[전자금융사기의 진화]가만 있다간 당할수도…'사기 예방' 방법은 있다

공인인증서 재발급·300만원 이상 이체땐 단말기 지정

전자금융사기가 갈수록 활개를 치고 있다.

각종 피해사례가 연일 보도되고 있지만 전자금융사기는 좀처럼 줄어들지 않고 있다. 전자금융사기 수법은 갈수록 진화하면서 피해를 양산하고 있지만 정작 대다수 금융 이용자들이 느끼는 체감도는 낮다. 막상 전자금융사기를 당하면 속수무책일 수밖에 없음에도 ‘나는 아닐 것’이라는 안일함 때문이다.

금융전문가들은 금융 이용자라면 반드시 전자금융사기 유형을 숙지할 필요가 있다고 조언한다. 전자금융사기 유형을 알고 있다면 피해갈 수 있는 지혜가 생겨날 수 있다는 것. 손자병법에 나오는 ‘지피지기 백전백승’(知彼知己 百戰百勝) 이란 말이 금융전자사기 예방에도 예외가 아니라는 지적이다.

◇전자금융사기 예방서비스 적극 활용 = 금융감독원은 전자금융사기 예방서비스를 지난해 9월부터 시범 시행하고 있다. 증권·저축은행 등 비은행권역은 아직 실시치 않고 있는데 1분기 내로 시범 시행에 돌입할 계획이다.

금감원 전자금융사기 예방서비스 가입신청은 거래은행을 통해서만 가능하다. 기타 기관을 통해서는 이 서비스에 가입할 수 없다. 이를 역이용한 제2의 피싱 사례를 막기 위해서다.

전자금융사기 예방서비스의 첫번째 단계로 이용자들은 공인인증서를 재발급 받아야 한다. 또는 300만원 이상 자금을 이체할 경우 단말기를 지정하거나 추가인증 절차를 거쳐야 한다. 금감원은 단말기를 지정하거나 추가 인증할 때 △영업점을 방문해 1회용 비밀번호로 인증하는 방법, △OTP(One Time Password)와 휴대폰 SMS인증법 △2채널 인증(신청은 단말기, 승인은 유선전화 등 별도 채널 이용) 을 권고하고 있다. OTP란 인터넷뱅킹 이용고객의 본인 확인을 위해 거래시마다 새로운 비밀번호가 생성되는 보안 수단을 말한다.

금감원 관계자는 “전자금융사기범이 고객정보를 획득하더라도 인터넷뱅킹 접속에 필요한 공인인증서 재발급이 어려워지므로 피싱 피해 예방이 가능하다”고 말했다.

이어 이 관계자는 “300만원 이상 자금이체 시 추가확인 절차를 거치도록 함으로써 예금인출 피해의 예방이 가능하다”면서 “300만원 이상 자금이체 시 추가확인 서비스를 신청하지 않은 고객의 경우에도 휴대폰 SMS 통지를 통하여 이체사실을 인지할 수 있으므로 지급정지 조치 등을 통해 피해 예방이 가능하다”고 덧붙였다.

지난해 6월 26일부터 1회 300만원 이상 입금된 계좌에서 자동화기기를 통해 인출 시 10분 동안 인출이 지연되는 제도(지연인출제도)가 시행 중이기 때문이다.

◇문자메시지로 전송된 ‘웹주소’조심 = 금융거래 이용자들이 피싱 피해를 방지하기 위해 지켜야 할 것으로는 문자 메시지 등으로 전송된 주소로 웹사이트에 전송하지 말 것이 단연 으뜸으로 꼽힌다. 문자메시지로 전송된 주소는 피싱 사이트 주소일 가능성이 높기 때문이다.

최근들어 휴대폰 소액결제를 야기하는 스미싱이 활개를 치고 있는 것도 이와 무관치 않다. 스미싱은 보이스 피싱과 메신저피싱(네이트온)에 이은 신종 금융사기 수법으로 연령을 가리지 않고 누구에게나 일어나고 있다.

