전화에서 메신저·문자, 스마트폰 가짜 앱까지 ‘피싱 지능화’

“딸을 데리고 있으니 500만원을 입금하라.”

수화기 너머 들려오는 어눌한 말씨에도 2000년대 중반 초기 보이스피싱 피해자들에겐 청천벽력이었다. 2007년에는 현직 법원장까지도 “아들이 납치됐다”는 전화에 속아 6000만원을 송금했다. 시간은 흘러 피해 사례가 널리 알려졌고 이제 웬만한 보이스피싱은 우스운 장난전화가 됐다. 하지만 ‘피싱(Phishing)’ 자체는 전화에서 인터넷 메신저로, 메신저에서 문자메시지(SMS)로 모습을 바꿔가며 국민들을 위협하고 있다.

보이스피싱 카드론 피해자들이 서울 여의도 금융감독원 앞에서 시위하고 있다. | 경향신문 자료사진

 

피싱은 ‘개인정보(Private data)’와 ‘낚시(Fishing)’의 합성어다. 불특정 다수의 개인정보를 몰래 빼내 금융사기에 이용하는 범죄를 가리킨다. 초기 피싱은 e메일로 이뤄졌는데 국내에선 2004년 10월 첫 피싱 범죄가 적발됐다. 범인은 가짜 외국계 은행 홈페이지를 만든 뒤 대량 스팸 메일을 발송해 예금주들을 가짜 홈페이지로 유도, ID와 비밀번호를 입력하게 했다. 실제 피해 사례는 발견되지 않았지만 한국도 피싱의 안전지대가 아님을 알린 일이었다.

2005년 11월엔 실제 피싱 피해가 국내 처음으로 확인됐다. 범인들은 한 시중은행의 가짜 홈페이지를 도메인까지 유사하게 만들어 피해자들의 ID와 비밀번호, 은행 계좌번호, 주민등록번호를 빼내 1억여원을 챙겼다. e메일과 인터넷 사이트를 이용한 피싱은 이후 전화금융사기(보이스피싱)로 진화해갔다.

2006년 확산된 보이스피싱은 “자녀를 납치했다”는 막무가내식 납치범 흉내부터 검경, 법원, 국세청, 국민연금관리공단, 금융기관 사칭까지 목소리로 가능한 모든 방식을 동원했다. 전화상으로 피해자들의 주민등록번호와 은행 계좌번호, 신용카드 번호 등을 알아내거나 현금지급기로 피해자를 유인해 돈을 이체받는 수법을 썼다.

인터넷 메신저가 대중화한 2007년 무렵에는 ‘메신저피싱 주의보’가 내려졌다. 초기 메신저피싱은 재미있는 동영상·뉴스를 보여준다며 웹페이지 주소를 보내놓고 메신저 ID와 비밀번호를 요구하는 방식이었다. 이후 2008년에는 아예 메신저 ID와 비밀번호를 도용해 해당 메신저에 등록된 지인들에게 급전이 필요하다며 돈을 송금받는 형태로 발전했다.

진짜 같은 가짜 은행 사이트.

최근에는 ‘파밍(Pharming)’과 ‘스미싱(Smishing)’ 등 좀 더 교묘한 신종 피싱이 기승을 부리고 있다. 파밍은 농사를 짓듯(Farming) 피해자의 컴퓨터에 악성코드를 심어 피해를 유도한다. 국내 첫 파밍 피해는 2007년 발생했지만 최근 더 빠르게 확산되는 추세를 보인다. 스마트폰의 보급과 함께 지난해 출현한 스미싱은 문자메시지를 통해 가짜 웹주소를 전송하거나 가짜 애플리케이션 설치를 유도해 개인정보를 빼간다.

▲ 피싱(Phishing)

개인정보(Private data)와 낚시(Fishing)의 합성어로 불특정 다수의 개인금융정보를 몰래 빼내는 사기수법.

▲ 파밍(Pharming)

경작(Farming)과 피싱의 합성어로 악성코드를 피해자 컴퓨터에 심고 피싱 사이트로 유도해 개인금융정보를 빼내는 방식.

▲ 스미싱(Smishing)

문자메시지(SMS)와 피싱의 합성어로 스마트폰 문자메시지로 악성코드를 유포시켜 개인금융정보를 빼내거나 가짜 앱 설치를 유도해 소액결제하게 하는 방식.

이서화·박홍두 기자