진화하는 낚시질 … 눈 뜨고 당한다 │ 혹시나 그래도 ...

진화하는 낚시질 … 눈 뜨고 당한다 주간동아 | 기사입력 2007-09-19 09:24 ◀ 피싱 수법이 다양해져 최근에는 메신저를 통한 피싱인 스핌도 등장했다. 대구의 자영업자 Y(59)씨는 6월 말 한 통의 전화를 받았다. 금융감독원(이하 금감원) 직원이라고 자신을 소개한 남자는 Y씨의 개인정보가 유출됐다면서 “큰 피해가 우려되니 통장 잔액을 금감원이 관리하는 안전한 계좌로 분산이체하라”고 제의했다. 당황한 Y씨는 다급히 그가 안내한 계좌 11개로 자신의 돈 1억여 원을 나눠 이체했다. 전화를 끊고 잠시 후 뭔가 이상하다고 느낀 Y씨. 확인해본 결과 돈은 이미 다 빠져나갔고, 11개의 계좌 모두 대포통장이었다. 휴대전화와 e메일, 가짜 홈페이지 등을 매개로 개인정보를 빼내 범죄에 악용하는 다양한 피싱(phishing) 사기가 기승을 부리고 있다. 최근 가장 심각한 문제를 낳고 있는 것은 전화 금융사기, 즉 보이스 피싱이다. 4, 5년 전 대만에서 유행하기 시작한 보이스 피싱은 2005년 말부터 우리나라로 옮겨와 빠르게 번지고 있다. 현재까지 총 400억원의 피해액이 신고됐을 정도다.   남녀노소 낚이는 데는 누구도 예외 없어 잘 알려진 것처럼 보이스 피싱은 전화를 통해 자동입출금기기(ATM)로 유도한 뒤, 상대가 불러주는 번호를 그대로 따라 누르게 해 돈을 이체하는 방식. 그런데 우둔한 사람들만 이런 보이스 피싱을 당하는 것일까. “법원 직원도 보이스 피싱을 당했다는 말이 있습니다. 실제로 피해자 중에는 고학력 공무원이나 회사원들도 많습니다.” 지난 5월 말부터 시행한 보이스 피싱 관련 수사를 통해 4억원 규모의 피해를 낸 대만과 중국의 범죄조직을 검거, 구속 기소한 인천지검 마약조직범죄수사부 김종호 부장검사에 따르면, 피해자 50명 중에는 대학교수(2명), 공무원(7명) 등도 포함돼 있으며 20~40대가 절반에 이른다(20대 1명, 30대 8명, 40대 14명). “보이스 피싱의 수법과 성격이 갈수록 다양하고 정교해지고 있습니다. 초기의 보이스 피싱이 국세청이나 보험관리공단을 사칭해 세금을 환급해주겠다며 계좌이체를 유도하거나 자식을 납치했다며 돈을 요구하는 방식이었다면, 최근에는 금감원이나 검찰청을 사칭해 ‘개인정보가 유출됐다’거나 ‘수사에 필요하다’는 식으로 불안감을 조성하는 등 수법이 진화했습니다.”(김종호 부장검사) ▶ 2005년부터 성행하고 있는 보이스 피싱 범죄는 중국·대만 폭력조직과 연관된 경우가 많다. 은행계좌를 만들거나 휴대전화 가입이 비교적 쉬운 재중동포가 많기 때문이다.  또 바로 통화하지 않고, 자동응답서비스(ARS)로 돌린 뒤 버튼을 누르게 해 전화를 돌려받거나 텔레마케터가 금감원 직원을 연결하는 식으로 여러 번의 단계를 거쳐 통화하기도 한다. 김 부장검사는 범죄 수법에 대해 “인터넷 폰으로 무차별적으로 전화를 거는 데다, 비교적 젊은 층이 전화를 받으면 언론에 자주 소개된 방식을 피해 접근한다”고 분석했다. 이 같이 진화하는 보이스 피싱 피해를 막기 위해 정보통신부와 한국정보진흥원이 나섰다. 두 기관이 7월 말 발표한 ‘보이스 피싱 피해 예방 10계명’에는 ‘범죄에 악용될 수 있는 동창회나 동호회 사이트의 주소록과 비상연락망 등 개인정보 파일을 삭제할 것’ ‘발신자 표시가 없거나 001, 080, 030 등 처음 보는 국제 전화번호는 받지 말 것’ ‘녹음 멘트로 시작되거나 ATM 사용을 유도하는 경우에는 대응하지 말 것’ 등 보이스 피싱 대처법이 담겨 있다. 