더 교묘해진 ‘피싱’… 조선족 말투는 ‘구시대 버전’

인천에 사는 주부 유모 씨(37)는 최근 학원비 이체를 위해 은행 인터넷 사이트에 접속했다. 사이트가 열리자마자 ‘금융소비자의 보안을 강화한다. 인터넷뱅킹에 필요한 정보를 입력하라’는 메시지가 팝업창으로 떴다. 유 씨는 계좌번호와 비밀번호에 이어 보안카드 번호까지 꼼꼼하게 입력했다.

하지만 이 정보는 고스란히 사기범에게 전송됐다. 사기범은 나흘 뒤 공인인증서를 다시 발급받아 유씨의 계좌에서 1763만 원을 빼갔다. 이는 은행 사이트를 정확하게 입력했어도 컴퓨터에 악성 코드를 심어 가짜 사이트에 접속하게 하는 ‘파밍(Pharming)’의 전형적인 수법이다.

갈수록 교묘해지는 전자금융사기가 활개를 치고 있다. 사기범들은 금융회사의 가짜 사이트로 이용자를 유도하거나 휴대전화 문자메시지에 가짜 사이트의 주소를 연결시켜 개인 정보를 빼냈다. 금융결제원은 고객 1700만 명에게 ‘전자금융 사기 피해 주의보’를 내렸다.

○ 눈뜨고 코 베이는 피해자들

19일 금융감독원에 따르면 파밍처럼 금융회사를 사칭한 가짜 사이트(피싱 사이트) 피해 건수는 2011년 74건에서 2012년 4242건으로 급증했다. 반면 주로 전화로 개인 정보를 빼내는 보이스 피싱은 같은 기간 8244건에서 5709건으로 줄었다.

어눌한 조선족 말투로 은행을 사칭하던 보이스 피싱이 ‘신종 피싱’으로 진화한 셈이다.

최근에는 악성코드로 수집된 공인인증서 목록이 뭉치로 발견되면서 금융권은 바짝 긴장하고 있다. 유효 기간이 지나지 않아 당장 금융사기에 이용할 수 있는 인증서만 461개나 됐다. 이는 인증서를 통째로 빼냈다는 점에서 보안카드 번호만 가로채는 기존 수법과 달랐다.

인터넷 뱅킹과 스마트폰 확산으로 새로운 전자금융사기도 속출하고 있다.

대학생 서모 씨(21)는 최근 휴대전화 이용요금 고지서를 받고 화들짝 놀랐다. 자신도 모르는 사이 온라인 게임 사이트에서 게임 아이템을 구입했다는 명목으로 4회에 걸쳐 20만 원이 결제됐기 때문이다.

‘○○ 할인 쿠폰 제공’이라는 문자 메시지를 받고 휴대전화에 표시된 인터넷 주소에 접속한 게 화근이었다. 당시 인터넷 사이트로 넘어가는 순간 스마트폰에 악성코드가 설치됐고, 결제에 필요한 승인번호가 사기범에게 전송됐다. 이는 휴대전화 문자 메시지(SMS)와 피싱의 합성어인 스미싱(Smishing) 수법이다.

○ 금융회사도 소비자도 ‘속수무책’

신종 전자금융사기가 퍼지면서 금융결제원은 17일 인터넷 금융고객 1700만 명에게 ‘신종 피싱’의 위험을 경고하는 긴급 e메일을 보냈다.

금융회사에도 비상이 걸렸다. KB국민은행은 고객이 미리 특정 이미지를 지정하고 은행사이트에 접속할 때 해당 이미지를 확인하게 했다. NH농협은행은 고객 스스로 은행 주소를 설정하게 하는 등 다양한 방안을 짜내고 있다.

올 들어 신종 피싱 민원이 1000여 건 쏟아진 카드사들도 고객들에게 신종 전자금융사기 주의보를 내렸다. 금감원 관계자는 “요즘 전자금융사기는 피해를 당했다는 사실을 바로 알지 못하는 경우가 많아 더욱 위험하다”고 말했다.

▶ [채널A 영상] 신종 ‘파밍’ 수법으로 공인인증서 무더기 유출

김유영 기자 abc@donga.com