보이스 피싱이 변했다. 수화기 너머로 상황극을 벌이며 피해자를 속이던 방법은 구식이다. 수법은 더욱 교묘해지고 치밀해졌다. 피해자가 모르는 사이에 감쪽같이 개인정보나 금융 거래 정보를 빼낸다. <시사저널>이 최근 피해자가 속출하고 있는 신종 피싱 수법 ‘파밍’을 추적했다. 배후에 있는 범죄 조직 실상도 짚었다. 보이스 피싱이 어떻게 진화할지도 예측해보았다.
사람을 낚는 낚시가 있다. 그 낚시꾼들에겐 얼굴이 없다. 오직 목소리만 있다. 그 이름도 유명한 ‘보이스 피싱’이다. 수화기 뒤에 숨어 은행·경찰·검찰·우체국·대출회사 관계자, 심지어는 유괴범까지 사칭했다. 멋모르고 떡밥을 문 사람은 속절없이 개인정보를 빼앗기고 돈을 잃었다.
피해자가 속출하고, 관련 수법이 널리 알려지는 일이 반복됐다. 그럴 때마다 사기범들은 새로운 수법을 개발해 대응했다. ‘낚시’는 진화에 진화를 거듭했다.
급기야 사기범들은 기존의 사기 패러다임을 뒤엎는 강력한 무기를 찾아냈다. 바로 ‘파밍’(Pharming)으로 불리는 신종 수법이다. 파밍은 ‘sophisticated(정교한)’와 ‘farming(농사)’의 합성어다. 논밭에 농작물을 심듯 피해자의 PC에 악성 코드를 심는 방식이다. 악성 코드에 감염된 PC에서는 정상적인 홈페이지 주소로 접속해도 금융기관을 사칭하는 피싱 사이트로 연결된다. 이때 범죄 관련자가 사용자의 금융 거래 정보 등을 빼간다.
피해자가 계좌 이체를 알지 못하는 사이에 일이 벌어진다는 점에서 종래의 보이스 피싱과는 차원이 다르다. 수법도 더욱 교묘하고 치밀해졌다. 그동안 목소리로 ‘수렵 생활’을 해오던 사기범들이 악성 코드 심기라는 ‘농업 혁명’을 맞이한 꼴이다.
경찰청 자료에 따르면 지난해 보이스 피싱 피해 사례는 총 5709건이었다. 2011년의 8244건에 비해 약 2500건 줄었다. 전체 피해액도 1019억원에서 595억원으로 감소했다. 보이스 피싱이 줄어든 대신 피싱 사이트를 이용한 파밍은 폭발적으로 늘어났다. 한국인터넷진흥원이 발표한 자료에 따르면 피싱 사이트 차단 건수는 최근 2년 사이 급속도로 증가했다. 특히 지난해 차단된 피싱 사이트는 무려 6944개였다. 2011년의 1849개와 비교해 375% 늘어났다.
폭발적인 증가세다. 이것이 ‘차단 건수’임을 감안할 때 실제 존재하는 피싱 사이트 수는 훨씬 많다고 추정할 수 있다. 조은석 보이스 피싱 및 각종 해킹으로 인한 금융 피해자 단체 대표는 “최근 몇 개월 사이에 인터넷 카페 회원이 수백여 명 늘어났다. 증가세가 급격하다. 대부분 파밍 수법에 당한 피해자다. 2012년 초반까지만 해도 보이스 피싱 피해자가 많았다”고 전했다.
과거의 보이스 피싱 공격을 전면전에 비유한다면, 파밍 공격은 야습 내지는 기습 도발에 가깝다. 범죄자들은 범행 대상자의 심리를 간파한 후 빈틈을 파고든다. 그 과정에서 개인정보를 빼낸다. 약간의 잠복기를 거친 후 피해자의 시선이 미치지 않는 곳을 우회해 금융 계좌를 습격한다. 피해자들이 알고도 당할 수밖에 없는 이유다. 실제로 피해를 입은 이들의 말을 들어보면 ‘눈 뜨고 코 베인다’는 말이 실감날 정도다.
지난 3월1일 강원 삼척에 거주하는 자영업자 김종률씨(34)는 자신의 눈을 의심했다. 방금 ATM(현금인출기)에서 통장 정리를 마친 참이었다. 불과 다섯 시간 전에 자신이 모르는 모처로 큰 액수가 출금돼 있었다. 총 3차례에 걸쳐 모두 300여 만원이 빠져나간 것이다. 도대체 어떻게 된 일일까. 순간 김씨의 뇌리를 스치는 기억이 있었다.
평소 김씨는 업무상 돈을 입출금해야 할 일이 잦았다. 그때마다 간편한 온라인뱅킹을 이용했다. 아예 웹브라우저의 ‘즐겨찾기’에 주거래 은행 홈페이지를 등록해뒀다. 매일 한 번 이상은 거래처에 돈을 송금해야 했기 때문이다.