또 이미 보이스 피싱을 당해 돈을 송금한 경우 즉시 은행에 연락해 ‘계좌지급정지’를 요청하거나 금감원‘개인정보노출자 사고 예방 시스템’에 등록해 추가 피해를 최소화할 것을 권고했다.   동창회 사이트 주소록 삭제 등 각별한 주의 필요 보이스 피싱뿐 아니라 e메일을 악용한 피싱도 갈수록 기법이 정교해지면서 증가하는 추세다. 금감원에 따르면 올 상반기 은행과 보험사에서 발생한 인터넷뱅킹 사고는 모두 11건, 피해금액은 1억2000여 만원으로 지난해의 2건, 피해액 1500만원에 비해 급속히 늘었다. 기존 피싱이 은행이나 쇼핑몰 등을 사칭해 개인정보를 입력하도록 e메일을 보낸 뒤 여기서 수집한 정보를 악용해 예금 등을 빼내는 수법이었다면, 최근에는 해커가 프로그램을 퍼뜨려 가짜 금융사이트로 연결되도록 해 개인정보를 훔치는 파밍(pharming) 수법이 등장했다. 스핌(spim)이라는 메신저 피싱도 있다. 스팸(spam)과 인스턴트 메신저(instant messenger)의 합성어인 스핌은 메신저를 통해 동영상이나 뉴스를 가장한 URL을 전달하고, 이 URL을 클릭한 사용자로 하여금 메신저의 아이디와 패스워드를 입력하도록 해 개인 신상정보를 빼내는 수법이다. 따라서 이런 신종 피싱 대처법으로 마이크로소프트사(社)는 메신저 사용자들에게 ‘메신저 자체의 보안기능을 설정할 것’ ‘안티 바이러스, 안티 스파이웨어 프로그램을 정기적으로 업데이트할 것’ ‘정기적으로 패스워드를 변경할 것’ 등 보안수칙을 제안했다. 석병희 안철수연구소 시큐리티대응센터장은 “피싱처럼 사회공학적 기법의 공격이 계속 증가하고 있는 만큼 사용자의 각별한 주의와 보안의식이 필요하다”고 충고했다. 구가인 기자 comedy9@donga.com 정보ㆍ금융 낚시질 ‘피싱’의 7년 진화史 구희령<1499@joongang.co.kr> | 제12호 | 20070603 입력 ‘전화 낚시질’(보이스 피싱)이 갈수록 기승을 부린다. 지난달 28일에는 현직 법원장이 “아들을 납치했으니 돈을 부치라”는 말에 속아 6000만원을 사기당했다. 31일 대구에선 1억7000여만원을 빼돌린 전화 사기단 10명이 잡혔다. 21일엔 중국 푸젠성에 콜센터를 두고 50명에게서 5억원을 가로챈 사기단 12명이 서울에서 붙잡혔다. 지난해 6월부터 올 4월까지 발생한 보이스 피싱 사건은 3047건, 피해액은 238억원에 이른다(경찰청 잠정 통계). 4월에만 640건이 발생했다. 통계를 인용할 것도 없다. 기자와 나란히 앉아 근무하는 네 명 중 세 명이 “가족이 보이스 피싱 전화를 받았다”고 말했다. 보이스 피싱은 음성(전화)으로 하는 ‘피싱’(Phishing)이라는 뜻이다. 인터넷 등을 이용해 개인정보를 낚아채는 피싱은 개인정보(Personal Data)와 낚시질(Fishing)의 합성어다. 초기에는 기껏해야 온라인 게임의 아이템을 훔치는 수준이었던 ‘개인 정보 낚시질’이 인터넷이 발달하고 전자금융거래가 확산되면서 금융 사기로 진화했다. 수법도 점점 교묘해지고 있다. 그 선상에 보이스 피싱이 있다. 1세대 ‘미끼 메일형’은 2000년에 나타났다. e-메일을 보내 가짜 입력창으로 유도, ID와 비밀번호를 낚아채 게임 아이템을 훔쳤다. “게임 속도를 더 높이는 프로그램을 다운로드 받을 수 있다”는 메일을 클릭하면 조잡한 입력창이 뜨고 “이 프로그램을 원하면 ID와 비밀번호를 넣으시오”라는 안내문이 나온다. 프로그램 다운로드, 특정 사이트 ID 요청 등의 기능도 없는 단순한 형태라 ‘낚시꾼’ 들은 자신이 노리는 게임 사이트의 ID와 비밀번호를 피해자가 입력하는 요행을 바라야 했다. 