스미싱은 대표적으로 두 가지 유형이 있다. 하나는 고객센터라고 속이는 문자메시지를 보내 결제 인증번호를 알아내는 방법이고, 또 다른 하나는 문자메세지의 URL을 통해 위·변조된 해킹 앱을 다운받게 하는 방법이다.

일례로‘파**** 케익 교환쿠폰을 받으세요’라는 문자메시지의 URL을 무심코 눌렀다가 자신도 모르게 30만 원이 결제되는 식이다.

스미싱을 통한 소액결제는 보통 게임머니를 사는데 이용된다. 현금화가 쉽고, 경찰의 추적을 피할 수 있기 때문이다. 경찰과 한국전화결제산업협회는 무엇보다 휴대전화 사용자들의 주의를 당부했다. 전문가들은 “통신사나 결제대행사는 절대 개인정보와 인증번호를 묻지 않는다”고 강조한다.

경찰 사이버테러대응팀 관계자는 “휴대전화 소액결제를 사용하지 않는 사용자는 이동통신사 고객센터로 전화해 소액결제 서비스를 차단하는 것도 가능하다”고 말했다.

◇PC지정서비스, 어플리케이션은 또 다른 함정 = 전자금융사기를 막기 위해 도입된 PC사전지정서비스를 또 다시 사칭한 전자금융사기도 있다는 점에서 주의가 필요하다.

지난달 중순부터 NH농협은행의 PC사전지정서비스에 가입하라며 가짜 사이트로 사용자를 유인한 후 정보를 갈취하는 사례가 일어나고 있기 때문이다.

전자금융사기범들은 농협 고객들에게‘고객님의 인터넷뱅킹정보가 유출돼 PC지정서비스를 신청해야 한다’고 문자를 보내고 있다. 사용자가 문자에 첨부된 링크를 누르면 NH농협 사이트와 화면이 나타나고, PC사전지정서비스 바로가기 버튼이 나온다. 하지만 이는 가짜 사이트로 필요한 개인정보를 입력하면 정보를 빼돌린다.

NH농협은행은 지난해 9월 전자금융사기를 예방하기 위해 PC사전지정서비스를 제공하고 있다. 이 서비스는 인터넷뱅킹에 사용할 PC를 사전에 등록해 등록된 PC 이외에 다른 PC에서 접속할 경우 공인인증서 발급 등 인터넷뱅킹 이용이 불가능한 서비스다. 전자금융사기범들은 이점에 착안해 사기행각을 벌이고 있는 것이다.

경찰 관계자들은 PC사전지정서비스는 물론 전자금융사기 방지 서비스에 가입하라는 문자를 수신할 경우 함부로 접속하지 말고 실제 사이트가 맞는지 확인해야 한다고 사용자들의 주의를 당부하고 있다.

최근들어 가장 기승을 부리고 있는 것은 파밍(pharming)이다. 이 역시 가짜 사이트를 이용한 금융사기 수법이다. 파밍이란 가짜 사이트를 미리 개설하고 피해자 컴퓨터를 악성코드에 감염시켜 진짜 사이트 주소를 넣어도 가짜 사이트에 접속하도록 해 개인정보를 빼내는 한층 진화된 피싱 수법이다.

사용자로 하여금 이메일을 통해 위조 사이트에 접속하도록 유도하는 ‘피싱’과는 달리, 고객들이 사이트에 접속했다가 ‘보안등급을 높여야 한다'는 안내문을 보고 계좌번호, 비밀번호, 보안카드(안전카드)의 코드표 등을 입력하게 끔 만들어 꼼짝없이 당하기 쉽다.

금감원 관계자는 “개인정보조회를 위해 성명, 주민등록번호, 휴대폰번호를 요구하는 경우는 피싱사이트가 아닌지 의심부터 해야 한다”며 “인터넷뱅킹에 가입된 고객정보는 은행이 알고 있기 때문에 별도로 개인정보조회용으로 성명, 주민번호 등을 동시에 요구하지 않기 때문”이라고 설명했다.