금감원 직원들도 꼼짝없이 당하는 ‘눈 감으면 코 베가는 피싱’ 공포

 

유한빛 조선비즈 금융팀 기자

전화나 인터넷을 이용해 불법으로 빼돌린 개인정보를 악용한 금융사기를 ‘피싱(pishing)’이라고 부릅니다. 이 중에서 전화통화(voice)를 이용한 범죄를 보이스피싱이라고 하는데 아마 한 번쯤 직간접 경험을 했을 것입니다.

 

2000년대 초반 대만에서 시작된 보이스피싱은 2006년말 우리나라와 중국, 일본 등으로 퍼졌고 최근엔 스마트폰과 인터넷 사이트를 이용한 ‘파밍’, ‘스미싱’이라는 신종 수법까지 기승을 부리고 있습니다.

피싱 사기는 워낙 교묘한 방법을 구사해 금융당국 관계자나 금융회사 직원, 기자들도 속수무책으로 당합니다. 2011년 당시 한 사회부 경찰 출입기자는 “동생을 납치했다”며 동생의 신상정보를 줄줄 읊는 사기전화를 받고 300만원을 송금해 고스란히 잃었습니다. 매일 사기·폭행 같은 범죄 사건을 취재한 기자인데도 보이스피싱 전화엔 아무 생각도 나지 않더랍니다. 연락되지 않던 동생은 친구 집에서 놀고 있었다고 합니다.

 

한 금융감독원 관계자는 “금감원 직원 중에서도 본인이나 가족이 보이스피싱을 당했다며 대응책을 물어오는 경우가 있다”며 “(금감원 직원이고 하니) 부끄러워 돈을 찾을 가능성이 없을 땐 신고도 하지 않고 조용히 넘어가는 편”이라고 합니다. 다른 금감원 직원은 “(금감원 직원인)남편이 민방위 훈련을 가 연락이 안 되는 사이, ‘남편을 납치했다’는 보이스피싱 전화를 받고 아내가 400만원을 송금한 사건도 있었다”고 했습니다.

 

보이스피싱은 줄고, 파밍과 스미싱은 급증

경찰청 집계가 시작된 2007년 이후 매년 증가하던 보이스피싱 피해금액은 지난해에 급감했습니다. 2011년 경찰에 신고된 피해건수와 피해금액은 각각 8244건, 1019억원에서 지난해엔 5709건, 595억원으로 피해금액이 절반 가까이 줄었습니다.

 

이는 보이스피싱 수법이 많이 알려지고, 경찰 단속이 강화되면서 범죄자들이 스마트폰과 인터넷으로 많이 이동했기 때문이라고 합니다. 보이스피싱도 한물 간 수법이 되고 대신 스미싱·파밍 같은 신종 사기가 기승을 부리고 있는 것이죠.

올 5월 27일 밤, 금감원 서민금융사기대응팀에 갑자기 비상이 걸렸습니다. 금감원장을 사칭한 ‘사기’가 인터넷에 등장했기 때문입니다.

 

신종 사기

 

인터넷 익스플로러 창을 열면 “옥션 해킹사고로 정보가 유출되어 인증서 및 개인정보의 보안을 검증하여야 합니다”라는 팝업창(웹사이트를 열면 추가로 튀어나오는 작은 창)이 뜨고, 이 창을 클릭하면 가짜 금감원 사이트로 넘어가는 방식이었습니다. 금감원 직원들은 “금감원장 사인까지 위조할 생각을 하다니 무척 똑똑한 놈”이라며 혀를 내둘렀습니다.

금융사기꾼들이 새로 노리는 대상은 이처럼 스마트폰 사용자와 온라인쇼핑족(族)입니다. 일일이 전화를 거는 것보다 여러 사람을 쉽게 낚는 방법이기 때문이죠. 이들은 협박전화 대신 스팸 문자와 가짜 인터넷 사이트, 악성코드를 심은 앱(스마트폰의 응용프로그램) 등을 이용합니다.

 

‘스미싱(Smishing)’은 문자를 이용한 사기입니다. 스팸 문자를 보내 악성코드에 감염된 인터넷 사이트에 접속하도록 꼬여내는 방법을 씁니다. “피자 1+1 쿠폰 증정! 지금 다운로드 받으세요” 같은 문자에 가짜 인터넷 사이트 주소를 넣어 보내는 식입니다.

 

스마트폰이 악성코드에 감염되면 이 스마트폰을 이용해 소액결제를 할 때 인증번호를 빼낼 수 있습니다. 가로챈 인증번호를 이용해 게임사이트 포인트 처럼 돈으로 바꾸기 쉬운 사이버머니(온라인 상에서 이용하는 돈)를 사들입니다. 30만원이 넘지 않는 금액은 휴대전화 문자로 받은 인증번호만 입력하면 결제할 수 있는 점을 노린 것입니다.