2월 중순 무렵 그는 언제나처럼 즐겨찾기 단추를 눌러 은행 홈페이지에 접속했다. 갑자기 보안 등급을 업그레이드해야 한다는 메시지가 떴다. 그 과정에서 보안카드 번호를 모두 입력하라고 요구받았다. 김씨는 아무 의심 없이 은행측의 정책이라고 믿었다. 보안카드 숫자 전체를 차례로 입력했다.
김씨는 자신이 접속한 곳이 피싱 사이트일 것이라고는 꿈에도 생각하지 못했던 것이다. 그렇게 개인정보가 강탈당했다. 사기범들은 이후 몇 주간 아무 일 없이 잠복해 있었다. 이윽고 국경일인 3월1일 은행이 영업하지 않는 공휴일을 골라 김씨의 계좌에서 돈을 빼갔다. 범인들은 돈을 한꺼번에 인출하지 않았다. 수차례에 걸쳐 80만원, 120만원 등 분산해서 빼가며 피해자가 눈치채지 못하도록 하는 치밀함을 보였다.
김씨가 당한 방법은 파밍의 가장 전형적인 패턴이다. 파밍은 각 행위를 목적별로 구분해 크게 세 단계로 나뉜다. 이것은 모든 파밍 공격에서 공통된다. 다만 각 단계를 성취하기 위한 방법 면에서 다양한 변종이 나타날 수 있다.
첫 번째는 ‘악성 코드 심기’다. 파밍이라는 용어의 의미에 가장 충실한 행동이다. 악성 코드를 심는 경로는 다양하다. 그중 파밍에 활용되는 가장 대표적인 방법은 이메일을 활용하는 것이다. 사기범들은 사용자들이 흔히 열어보는 내용을 담은 거짓 메일을 보낸다. 카드회사 이용대금 명세서, 쇼핑몰 홍보 메일, 온라인 쇼핑몰 배송 안내 메일, 커뮤니티 및 SNS 사이트 안내 메일 등을 사칭한 악성 메일이 많다. 이 메일 안에 있는 첨부파일을 클릭할 경우 보안 프로그램과 악성 프로그램이 함께 설치되는 식이다.
이런 경우는 그나마 낫다. 피해자들이 전혀 짐작하지 못하는 방법으로 악성 코드에 감염되는 경우도 있다. 특정 파일에 악성 코드를 심어 인터넷에 유포시키는 방식이 대표적이다. 이런 경우 사용자는 언제 어떻게 자신의 컴퓨터가 악성 코드에 감염됐는지 알 수 없다.
두 번째는 ‘개인정보 탈취’다. 컴퓨터에 심어진 악성 코드가 바탕이 된다. 피해자가 개인정보를 스스로 입력하도록 만드는 게 핵심이다. 크게 두 가지 형태다. 피해자 김종률씨의 사례처럼 금융기관의 인터넷 도메인을 거짓 피싱 사이트로 연결시키는 수법이 있다. 일단 악성 코드에 감염된 PC는 즐겨찾기 단추를 통해서든 포털 검색을 통해서든 피싱 사이트에 접속하게 된다. 피싱 사이트의 배치나 디자인은 원래 그것과 흡사하다. 특히 평소 은행권 사이트에 접속하던 방식 그대로이기 때문에 피해자들이 쉽게 속을 수밖에 없다. 피해자가 피싱 사이트에 개인정보를 입력하면 곧바로 사기범들에게 탈취당하는 식이다.
또 다른 형태로는 이메일 첨부파일을 클릭했을 때, 사용자의 개인정보 등을 입력하게 유도하는 화면이 등장하는 경우가 있다. 조금만 경솔하면 마찬가지로 개인정보를 헌납하게 된다.
세 번째는 ‘계좌 공격’이다. 탈취한 개인 금융 정보를 바탕으로 계좌에서 돈을 빼내가는 것이다. 사기범들은 두 번째 단계가 끝난 후 약간의 잠복기를 갖는다. 이후 주말 및 공휴일, 업무 종료 시간 등을 활용해 현금을 빼돌린다. 피해자가 이에 대응하지 못하도록 하는 것이다.
서울에 거주하는 홍성희씨(31·여)는 최근 아버지가 파밍 피해를 당하는 경험을 했다. 지난 3월26일 오후 7시40분부터 8시20분까지 40여 분 동안 총 8차례에 걸쳐 1600만원 상당의 거액이 빠져나갔다.
홍씨의 아버지는 뜬눈으로 모든 일을 지켜봐야 했다. 처음 돈이 이체되었을 때 문자메시지를 통해 관련 사실을 인지했다. 재빨리 은행에 문의해 계좌 거래를 정지시켜야 했다. 그럼에도 아버지는 그렇게 하지 못했다. 은행 영업시간이 종료된 오후 늦은 시간에 사건이 발생했기 때문이다. 아버지가 연락을 시도한 은행 관련 연락처는 영업 종료 이후 연결이 안 되는 곳이었던 것이다. 결국 아버지는 계속적으로 돈이 빠져나가는 것을 속절없이 지켜봐야만 했다. 홍씨는 “연세가 많은 분, 특히 시골에 계셔서 어떻게 대처할지 모르는 아버지 같은 분은 그런 일이 닥쳤을 때 대응하는 데 한계가 있을 수밖에 없다”며 분통을 터뜨렸다.
