보이스 피싱 예방법

세상 돌아가는 것에 뒤떨어진 사람, 또는 나이가 많은 어르신이나 당하는 거로 생각한 ‘금융 사기’. 이제는 누구도 안심할 수 없다. 금융감독원의 발표로는 최근 가장 피해를 많이 본 사람은 한창 사회활동이 많은 30~50대의 서울, 경기도 거주자이다. 평범한 일상 속에서 자고 일어났더니 하루아침에 통장 잔액이 사라지는 되는 황당한 일을 겪고 싶지 않다면 정기적으로 금융 사기의 최신 행태와 예방법을 꼼꼼히 점검해 두는 것이 좋다.

보이스 피싱이란?

전화로 개인을 속여, 그 사람의 신상 정보를 빼내는 행위. 경찰이나 우체국 등 공공기관으로 속여 말하거나 자녀 납치, 개인 정보 유출 등의 범죄 행위를 언급하여 개인 정보를 요구한다.

보이스 피싱사례

회사원 E씨는 경찰서에서 전화 한 통을 받는다. '개인 정보가 대량 유출되는 사고가 있었는데 E씨의 것이 포함되어 있다. 확인이 필요하니 주민등록번호를 알려달라' 얼마 전 친구의 부모님이 유사한 보이스 피싱을 당한 이야기를 들은 E씨는 '어느 경찰서냐, 내가 그곳으로 가서 직접 확인하겠다'고 응대했다. 당황한 상대방은 '올 필요는 없고 주민등록번호만 확인하면 된다'를 반복하다가 전화를 끊어버렸다.

 

보이스 피싱 예방법

● 우편물 보관, 형사 사칭을 하여 주민등록번호, 신용카드 번호 등 개인정보를 요구할 경우 무조건 응대하지 마라. 공공기관에서 전화로 개인정보를 요구하는 일은 절대 없다.
● 많은 경우 전화를 건 상대방이 한국말에 서툰 편이다.
● 동호회나 동창회 등 모임 사이트에 개인 연락처를 공개하지 않는다.
● 가족의 사건이나 납치에 관한 전화인 경우 일단 본인과 먼저 확인을 한다. 일부 사례의 경우, 자녀의 번호도 함께 파악하여 자녀에게 먼저 전화를 계속해서 걸어 욕설을 퍼부은 후, 자녀가 휴대전화를 꺼두는 상황이 되면 부모에게 전화를 걸어 '당신의 자녀가 납치됐다'고 알리기도 한다. 자녀의 친구 등의 번호로도 확인하는 것이 필요하다.
● 현금지급기를 이용한 세금할인 등의 제안에 일절 반응하지 않도록 한다. 본인의 손으로 스스로 대포통장에 입금하는 일이 발생할 수도 있다.

파밍이란?

평소에 늘 이용하던 ‘즐겨찾기’를 통해서 은행사이트에 접속했는데도 피싱 사이트로 이동하는 경우가 있다. 이렇게 하여 개인 정보가 유출, 금융 피해로 이어지는 것을 파밍이라고 한다. 정상적인 URL을 피싱 사이트� 연결하는 악성 코드는 동영상이나 음악 파일을 일상적으로 주고받거나 내려받는(다운로드) 과정에서 감염되는 경우가 많다. 피해가 자신도 모르게 피싱 사이트에 입력한 주민등록번호, 보안카드 번호 등을 이용해 범죄자들은 공인인증서를 재발급받아 피해자 계좌의 잔액을 빼가게 된다. 은행사이트와 홈페이지 디자인이 같은 것은 물론이고, 도메인을 똑같이 사용하고 있기 때문에 일반 이용자들은 아무리 주의 깊게 살펴본다 해도 구별할 수가 없다는 것이 가장 큰 위험이다. 경찰청 발표로는 2013년 1~5월 경찰에 신고된 파밍 피해액수는 37억 원이 넘는다고 한다.

파밍 피해사례 1

40대 직장인 A씨는 어느 날 중학생 아들이 컴퓨터를 사용한 후, 유독 컴퓨터가 느려진 것을 느꼈다. 잠시 불편하다고 생각했으나 별다른 의심 없이 계좌이체를 위해 인터넷 브라우저에 등록해 놓은 은행 사이트에 접속했다. 똑같은 URL, 의심할 여지가 없는 은행 홈페이지의 구성. 알림창(팝업창)이 뜨더니 ‘보안 강화 설정’을 위해 필요하다면서 주민등록번호, 통장 번호 등 개인정보와 보안카드의 번호 전체를 입력하라는 메시지가 떴다. 두 번도 생각하지 않고 빈칸을 채워 넣었다. 다음 날 새벽, A씨가 직접 입력한 개인정보를 이용해 사기범은 공인인증서를 재발급받고, 계좌에 있던 잔액 3천만 원을 빼내 가고 말았다.

