• [알뜰정보] 전화에서 메신저·문자, 스마트폰 가짜 앱까지 ‘피싱 지능화’

    이 게시글을 알리기 tweet

  • 글쓴이 : 경향신문 [http://www.khan.co.kr]
  • 13.03.29 15:39:01
  • 조회: 865

 

“딸을 데리고 있으니 500만원을 입금하라.”

수화기 너머 들려오는 어눌한 말씨에도 2000년대 중반 초기 보이스피싱 피해자들에겐 청천벽력이었다. 2007년에는 현직 법원장까지도 “아들이 납치됐다”는 전화에 속아 6000만원을 송금했다. 시간은 흘러 피해 사례가 널리 알려졌고 이제 웬만한 보이스피싱은 우스운 장난전화가 됐다. 하지만 ‘피싱(Phishing)’ 자체는 전화에서 인터넷 메신저로, 메신저에서 문자메시지(SMS)로 모습을 바꿔가며 국민들을 위협하고 있다.

피싱은 ‘개인정보(Private data)’와 ‘낚시(Fishing)’의 합성어다. 불특정 다수의 개인정보를 몰래 빼내 금융사기에 이용하는 범죄를 가리킨다. 초기 피싱은 e메일로 이뤄졌는데 국내에선 2004년 10월 첫 피싱 범죄가 적발됐다. 범인은 가짜 외국계 은행 홈페이지를 만든 뒤 대량 스팸 메일을 발송해 예금주들을 가짜 홈페이지로 유도, ID와 비밀번호를 입력하게 했다. 실제 피해 사례는 발견되지 않았지만 한국도 피싱의 안전지대가 아님을 알린 일이었다.

2005년 11월엔 실제 피싱 피해가 국내 처음으로 확인됐다. 범인들은 한 시중은행의 가짜 홈페이지를 도메인까지 유사하게 만들어 피해자들의 ID와 비밀번호, 은행 계좌번호, 주민등록번호를 빼내 1억여원을 챙겼다. e메일과 인터넷 사이트를 이용한 피싱은 이후 전화금융사기(보이스피싱)로 진화해갔다.

2006년 확산된 보이스피싱은 “자녀를 납치했다”는 막무가내식 납치범 흉내부터 검경, 법원, 국세청, 국민연금관리공단, 금융기관 사칭까지 목소리로 가능한 모든 방식을 동원했다. 전화상으로 피해자들의 주민등록번호와 은행 계좌번호, 신용카드 번호 등을 알아내거나 현금지급기로 피해자를 유인해 돈을 이체받는 수법을 썼다.

인터넷 메신저가 대중화한 2007년 무렵에는 ‘메신저피싱 주의보’가 내려졌다. 초기 메신저피싱은 재미있는 동영상·뉴스를 보여준다며 웹페이지 주소를 보내놓고 메신저 ID와 비밀번호를 요구하는 방식이었다. 이후 2008년에는 아예 메신저 ID와 비밀번호를 도용해 해당 메신저에 등록된 지인들에게 급전이 필요하다며 돈을 송금받는 형태로 발전했다.

최근에는 ‘파밍(Pharming)’과 ‘스미싱(Smishing)’ 등 좀 더 교묘한 신종 피싱이 기승을 부리고 있다. 파밍은 농사를 짓듯(Farming) 피해자의 컴퓨터에 악성코드를 심어 피해를 유도한다. 국내 첫 파밍 피해는 2007년 발생했지만 최근 더 빠르게 확산되는 추세를 보인다. 스마트폰의 보급과 함께 지난해 출현한 스미싱은 문자메시지를 통해 가짜 웹주소를 전송하거나 가짜 애플리케이션 설치를 유도해 개인정보를 빼간다.


▲ 피싱(Phishing)

개인정보(Private data)와 낚시(Fishing)의 합성어로 불특정 다수의 개인금융정보를 몰래 빼내는 사기수법.

 

▲ 파밍(Pharming)

경작(Farming)과 피싱의 합성어로 악성코드를 피해자 컴퓨터에 심고 피싱 사이트로 유도해 개인금융정보를 빼내는 방식.