이런 허술한 낚시질에도 많은 사람이 걸려들었다. 이 수법이 널리 알려지자 ‘떡밥 사이트형’이 등장했다. 입력창만 있는 조잡한 형태 대신 진짜 사이트와 겉모습이 흡사하도록 사이트를 정교하게 만들고, 유사한 도메인 주소(예를 들어 www. joins.com으로 착각하도록 www.ijoins.com, www.joins.co.kr 등을 이용)를 점거해 클릭하도록 만들었다. 이 방법도 메일을 보내 사이트로 유도하는 것은 마찬가지다. 2004년엔 ‘다음’ 등 유명 포털 사이트의 게시판에 글을 올려 가짜 사이트로 유도하는 방법이 나타났다. ‘부동산 투자하는 법’ 등의 정보성 글을 게시판에 올린 뒤 “더 자세한 내용을 알고 싶으면 이 사이트를 방문하라”고 가짜 사이트를 링크해 놓는 식이었다. 게임 아이템을 훔치는 수준을 벗어나 금전적 이득을 노리는 범죄도 나타났다. 2005년 8월 12명의 계좌에서 1억2000만원을 ‘대포 통장’으로 빼내간 사건이 터졌다. 외국 서버(캐나다)를 이용하고, 해당 은행과 유사한 도메인(ibank.com)을 쓰는 등 새로운 범죄 유형이었다. 이에 은행들은 자체 사이트와 비슷한 도메인 주소를 대량 구매해 유사 사건 방지에 나섰다. “도메인은 개당 1만5000원밖에 안 해요. 혹시나 해서 많은 은행이 사들였습니다.”(성재모 금융보안연구원 보안기술팀장) 그러자 카드회사 공지 메일과 같은 양식, 유사한 메일 주소(support@card.com)로 ‘카드 대출 한도가 증액됐다’는 메일을 보내 1만2000명의 개인정보를 빼내 1억원에 팔아넘기는 사건이 발생했다. 지난해 6월 본격적으로 나타난 ‘전화 낚시질’은 3년 전 대만을 휩쓸었으며 금융 사기를 주로 하기 때문에 피해가 크다. 초기엔 국세청ㆍ건강보험관리공단 등을 사칭해 세금ㆍ보험금을 환급해주겠다며 속였다. 이에 대한 경계가 확산되자 카드회사ㆍ은행을 사칭해 “신용카드 한도를 초과했다. 본인이 사용한 게 아니라도 일단 송금하라” “대출받고 싶으면 개인 정보를 알려달라”며 수법을 한 차원 높였다. 지난해 말부터는 법원ㆍ검찰ㆍ경찰 등 힘있는 기관을 사칭해 “사기죄로 기소됐다”는 등 협박성 전화를 걸어 개인정보를 묻는 방식이 유행이다. 법원장의 경우처럼 “자식을 납치했으니 몸값을 보내라”는 것이 가장 최근 수법이다. 경찰청 지능범죄수사과 임인식 경위는 “이제는 경찰청 대표 전화 번호를 대는 간 큰 범인들도 있다. 꼭 해당 기관에 직접 전화해 확인하라”고 당부했다. 3월엔 동창회 명부 등에서 정보를 빼내 “동창 아무개인데 사고를 당했다. 급히 돈이 필요하니 계좌로 부쳐달라”는 문자메시지(SMS)를 보내 송금하도록 하는 ‘스미싱’(SMiShing, SMS+Phishing)도 나타났다. “이름을 아는 동창이 급하다고 메시지를 보내니까 확인도 안 해보고 돈을 보내는 사람이 제법 됩니다. 인정 많은 한국인의 특성을 노린 범죄지요.” 금융감독원 김인석 IT협력팀장의 설명이다. 피싱은 대개 중국이 그 진원지다. 서버 추적과 범인 검거가 쉽지 않고, 한국 사회를 잘 알고 우리말을 구사할 수 있는 중국동포가 많아 범죄 토양이 마련돼 있다. 하지만 보이스 피싱의 경우 중국 동포 특유의 억양 때문에 들통나기 쉽다. 그래서 전화 잡음을 심하게 해 억양을 눈치채지 못하도록 하거나 아예 자동응답시스템(ARS)을 이용해 신뢰감을 높이는 등 수법이 교묘해지고 있다. 대개 중국발 국제전화 등을 이용하므로 발신번호가 001852나 02-6240으로 시작하는 경우 보이스 피싱을 의심해야 한다. 