파밍 피해사례 2

20대 직장인 B씨 역시 평소에 사용하던 URL 그대로 은행 사이트에 접근했다. ‘보안카드 번호 전체를 입력하라는 메시지는 파밍일 가능성이 높다’는 것도 잘 알고 있었다. 거래를 시작하자 예의 정상적인 프로세스대로 보안카드 앞뒤 2자리를 입력하라는 메시지가 떴다. 오류가 발생했다. 잘못 입력한 것 같아 다시 입력하기를 수차례 반복, 같은 날 밤 B씨의 계좌에서는 잔액으로 있던 6백만여 원이 사라져버렸다.

파밍 예방법

● PC에 파밍 예방 프로그램을 설치해 둔다.
→경남지방경찰청 파밍캅 설치하기
● 거래은행 사이트에서 전자금융사기 예방 서비스에 미리 가입해 둔다.
● 백신 서비스를 내려받아(다운로드) 둔다.
● 은행 사이트에서 보안카드 일련번호 및 코드 번호 전체의 입력을 요구하는 경우 즉시 멈추고 경찰청(112)에 신고한다.
● 전체 보안카드 번호 입력 요구는 없었으나, 정상적으로 입력했는데도 오류 메시지가 반복해서 뜨는 경우, 즉시 해당 계좌를 정지시키고 경찰청(112)에 신고한다.
● 공인인증서나 보안카드의 사진 등을 컴퓨터나 이메일에 저장하지 않는다.
● 일회성 비밀번호나 보안 토큰을 사용한다.
● 전화나 문자로 개인정보 요청이 있는 경우 절대 응하지 않는다.
● 평소에 불법 파일을 내려받지(다운로드) 않는다.
● 출처가 불분명한 이메일은 열어보지 않는다.

기타 피싱 사이트
- 인터넷 서핑 중, 금융감독원이나 경찰청 사칭, 팝업을 통해 ‘보안 관련 인증 절차’를 수행한다.
(금감원이나 경찰은 인터넷을 통해 보안 절차를 진행하지 않는다.)
- 고객 정보가 많은 게임 사이트(battlenet 등의 유사 사이트)
- 허위 쇼핑 사이트

스미싱이란?

SMS와 fishing의 합성 Smishing. 말 그대로 휴대폰의 문자를 이용해서 금융 정보를 낚는 사기법이다. 동영상 등의 링크를 보내는 예측 가능한 방법에서부터 이벤트 당첨자 확인, 고객 정보 보안 강화나 누출 경고 문자에 URL을 달아서 보내는 방법 등 자칫 방식 하면 클릭할 수밖에 없는 내용으로 발송되기도 한다. 누구나 이름을 알만한 결제 회사의 이름을 적어서 결제 사실을 허위로 알리는 문자도 URL을 클릭하게 되면 사기범에게 소액 결제 인증번호가 전송되고, 이를 통해 자신도 모르는 사이에 휴대전화 소액 결제가 이루어지게 된다.

스미싱 피해 사례 1

대학생 C양은 어느 날 모바일 결제 서비스업체 이름이 적힌 문자를 받는다. '45,500원 결제 완료 / 익월 요금 합산 청구 / 결제 내역 확인'이라고 적혀 있고, 결제 상세내역을 볼 수 있는 인터넷 주소(URL)이 적혀 있다. 무심코 클릭했지만 상세 내역은 나오지 않았고, C양은 오류로 생각해 인터넷 창을 닫고 잊어버렸다. 그러나 다음 달 받아본 휴대푠 요금 청구서에는 이 날 이후 휴대폰 소액 결제를 이용해서 5만원씩 6차례, 30만원이 결제된 것으로 기록이 되어 있었다. 물론 C양은 휴대폰 소액 결제를 이용한 적이 한번도 없었다.

스미싱 피해 사례 2

D씨는 휴대폰에 저장되어 있지 않은 번호로부터 청첩장 문자를 받았다. ‘저희 결혼합니다. 많은 참석 부탁합니다. 찾아오시는 길’ 그리고 결혼식장 약도가 나올 것으로 예상하는 인터넷 주소(URL) 한 줄. 링크를 누르자 알 수 없는 앱을 설치하라는 안내가 떴다. 이런 경우 클릭하면 악성 앱이 휴대폰에 설치되는 것. 느낌이 이상해서 ‘아니오’를 선택한 D씨는 스미싱을 피해갈 수 있었다.