 

‘파밍(pharming)’은 처음부터 가짜 인터넷 사이트에 접속하게 만들어 개인정보와 금융거래정보를 빼내는 방식입니다. 이 방식도 악성코드를 컴퓨터에 심는 게 핵심입니다. 악성코드에 감염된 컴퓨터로 인터넷뱅킹이나 온라인쇼핑몰 사이트에 접속하면 사기꾼들이 만들어둔 가짜 사이트로 이동합니다.

이런 사이트에 접속하면 “본인인증을 위해 성함과 주민등록번호, 온라인뱅킹 보안카드 번호를 모두 입력해주세요” 같은 안내문이 나옵니다. 개인정보를 모두 입력했다간 꼼짝없이 사기를 당합니다. 이렇게 알아낸 정보를 이용해 공인인증서를 새로 내려받고 은행 계좌에 든 돈을 모두 빼가기 때문입니다. 심한 경우엔 마이너스통장을 개설하거나 대출까지 받아 피해액이 수천만원이 되기도 합니다.

“금융사기범도 대박은 내기 힘들다”

하지만 수사 관계자들에 따르면 금융 사기 수법을 고급화한다고 해서 ‘범죄 수입’이 꼭 늘어나는 것은 아니라고 합니다.

금감원의 한 관계자는 금감원장 서명을 위조한 사기 행각과 관련, “접수된 피해 사례가 한 건도 없다”고 말했습니다. 경찰 관계자는 “금융사기도 평범하고 단순한 수법이 제일 잘 먹힌다”며 “스마트폰에 앱을 설치하고 금융거래를 할 때를 노려 인증번호를 빼내는 식의 신종 사기는 절차가 복잡해 이런 방법을 적용할 수 있는 대상이 많지 않을 것”이라고 했습니다.  

 

파밍 사기도 거쳐야 하는 단계가 복잡합니다. 이메일 등을 보내 개인 컴퓨터로 악성코드를 침투시켜야 하고 가짜 사이트에 접속한 사람이 개인정보와 금융거래정보를 입력해야 합니다. 공인인증서까지 받아내야 간신히 피해자 통장에서 돈을 빼낼 수 있습니다.

 

또 가짜 인터넷 사이트 하나를 만드는데만 20만원 정도 들고 서버 관리비며 이메일을 보내는 기본 인건비까지 추가하면 수백만원의 운영자금이 필요합니다. 악성코드를 유포하고 파밍 사이트까지 만들었는데, 한 건도 안 걸리면 초기 투자비용조차 못 건지는 셈입니다.

 

날아다니는 금융사기 vs. 기어다니는 정부

문제는 각종 금융사기에 대한 정부의 처벌 강도와 대응이 미약하다는 것입니다. 보이스피싱만 해도 우리나라에 등장한 지 7년이 넘지만 처벌 근거가 없어 대개 ‘사기죄’로 처벌합니다.

사기죄의 법정형은 10년 이하의 징역이나 2000만원 이하의 벌금입니다. 지난해 신고된 보이스피싱 피해금액(595억원)을 신고건수(5709건)로 나누면 건당 평균 피해액수는 약 1042만원입니다. 사기죄가 선고돼도 1~2년 징역형에 그치거나 벌금 납부로 대부분 끝나니 범죄자들에게 보이스피싱 사기는 여전히 ‘남는 장사’이죠.

 

수사당국은 파밍·스미싱처럼 문자와 온라인 사이트를 이용한 범죄가 어떤 서버를 이용하는지, 어떤 식으로 악성코드를 유포하는지 제대로 파악조차 못하고 있습니다.  신종 사기 피해 관련 통계를 묻는 기자의 질문에 경찰 관계자는 “스미싱 같은 신종 사기는 지난해에 등장했기 때문에 관련 자료가 부족하다”며 “아직 시스템을 다 갖추지 못했다”는 말만 반복했습니다.

 

금융당국은 금융사기꾼들이 범죄를 저지르기 어렵도록 금융거래 절차를 복잡하게 만드는데 주력하고 있습니다. 공인인증서를 새로 발급받을 때 본인 인증을 여러 번 하고 많은 돈을 보낼 땐 본인 여부를 이중(二重)확인하는 식입니다. 지난해부터 300만원 이상 입금된 통장에서 현금자동입출금기(ATM) 같은 기계를 이용할 경우, 해당 계좌에 돈이 입금된 지 10분이 지나야 출금할 수 있게 하는 ‘지연인출제도’도 그런 노력의 하나입니다.

 

금융위원회 관계자는 “지금으로서는 보안카드 번호를 안전하게 보관하고 공인인증서를 USB(휴대용 저장 장치) 등에 따로 저장하는 등 금융거래정보 보안에 신경 쓰는 게 최선책”이라고 했습니다.

금융위원회와 금융감독원·방송통신위원회·경찰청은 보이스피싱 등 금융사기에 공동대응하기 위해 ‘보이스피싱 정책 협의회’를 구성하고 매년 두 번씩 회의를 열어 대응책을 마련하기로 했습니다. 정부가 민생 보호 차원에서 과연 제대로 대응할 지 주목됩니다.

                                                                유한빛 조선비즈 금융팀 기자 : 2013.07.11