피해자들이 사건 직후 취할 수 있는 행동은 크게 두 가지다. 피해 계좌를 관리하는 해당 은행에 연락하는 것, 그리고 경찰에 사건 수사를 의뢰하는 것이다. 하지만 이를 통해 떼인 돈을 되찾을 가능성은 그리 크지 않다.
일단 경찰 수사로 사기범들이 잡힐 가능성은 희박하다. 이들이 주로 해외에 오피스를 차려놓고 있기 때문이다. 피해자들의 수가 워낙 많아 경찰이 개개인의 파밍 사건에 매달릴 수도 없는 처지다. 물론 3월5일 파밍 사기단 8명을 처음으로 검거한 사례도 있다. 그러나 이는 중국에서 개발된 프로그램을 이용해 국내에서 범행을 저지른 경우다. 피싱이나 파밍 범죄의 상당수가 중국 또는 홍콩 등지에서 일어난다는 점을 감안하면, 경찰 수사를 통해 범인을 잡는다는 것은 불가능에 가깝다.
돈을 되찾을 가능성이 아예 없는 것은 아니다. 피해자 계좌로부터 이체된 돈이 사기범의 대포통장에 남아 있을 경우다. 이 경우 은행이 신속하게 대포통장 계좌의 거래 정지 조치를 취한다면, 피해자는 약 두 달 후 피해액을 환급받을 수 있다. 그러나 이 또한 피해자 쪽이 어지간히 기민하게 대응하지 않고서는 쉽지 않은 일이다.
발달한 정보통신 기술은 현대인의 생활을 윤택하게 했다. 과거와는 비교할 수 없는 양과 속도로 정보가 흐른다. 하지만 이는 서로의 소통 속에서 ‘얼굴’을 앗아가는 부작용을 낳았다. 통신 회선을 타고 오가는 익명의 상호 관계를 파고들어, 개인정보와 돈을 빼내려는 이들이 판치고 있다. 파밍의 등장에서 알 수 있듯 관련 수법은 점차 교묘해진다.
어쩌면 우리는 편리한 기술을 얻은 대신 언제든 개인정보를 탈취당할 수 있다는 만성 불안에 시달리게 된 것인지도 모른다. 김석 금융감독원 서민금융사기대응팀장은 “현재의 수법에 대응하는 몇 가지 매뉴얼을 강조한다고 해서 해결될 문제가 아니다. 사기 수법은 계속 진화할 것이다. 각 개인이 항상 긴장하고 확인하려는 대응 자세를 갖지 않고서는 위험에 노출될 수밖에 없다”고 강조했다. 오늘도 통신망 너머에 숨은, 얼굴 없는 도둑이 당신의 개인정보를 노리고 있다.
|
또 다른 보이스 피싱 ‘스미싱’ 스마트폰을 중심으로 한 모바일 통신이 발달하면서 새로운 수법이 등장했다. ‘스미싱(Smishing)’이라는 신종 기술이다. 스미싱은 단문 메시지 서비스를 뜻하는 SMS와 피싱(Phishing)의 합성어다. 말 그대로 문자메시지를 이용해 피해자를 속이는 기술이다. 스미싱 사기범들은 웹사이트 링크가 포함된 문자메시지를 보낸다. 쿠폰 발급, 신용카드 결제 내역 조회, 이벤트 응모 등으로 위장한 메시지다. 휴대전화 사용자가 링크를 클릭하면 마찬가지로 악성 코드가 깔린다. 이로써 사기범들이 휴대전화를 통제할 수 있게 된다. 모바일상에서 파일을 다운로드하는 과정에서도 악성 코드가 심어질 수 있다. 가장 빈번히 나타나는 것이 소액 결제 사기다. 좀비화된 피해자의 휴대전화를 이용해 소액 결제를 반복하는 수법이다. 결제액 한도가 있는 휴대전화 소액 결제의 특성상 피해액은 수십만 원 수준이다. 만약 휴대전화 내부의 모바일뱅킹 관련 개인 자료를 빼내갈 경우 피해는 더 커진다. 카카오톡 같은 모바일 메신저를 이용한 사기도 일어난다. 마치 휴대전화 주인인 양 위장해 친구 및 지인에게 말을 걸어 “급한 일 때문에 그러니 돈을 입금해달라”고 부탁하는 것이다. 인터넷 메신저를 해킹해 피해자 지인의 돈을 갈취하던 수법의 모바일 버전이라고 할 수 있다. |