스미싱 예방법

● 인터넷 진흥원이나 통신사에서 제공하고 있는 백신 앱을 설치한다. 각 통신사의 앱스토어를 검색하면 간단히 설치할 수 있다. (SKT의 T백신, KT의 올레스팸차단 등)
→ 한국인터넷진흥원(KISA) 스마트폰 보안 자가점검 앱
● 앱을 내려받을(다운로드) 때에는 공인된 앱스토어를 통해서 받는다.
● 각 통신사 고객센터를 통해서 소액결제를 차단하거나, 결제 금액 상한선을 책정한다.
● 휴대폰 주소록에 등록되어 있지 않은 번호로 전송되어 오는 문자의 링크는 클릭하지 않고 삭제한다.
● 쿠폰이나 이벤트 당첨 URL이 붙어 오는 문자는 ‘스팸 신고’한다. (휴대폰 기능)
● 금융기관이 문자를 통해 개인정보를 확인하는 경우는 없으니, 어떤 위협적인 내용이 함께 오더라도 링크를 클릭하지 않도록 한다.

그럼에도 불구하고 스미싱에 당했다면? 피해구제 신청
- 가까운 경찰서에서 ‘사건 사고 사실 확인원’을 발급받아서
- 통신사의 대리점이나 고객센터에 서류를 제출하고 피해 구제 신청을 한다.

SNS 피싱 유형

트위터 DM(개인 쪽지)을 통해서 퍼지는 개인 정보 유출 사기. 지인, 또는 내가 팔로잉하고 있는 유명인으로부터 DM이 도착한다. URL을 첨부하면서 ‘누군가 너에 관한 혐오스러운 소문을 퍼트리고 있다’는 영문 쪽지가 도착해 있다. 해당 URL을 클릭하면 트위터 로그인 페이지가 뜬다. 언뜻 보면 트위터와 똑같은 모양이지만 자세히 들여다보면 도메인이 다르다. 이를 눈치채지 못하고 로그인을 하게 되면, 그 순간 당신의 아이디와 비밀번호는 이미 누출되었다. 게다가 당신의 지인에게 당신의 이름으로 똑같은 스팸 쪽지가 발송된다.

SNS 피싱 예방법

● 정체를 알 수 없는 트윗 메시지는 절대 클릭하지 마라. 특히 영문과 URL이 함께 보내졌다면 더욱 그렇다.
● URL을 클릭했다면 로그인 창이 뜬 페이지가 트위터가 정확히 맞는지, 유사한 URL은 아닌지 확인한다.
● 이미 수상한 사이트에 이미 로그인했다면, 지인들에게 이를 알리고 SNS 비밀번호를 즉시 변경한다.

이메일 피싱

최근에는 뜸해진 방법. 은행을 위장하거나, 지인의 이름으로 악성 코드가 포함된 사이트의 접속을 유도하는 URL을 포함한 메일을 보낸다. 사이트에 방문하면 파밍과 유사하게 주민등록번호, 신용카드 번호 등의 개인정보 입력을 유도한다.

이메일 피싱 예방법

● 출처를 알 수 없는 메일은 열어보지 않고 바로 스팸 처리한다.
● 지인의 메일이라고 하더라도, 평소에 사용하지 않는 영어가 잔뜩 적힌 메일을 보냈다면 즉각 폐기 처분한다.
● PC에 백신을 설치하고 수시로 업데이트한다.

메신저 피싱

인스턴트메신저에는 대부분 지인만 등록되어 있다는 것을 이용한 것이다. 메신저를 쓰는 사람의 대부분이 이 경우를 당해봤을 것이다. 메신저 계정을 해킹하여 로그인한 후 등록된 친구들에게 말을 거는 식이다. 실제로 소액의 돈을 요구할 경우, 친구가 말을 거는 것으로 착각하고 돈을 보내주는 경우가 많다.

메신저 피싱 예방법

● 내 메신저가 해킹당할 수 있으므로, 주기적으로 비밀번호를 바꾼다. 사이트마다 비밀번호를 다르게 설정하는 것이 좋다.
● 누군가 메신저로 돈을 빌려달라고 말을 걸 경우, 반드시 전화를 걸어 확인한다.

경찰청

○ 전화 : 국번없이 112
○ 사이버경찰청

한국 인터넷 진흥원

○ 전화 : 국번없이 118
○ 피싱사고 신고 사이트

대한법률구조공단

○ 전화 : 국번없이 132

각 은행 콜센터

은행명	전화번호	은행명	전화번호
우리은행	1588-5000, 1599-5000	제주은행	1588-0079
Standard Chartered	1588-1599	전북은행	1588-4477
하나은행	1588-1111, 1599-1111	경남은행	1588-8585
외환은행	1588-3555	KDB산업은행	1588-1500
신한은행	1544-8000	IBK산업은행	1588-2588
한국시티은행	1588-7000	NH농협은행	1588-2100, 1544-2100
국민은행	1588-9999, 1599-9999	수협중앙회	1588-1515
대구은행	1588-5050	신협	1566-6000
부산은행	1588-6200	우정사업본부	1588-1900
광주은행	1588-3388, 1600-4000	새마을금고	1599-9000

Update. 2013. 08. 02