디지털 기술과 인터넷 발달로 디지털금융이 삶 전반에 빠르게 스며들면서 우리에게 새로운 가치와 경험을 제공하고 있다. 고객은 금융회사 창구를 직접 방문하지 않고도 비대면으로 계좌를 개설하거나 스마트폰으로 편리하게 송금·결제 등 다양한 전자금융서비스를 이용할 수 있다. 또 금융소비자가 거래하는 모든 금융회사 서비스를 한 화면에서 조회하고, 언제 어디서나 나만의 맞춤형 금융서비스를 받는 등 쉽고 편리한 금융 생활이 가능하게 됐다.
그러나 전자금융 발전과 함께 금융소비자의 금융 생활을 위협하는 피싱 사기 또한 날이 갈수록 진화하고 있다. 사기범들은 정보기술(IT)을 악용해 금융소비자와 디지털금융의 약한 지점을 노리는 새로운 사기 수법을 지속 고안해 내고 있다.
예를 들면 사기범은 피해자 신상정보를 파악한 후 지인, 공공기관을 사칭한 문자나 메신저를 발송해서 피해자를 기만하거나 피해자 스마트폰에 악성 앱을 설치해서 금전을 탈취한다. 악성 앱이 설치되면 스마트폰에 저장된 개인정보가 유출될 뿐만 아니라 정상으로 금융회사 대표번호로 통화를 시도해도 사기 조직에 통화가 연결되는 '전화 가로채기'가 발생, 피해자는 자기도 모르게 피싱 사기에 속게 된다.
최근에는 스마트폰을 원격에서 제어할 수 있는 악성 앱을 악용한 피싱 사기도 다수 발생하고 있다. 사기범들은 피해자를 속여 공식 앱스토어에서 다운로드 가능한 원격제어 앱을 스마트폰에 설치하도록 한 후 피해자 스마트폰을 원격 조정, 개인정보를 유출하거나 계좌에서 금액을 탈취한다.
이처럼 피해자 심리를 파고드는 사회공학적 특성을 띠는 피싱 사기를 완벽하게 예방하기는 어렵다. 이 때문에 진화하는 피싱 범죄 피해자가 되지 않으려면 금융소비자가 경각심을 발휘하는 것이 무엇보다 중요하다.
금융회사·공공기관·지인을 사칭해서 신분증, 주민등록번호, 계좌비밀번호 등 개인정보를 요구하거나 금융회사를 사칭해서 대출 처리비용을 위한 자금이체 등 금전을 요구할 때는 처음부터 끝까지 피싱 사기를 의심해야 한다.
또 출처가 불분명한 문자 또는 메시지 URL을 클릭하는 경우 악성 앱이 설치될 수 있다. 금융회사·지인을 사칭해서 원격제어 앱 또는 출처를 알 수 없는 앱 설치를 요구하는 경우도 피싱 사기일 공산이 매우 크기 때문에 유의해야 한다. 특히 보이스피싱 악성 앱을 차단할 수 있는 모바일 백신 앱을 공식 앱스토어를 통해 설치한다면 악성 앱으로 인한 피싱 사기 피해 예방에 도움이 될 수 있다.
금융보안원은 갈수록 고도화되는 피싱 범죄를 선제적으로 대응하기 위해 다양한 노력을 하고 있다. 특히 2016년부터 금융회사들이 탐지한 이상금융거래정보를 공유할 수 있는 시스템을 운영, 전자금융사기에 신속히 대응하고 있다. 2021년 한 해 동안 자체적으로 탐지한 피싱사이트, 악성 앱 등 약 5만건을 금융회사뿐만 아니라 공공·통신·보안·수사 등 여러 전문기관과 공유해서 보이스피싱 사기를 선제적으로 예방하고 있다.
최근 발간한 보이스피싱 악성 앱과 사기 조직들을 분석한 인텔리전스 보고서는 수사기관이나 보안업체 등에서 보이스피싱에 대응하기 위한 자료로 적극 활용되고 있다. 앞으로도 피싱 사기 대응 방안을 지속해서 마련하고 금융권 및 전문기관들과 협조체계를 강화, 금융소비자가 안전하고 편리하게 디지털 금융서비스를 이용할 수 있는 금융보안 생태계가 마련돼야 한다.
임구락 금융보안원 사이버대응본부장(상무) grlim@fsec.or.kr
