2013년 1월 16일 오후 10시. 40대 주부 장 모 씨는 인터넷뱅킹을 하기 위해 자신의 PC를 켰다. 그리고 바탕화면에 있는 인터넷 익스플로러를 실행한 후 ‘즐겨찾기’에 등록된 K은행을 클릭했다. 하지만 평소와 달리 K은행 홈페이지에는 ‘보안강화 서비스’가 있었고, 최근 개인정보유출로 인한 금융피해가 많이 발생하고 있다는 뉴스를 접했던 장 씨는 이번 기회에 나의 소중한 자금을 보호하고 보안도 강화하고자 해당 화면을 눌렀다.
화면은 이름과 주민번호, 전화번호, 출금계좌번호, 비밀번호, 아이디, 이체비밀번호 입력을 요구했고, 입력을 마치고 하단의 다음 단계 버튼을 클릭하니 이번에는 보안카드 일련번호 8자리와 코드번호 35자리 전체를 입력하는 화면이 나왔다. 장 씨는 평소 보안카드를 가지고 다니기 불편하고 어차피 집에 있는 PC에서만 인터넷뱅킹을 이용하던 터라 미리 사진을 찍어서 특정 폴더에 보관하고 있었다. 보안카드를 찍은 사진을 보면서 모든 입력을 마치고 정보입력완료 버튼을 누르니 공인인증서 팝업이 떴다. 마지막 단계로 공인인증서를 선택하고 비밀번호를 입력하니 모든 보안강화절차가 정상적으로 완료됐다는 팝업창과 함께 K은행 홈페이지로 접속됐다. 홈페이지에는 ‘보안강화 서비스’라는 화면이 더 이상 보이지 않아 장 씨는 정상적으로 보안이 강화됐다고 안심했다.
그로부터 4일 후인 1월 20일 오후 8시. K은행 계좌에서 2천만원이 이체됐다는 청천벽력 같은 문자를 받고 그 즉시 계좌를 확인해보니 누군가가 장 씨의 공인인증서를 재발급받아 모르는 계좌로 2천만원을 이체한 내역이 있었다. 바로 신종 보이스피싱인 ‘파밍’ 때문이다.
파밍용 가짜 홈페이지, 2011년 1,800개서 지난해 7천개로 증가
‘파밍(Pharming)'이란 사용자PC를 악성 바이러스에 감염시켜, 은행의 정상 홈페이지로 접속을 하더라도 자동으로 사기범이 만든 가짜 홈페이지(피싱사이트)로 접속돼 계좌번호나 보안카드 번호와 같은 금융정보를 탈취해 가는 신종 수법이다. 최근 파밍에 의한 신종 보이스피싱 피해가 반복적으로 발생함에 따라 지난 3월 4일 최초로 ’합동경보제‘를 시행했다. ‘합동경보제’는 2012년 12월 도입된 것으로서 금융위원회, 경찰청, 금융감독원 3개 기관이 공동으로 경보를 발령하고 경보내용을 금융기관 홈페이지, SNS, 지역방송, 반상회보 등과 같은 가용 채널을 통해 전파 및 홍보하는 제도다. 날로 교묘해지고 지능화되는 보이스피싱 수법에 적극적으로 대응함은 물론 피해확산을 조기에 차단하고 예방하기 위한 목적으로 마련된 것이다.
이번에 합동경보를 발령한 신종 보이스피싱인 파밍 수법은 지난해 말부터 극성을 부리고 있다. 최근 넉 달간 피해건수가 320여건, 피해액이 약 20억원 발생됐고, 사기범이 만든 가짜 홈페이지도 2011년 약 1,850개에서 2012년엔 7천여개로 3배 이상 증가하고 있는 추세다.
이에 따라 국민들은 피싱사이트의 특징을 숙지해 정상 사이트와 파밍에 의한 피싱사이트를 구분해 불의의 피해를 사전에 방지하는 것이 필요하다. 파밍에 의한 피싱사이트는 첫째, ‘보안등급승급’, ‘보안강화’, ‘개인정보유출’과 같은 용어로 현혹시켜 접속한 사람을 불안하게 만들어 해당 화면을 누르게끔 유도한다. 둘째, 보안카드 번호 전체를 입력하라고 요구한다. 인터넷뱅킹 이용 시 위와 같은 두 가지 경우에 해당되면 100% 피싱사이트에 접속했다고 판단하고 그 즉시 국번없이 118(한국인터넷진흥원)에 해당 사이트를 신고해야 피해를 막을 수 있다.
그 밖에 주의해야 할 보이스피싱으로는, 전형적인 수법으로 피해자에게 먼저 전화를 걸어 자녀가 납치됐다고 협박해서 돈을 뜯어내거나 보험환급금을 준다고 피해자를 현금인출기로 유도한 후 돈을 가로채는 수법 등이 있다. 또 최근에는 경찰을 사칭한 사기범이 피해자에게 전화를 걸어 금융정보가 유출됐으니 우체국계좌를 만들어 돈을 이체해야 안전하다고 속이고 사기범에게 우체국계좌 번호와 비밀번호, 보안카드번호 전체를 알려주게 한 후 해당 정보를 이용, 텔레뱅킹으로 8천만원을 갈취한 사례가 있었다.
보안카드 전체번호 요구하면 주의!
나날이 수법이 진화하고 영악해지는 보이스피싱을 막기 위해서는 국민 개개인의 주의와 관심이 무엇보다도 중요하다. 첫째, 인터넷 이용 시 모르는 파일이나 이메일은 절대 누르면 안 된다. 둘째, 전화나 문자, 인터넷뱅킹 등을 통해 ‘보안승급’ 이나 ‘보안카드번호 전체’를 요구할 경우 일절 응대하지 말아야 한다. 셋째, 인터넷뱅킹 가입고객은 ‘전자금융사기 예방서비스’에 꼭 가입해야 한다. 이 예방서비스에 가입하면, 사기범이 무단으로 공인인증서를 재발급받거나 예금이체하는 것을 막을 수 있다. 가입절차 및 이용방법은 각 은행 홈페이지 또는 콜센터에 문의하면 자세하게 안내받을 수 있다. 넷째, 피해를 당했다면 즉시 112(경찰청)이나 은행 콜센터에 바로 신고해야 한다.
금융위원회, 경찰청, 금융감독원은 '합동경보제‘를 통해 국민들의 주의를 촉구하는 한편 향후 파밍 등 보이스피싱 근절을 위해 전문 수사인력을 동원하고 기간을 정해 단속을 실시하는 등 강력한 활동을 펼칠 예정이다.