 

▲ 스미싱(Smishing)

문자메시지(SMS)와 피싱의 합성어로 스마트폰 문자메시지로 악성코드를 유포시켜 개인금융정보를 빼내거나 가짜 앱 설치를 유도해 소액결제하게 하는 방식.

 

 

 

 

‘뻔한 속임수’ 피싱, 피해 이렇게 막아라

‘뻔한 속임수에 다들 왜 속는 거지’라고 생각하면서 자신도 모르게 당하는 것이 바로 피싱이다.

경찰청·금융감독원 등 유관기관의 합동대책위는 최근 급증하고 있는 신종 보이스피싱의 피해를 막기 위해 금융소비자들이 알아야 할 사항들을 안내하고 있다.

 

■ 발신번호가 조작될 수 있다는 점을 염두에 둬라
최근 지방에서는 아들의 휴대폰 번호로 걸려온 전화에 속아 피싱 사기를 당한 사건이 발생했다. 피해자는 경찰에 “아들 번호가 찍혔는데 어떻게 의심할 수 있었겠느냐”고 토로했다. 현재 발신번호 조작은 금지돼 있지만 특정 장비를 이용하면 여전히 가능하다. 미니홈피나 블로그, 인터넷 해킹 등을 통해 범행 대상자의 개인정보를 사전에 수집한 후 아들의 휴대폰 번호로 발신번호를 조작해 “네 아들을 인질로 잡고 있다”고 말하면 꼼짝없이 속기 쉽다.

번호 조작이 가능하다는 점을 염두에 두면 덜 당황할 수 있다.

 

■ 자주 찾는 사이트도 보안번호 다 묻는다면 가짜 사이트다

인터넷 즐겨찾기나 포털사이트 검색 등을 통해 금융회사 홈페이지에 접속했더라도 피싱 사기꾼들이 쳐놓은 덫일 수 있다.

컴퓨터에 미리 깔아놓은 악성코드 때문에 올바른 주소를 입력하더라도 자동적으로 가짜 사이트에 연결되기 때문이다.

피싱사이트는 보안번호 35개를 모두 입력하라는 안내가 나오고, 번호를 입력하면 ‘*’가 아니라 숫자 그대로 표기된다.

경찰은 피싱사이트 접속을 막기 위해 ‘파밍예방 프로그램’을 개발, 무료로 배포(www.gnpolice.go.kr)하고 있다.

 

■ ‘공짜’ ‘무료’ 단어 들어간 문자메시지는 위험하다

‘아이스크림 기프트콘 무료서비스’란 문자메시지를 보고 반가운 마음에 무심코 링크된 주소를 눌렀다가는 소액결제 이용료 폭탄을 맞을 수 있다. 최근 기승을 부리기 시작한 ‘스미싱’ 수법이다.

휴대폰의 문자메시지 설정으로 들어가 ‘공짜’ ‘쿠폰’ 등의 단어를 스팸문구로 등록해 놓으면 이들 문자를 사전에 차단할 수 있다. 또 각 통신사 고객센터를 이용해 소액결제를 원천적으로 차단하거나 결제금액을 제한하는 것도 좋은 방법이다.

 

■ 피싱에 당했다면 빨리 계좌 지급정지를 신청하라

피싱에 당했다는 사실을 뒤늦게 깨달았다면, 범인이 송금된 자금을 인출해가지 못하게 최대한 빨리 은행에 계좌 지급정지 신청을 해야 한다. 유출된 개인정보가 대출 신청, 신용카드 발급 등에 악용되지 않도록 개인정보 노출자 사고 예방 시스템에 등록해 추가 피해를 예방해야 한다.


▲ 피싱 피해 예방하는 법

▷통신사 고객센터에서 소액결제 원천 차단
▷‘쿠폰’ ‘무료’ 등 문자메시지 스팸문구 미리 등록
▷대출 상담이 필요할 때는 전화통화보다 직접 방문
▷은행 보안카드 35개 번호 모두 요구하는 사이트는 가짜
▷발신번호 조작 가능하다는 점 유의
▷현금지급기로 유인하면 100% 피싱전화!

  • 이글은 실명인증이 완료된 회원이 작성한 글입니다.
  • 목록으로
  • tweet tweet
  • 등록된 댓글이 없습니다.
글쓴이
로그인