기범)에게 전화가 연결되었고 사기범이 알려준 상환계좌로 돈을 송금하여 피해를 입은 사례(미래창조과학부 등 보도자료, “신·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

2) 돌잔치 초대문자를 사칭하여 휴대폰에 입력된 개인정보를 유출한 사례

동료로부터 ‘돌잔치에 초대한다’는 내용이 담긴 문자메세지 한통을 받고 문자메세지에 링크된 주소를 무심코 눌렀는데, 본인도 모르게 전화번호부에 등록된 지인 전체에 돌잔치 초대문자가 발송된 사례(미래창조과학부 등 보도자료, “신·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

3) 모바일 메신저 계정을 도용해 지인들에게 돈을 송금해달라고 속여 금품을 가로챈 사례

동생으로부터 모바일 메신저를 통해 “친구가 급하게 80만원을 보내달라고 한다. 송금해주면 내일 바로 입금하겠다”는 메시지를 받고 동생에게 전화를 걸었으나, 이미 해당 스마트폰에는 악성프로그램이 설치되어 전화 수신이 차단된 상태였고 동생과 통화가 되지 않아 걱정이 됐던 피해자는 돈을 송금하여 사기피해를 입은 사례

휴대폰 소액결제 피해 구제 방법

※ 스미싱으로 의심되는 문자를 받았다면?

경찰청 사이버테러대응센터(www.ctrc.go.kr / ☎182)로 신고하고, 해당 이동통신사의 고객센터(☎114)에 소액결제서비스 차단을 신청하여 본인도 모르게 소액결제가 되지 않도록 해야 합니다.

※ 소액결제 피해가 발생했다면?

1. 피해사실 신고하기

 경찰서에서 발급받은 ‘사건사고 사실확인원’을 이동통신사, 게임사, 결제대행사 등 관련 사업자에게 제출하고 피해사실을 신고해야 한다.

2. 피해금 환불받기

 해당 결제대행사의 고객센터, 미래창조과학부 CS센터(www.epeople.go.kr / ☎1335) 또는 휴대전화/ARS결제 중재센터(www.spayment.org / ☎1644-2367) 등에 결제취소·환불 등을 적극적으로 요구해야 한다.

3. 악성파일 삭제하기

 스마트폰 내 ‘다운로드’ 앱을 실행하여

① 문자를 클릭한 시점 이후에 확장자명이 ‘apk’인 파일 저장여부를 확인하고,

② 해당 ‘apk’파일을 삭제합니다.

4.악성파일이 삭제되지 않는 경우에는

① 휴대전화 서비스센터에 방문하거나 ② 스마트폰을 초기화해야 한다..

<출처 : 사이버경찰청–정보마당–경찰자료실–신종금융범죄–스미싱 참조>

무엇보다 스마트폰 사용자가 증가하고 있어 대응책 마련이 필요하다. 이에 금융감독원에서 소비자 유의사항을 발표 하였다. 살펴보면 아래와 같다.

□ 명절을 전후하여 대출사기나 할인 이벤트 또는 택배 등을 사칭한 보이스피싱이 기승을 부릴 것으로 예상되므로 각별한 주의가 요망됨

개인정보유출, 택배 확인, 범죄사건 연루 등의 명목으로 비밀번호 등 금융거래정보를 묻는 경우 절대 응하지 말 것

보안강화 등을 명목으로 인터넷 또는 스마트폰 화면상 보안카드 정보 일체의 입력을 요구 하는 경우 피싱사이트이니 유의할 것

대출이 가능하다면서 대출받기 전에 먼저 수수료 등의 명목으로 금전을 요구하는 경우 100% 대출사기이니 절대 응하지 말 것

통장이나 금카드를 다른 사람에게 양도하는 것은 범죄행위이며 형사처벌 또는 민사상 손해배상책임을 질 수 있음

금감원 보도자료를(2014.09.05, “보이스피싱 피해 다시 증가”) 보면서 안타까움을 금할길이 없다. 얼마전 TV에서 금융사기를 당한 한 아주머니가 평생 모아온 돈 5000만원 이상을 하루 아침에 빼앗기고 스스로 자책하는 모습을 보면서 혹시나 필자 주위의 이웃들에게 같은 상황이 일어나지 않을까 우려한 적이 있었다.

믿고 사는 건정하고 건강한 사회가 되어야 하는데, 개인정보 유출등으로 이제는 누구도 믿을수 없는 믿지 못하는 사회가 되어서는 안된다. 내 정보는 내가 지켜야 하고 금융사기로부터 안전하려면 소비자가 더욱 똑똑해지고 보안에 관심을 기울일 수밖에 없다. 이 글을 읽는 여러분들은 모두 금융사기로부터 안전한 대처를 하길 바란다.

* 본포스팅은 부산시 블로그 "쿨부산"에 기고한 내용임을 알려드립니다.

경성대학교 컴공과 외래교수

11.12.13.14년 안전행정부지정 개인정보보호 전문강사

ISMS/PIMS/PIPL 인증심사원