인터넷 피싱의 경우 주의를 기울이면 사기임을 금세 알 수 있다. 피싱 사이트는 진짜와 도메인 주소가 다르고 외형도 차이가 있다. 정상적인 경우 IDㆍ비밀번호ㆍ계좌번호ㆍ주민등록번호ㆍ보안카드 번호 등을 한꺼번에 묻는 경우는 없다. 아무리 화려한 미끼가 달렸어도 눈을 크게 뜨면 낚싯바늘이 보인다는 얘기다. 하지만 지난 1월 모 은행 사이트에서 발생한 ‘파밍(Pharming)’사건은 사람이 아닌 컴퓨터를 속인 경우라 대응이 쉽지 않다. 악성코드를 ‘심어서’ 정보를 뿌리까지 캐간다는 의미에서 ‘파밍’(Personal Data+농사 Farming)이라고 한다. 쇼핑몰을 해킹해 그 사이트를 이용한 사람들의 PC에 악성코드를 심어, 사용자가 제대로 된 은행주소(www.******.com)를 입력했는데도 피싱 사이트로 연결되게 했다. 이 사건으로 공인인증서 4000여건이 유출됐다. 초기에 공인인증서 폐기, 거래 중지 등의 조치를 취해 피해액은 없었지만 기존 낚시질로는 불가능했던 공인인증서를 빼내갔다는 사실이 금융계에 충격을 줬다. 스웨덴 노르디아 은행은 지난 3월 파밍 수법에 당해 온라인 뱅킹 사상 가장 큰 규모의 피해(약 10억원)를 보았다. 신한은행은 4월부터 파밍을 예방할 수 있는 피싱 방지 프로그램을 홈페이지에서 무료로 제공하고 있다. 국민은행도 곧 파밍 방지 수단을 내놓을 예정이다. 공인인증서 '쉬운' 비밀번호 바꾸고 중국 동포 말투 협박 전화는 의심을 현직 법원장이 피해를 본 것에서 알 수 있듯 ‘낚시질’에 걸리는 것은 세상물정에 어두운 노약자만이 아니다. 남녀노소 구분 없이 ‘뻔한 사기’에 넘어가는 것은 순간적으로 당황하기 때문이다. “조금만 주의 깊게 들으면 자기 자식의 목소리가 아니라는 사실도, 중국동포 특유의 어색한 말투도 알 수 있는데 납치됐다는 말에 너무 놀라 미처 깨닫지 못하는 거죠.”(경찰청 지능범죄수사과 임인식 경위) 피싱 범죄 초기에는 현금자동지급기(ATM)로 피해자를 유도해 범인의 계좌로 직접 송금하게 하는 방법이 쓰였다. 다른 사람의 계좌로 송금하라는 지시에 상식적인 사람이라면 의문을 품지 않을까. “안 속을 것 같죠? ‘****를 누르세요. 눌렀어요? 그럼 xxx를 누르시고요…’ 휴대전화로 이렇게 한 단계씩 지시 받으면 대부분의 사람들은 자신이 무슨 일을 하고 있는지 인식하지 못합니다.”(금융감독원 김인석 IT협력팀장) 갈수록 교묘해지는 수법도 한몫한다. 은행마다 ATM에서 ‘전화 금융 사기를 조심하라’는 경고 메시지가 나오도록 조치한 뒤 ‘낚시꾼’들은 감언이설로 계좌번호와 비밀번호를 직접 알아낸다. 납치 협박의 경우 피해자의 자녀에게 미리 욕설 전화를 여러 번 걸어 휴대전화를 끄도록 만든다. 협박전화를 받은 부모가 자녀에게 전화를 해도 불통이어서 납치를 기정사실로 받아들이도록 하는 것이다. 피해자의 부주의도 큰 원인이다. 6자리 암호를 AB1234로, 4자리 암호를 1234로 등록해 놓은 경우 공인인증서만 유출당해도 피해를 보게 된다. 해킹당하기 쉬운 e-메일함에 공인인증서를 저장해 놓거나, ID와 비밀번호를 적어두는 것은 범죄를 조장하는 것이나 다름없다. “보안 패치만 꾸준히 업그레이드해도 해킹을 예방할 수 있다. 보안불감증이 문제다.” 경찰청 사이버테러대응센터 정석화 수사3팀장의 지적이다. 출처 : 중앙 SUNDAY 한돌 1집 ..... 한돌타래모음 1 (1989) 한돌 1954- No.1 - 못생긴 얼굴 　 잘생긴 꾀꼬리 꽃미남 리차드강 어리버리 돈키호테.