KARP(은퇴협)에 오신 것을 환영합니다.

대구의 자영업자 Y(59)씨는 6월 말 한 통의 전화를 받았다. 금융감독원(이하 금감원) 직원이라고 자신
을 소개한 남자는 Y씨의 개인정보가 유출됐다면서 “큰 피해가 우려되니 통장 잔액을 금감원이 관리하
는 안전한 계좌로 분산이체하라”고 제의했다. 당황한 Y씨는 다급히 그가 안내한 계좌 11개로 자신의
돈 1억여 원을 나눠 이체했다. 전화를 끊고 잠시 후 뭔가 이상하다고 느낀 Y씨. 확인해본 결과 돈은 이
미 다 빠져나갔고, 11개의 계좌 모두 대포통장이었다.

휴대전화와 e메일, 가짜 홈페이지 등을 매개로 개인정보를 빼내 범죄에 악용하는 다양한 피싱
(phishing) 사기가 기승을 부리고 있다. 최근 가장 심각한 문제를 낳고 있는 것은 전화 금융사기, 즉 보
이스 피싱이다. 4, 5년 전 대만에서 유행하기 시작한 보이스 피싱은 2005년 말부터 우리나라로 옮겨와
빠르게 번지고 있다. 현재까지 총 400억원의 피해액이 신고됐을 정도다.

남녀노소 낚이는 데는 누구도 예외 없어
잘 알려진 것처럼 보이스 피싱은 전화를 통해 자동입출금기기(ATM)로 유도한 뒤, 상대가 불러주는 번호
를 그대로 따라 누르게 해 돈을 이체하는 방식. 그런데 우둔한 사람들만 이런 보이스 피싱을 당하는 것
일까.

“법원 직원도 보이스 피싱을 당했다는 말이 있습니다. 실제로 피해자 중에는 고학력 공무원이나 회사원
들도 많습니다.”

지난 5월 말부터 시행한 보이스 피싱 관련 수사를 통해 4억원 규모의 피해를 낸 대만과 중국의 범죄조직
을 검거, 구속 기소한 인천지검 마약조직범죄수사부 김종호 부장검사에 따르면, 피해자 50명 중에는 대
학교수(2명), 공무원(7명) 등도 포함돼 있으며 20~40대가 절반에 이른다(20대 1명, 30대 8명, 40대 14
명).

“보이스 피싱의 수법과 성격이 갈수록 다양하고 정교해지고 있습니다. 초기의 보이스 피싱이 국세청이
나 보험관리공단을 사칭해 세금을 환급해주겠다며 계좌이체를 유도하거나 자식을 납치했다며 돈을 요구
하는 방식이었다면, 최근에는 금감원이나 검찰청을 사칭해 ‘개인정보가 유출됐다’거나 ‘수사에 필요
하다’는 식으로 불안감을 조성하는 등 수법이 진화했습니다.”(김종호 부장검사)

2005년부터 성행하고 있는 보이스 피싱 범죄는 중국·대만 폭력조직과 연관된 경우가 많다. 은행계좌
를 만들거나 휴대전화 가입이 비교적 쉬운 재중동포가 많기 때문이다.

또 바로 통화하지 않고, 자동응답서비스(ARS)로 돌린 뒤 버튼을 누르게 해 전화를 돌려받거나 텔레마케
터가 금감원 직원을 연결하는 식으로 여러 번의 단계를 거쳐 통화하기도 한다. 김 부장검사는 범죄 수법
에 대해 “인터넷 폰으로 무차별적으로 전화를 거는 데다, 비교적 젊은 층이 전화를 받으면 언론에 자
주 소개된 방식을 피해 접근한다”고 분석했다.

이 같이 진화하는 보이스 피싱 피해를 막기 위해 정보통신부와 한국정보진흥원이 나섰다. 두 기관이 7
월 말 발표한 ‘보이스 피싱 피해 예방 10계명’에는 ‘범죄에 악용될 수 있는 동창회나 동호회 사이트
의 주소록과 비상연락망 등 개인정보 파일을 삭제할 것’ ‘발신자 표시가 없거나 001, 080, 030 등 처
음 보는 국제 전화번호는 받지 말 것’ ‘녹음 멘트로 시작되거나 ATM 사용을 유도하는 경우에는 대응하
지 말 것’ 등 보이스 피싱 대처법이 담겨 있다.

또 이미 보이스 피싱을 당해 돈을 송금한 경우 즉시 은행에 연락해 ‘계좌지급정지’를 요청하거나 금감
원‘개인정보노출자 사고 예방 시스템’에 등록해 추가 피해를 최소화할 것을 권고했다.

동창회 사이트 주소록 삭제 등 각별한 주의 필요

보이스 피싱뿐 아니라 e메일을 악용한 피싱도 갈수록 기법이 정교해지면서 증가하는 추세다. 금감원에
따르면 올 상반기 은행과 보험사에서 발생한 인터넷뱅킹 사고는 모두 11건, 피해금액은 1억2000여 만원
으로 지난해의 2건, 피해액 1500만원에 비해 급속히 늘었다. 기존 피싱이 은행이나 쇼핑몰 등을 사칭해
개인정보를 입력하도록 e메일을 보낸 뒤 여기서 수집한 정보를 악용해 예금 등을 빼내는 수법이었다면,
최근에는 해커가 프로그램을 퍼뜨려 가짜 금융사이트로 연결되도록 해 개인정보를 훔치는 파밍
(pharming) 수법이 등장했다.

스핌(spim)이라는 메신저 피싱도 있다. 스팸(spam)과 인스턴트 메신저(instant messenger)의 합성어인
스핌은 메신저를 통해 동영상이나 뉴스를 가장한 URL을 전달하고, 이 URL을 클릭한 사용자로 하여금 메
신저의 아이디와 패스워드를 입력하도록 해 개인 신상정보를 빼내는 수법이다.

따라서 이런 신종 피싱 대처법으로 마이크로소프트사(社)는 메신저 사용자들에게 ‘메신저 자체의 보안
기능을 설정할 것’ ‘안티 바이러스, 안티 스파이웨어 프로그램을 정기적으로 업데이트할 것’ ‘정기
적으로 패스워드를 변경할 것’ 등 보안수칙을 제안했다.

석병희 안철수연구소 시큐리티대응센터장은 “피싱처럼 사회공학적 기법의 공격이 계속 증가하고 있는
만큼 사용자의 각별한 주의와 보안의식이 필요하다”고 충고했다.

구가인 기자 comedy9@donga.com