[전국] ‘보안등급을 높여야 합니다!’
최지영(29세·가명) 씨는 즐겨찾기에 추가해놓은 은행에 들어갔다가 이런 문구를 발견하고는 아무런 의심 없이 개인정보를 재입력하고 공인인증서를 새로 받았다. 최 씨가 모르는 사이 은행 계좌에서 돈이 인출되기 시작한 것도 이 때부터, 하지만 이미 알아차렸을 때는 계좌에서 돈이 모두 빠져나가 손쓸 수 없는 상태였다.

정체는 바로 최근 유행하고 있는 금융거래사기 ‘파밍(pharming)’이었다. 파밍이란 악성코드를 이용자의 컴퓨터에 감염시켜 진짜 은행사이트에 접속할 경우 가짜 은행사이트에 자동으로 접속되도록 한 시스템이다. 가짜 은행사이트에 입력된 정보는 피싱 사기범에 손에 들어간다. 이렇게 유출된 금융거래 정보로 이용자의 예금을 인출해 가는데 수법이 꽤나 교묘하기 때문에 피해자들은 눈치 채기도 어렵다.

파밍으로 피해를 본 최 씨는 “말로만 듣던 금융사기를 내가 당하리라고는 생각도 못했다. 그 때는 인터넷뱅킹을 하기 위한 당연한 절차라고 생각했기 때문에 추호의 의심도 없었다.”고 회상하며 “이런식이라면 누구나 당할 수 있다는 사실을 잊어서는 안 될 것 같다. 항상 주의를 기울여야 한다.”고 충고했다.

‘파밍’이란 악성코드를 이용자의 컴퓨터에 감염시켜서 진짜 은행사이트에 접속할 경우 가짜 은행사이트에 자동으로 접속되도록 한 시스템이다.

금융거래 사기라고 하면 흔히 ‘보이스피싱’을 떠올리기 쉽다. 어눌한 사투리로 전화 한 통 받았던 때를 생각한다면 큰 코 다친다. 지속적인 캠페인과 정보교류 등으로 일차적인 수법으로는 범행이 여의치 않아진 지금, 금융사기 수법은 더 교묘해지고 있다. 실제로 보이스피싱 피해액은 지난해 595억 원으로 2011년에 비해 40% 넘게 감소한 반면, 같은 기간 피싱 사이트 차단 건수는 1,850개에서 7,000여개로 3배나 넘게 증가했다.

이런 상황에서 ‘파밍캅(Pharming Cop)’의 등장은 희소식이다. 이는 경남지방경찰서 사이버수사대에서 개발한 파밍 방지 프로그램으로, 지난 2월부터 경남지방경찰서 홈페이지에서 무료로 배포하고 있다. 지속적으로 발생하는 신종금융사기범죄에 경찰청이 발벗고 나선 것. 파밍캅은 일반 프로그램처럼 압축파일을 받아 설치하면 바로 실행되는 체계이기 때문에 사용도 쉽고 안정성도 인정받아 사용자들 사이에서 호평을 받고 있다.

 
파밍캅을 이용 중인 대학생 김성현(23세·남) 씨는 “인터넷 검색을 하다가 알게 됐는데 믿을 수 있는 곳이고 주변에서도 좋다고 하니 바로 내려받았다.”며 “요즘엔 인터넷뱅킹을 안하는 사람이 거의 없을 정도인데 그만큼 피해사례도 증가하고 있는 것 같다. 사용자들이 이런 정보를 미리 알고 대처하면서 주의해야 할 것 같다.”고 말했다.

직장인 송현아(35세·여) 씨 역시 “최근 스미싱이니 파밍이니 하는 신종금융거래 사기가 많아진 것 같아서 걱정인데 이런 프로그램이 생겨서 좋다.”며 “실제로 사용해보니 문제되는 거래은행이 어떤 은행인지 쉽게 알 수 있어 컴퓨터를 잘 못하는 사람이라도 쉽게 사용할 수 있다.”고 긍정적인 반응을 보였다.

경남지방경찰청 사이버 수사대가 개발한 파밍 방지 프로그램 파밍캅, 쉬운 사용법과 인정받은 안정성으로 호평을 받고 있다.

경남지방경찰서 사이버수사대는 “파밍은 기존의 인터넷 뱅킹과 동일한 방식으로 접근하기 때문에 피해가 클 것으로 우려돼 많은 사람들이 파밍캅을 내려받고 있다.”며 “파밍캅이 배포된 14일 하루에만 11,000명이 넘는 사람들이 홈페이지를 받문해 서버가 폭주할 정도로 호응이 높았다.”고 말했다.

그는 또 “파밍캅은 악성코드를 감염시킨 호스트 파일(IP 주소 라인마다 해당 호스트 이름을 함께 나타낸 파일)을 제거할 목적으로 개발된 프로그램으로, 점점 진화하는 파밍기법에 전부 대응할 수 있는 프로그램은 아니”라며 “이를 기억하시고 신종금융사기를 예방하기 위한 기본적인 예방법을 준수해 달라.”고 권고했다.

예방법은 크게 어렵지 않다. 먼저 ▲출처가 불분명한 동영상이나 이메일은 악성코드 감염우려가 있음으로 다운로드를 자제할 것 ▲보안카드 코드표 전부를 입력하라고 요구하는 경우는 필시 가짜 은행사이트로 판단하고 재차 확인할 것 ▲백신 프로그램을 설치하고 파밍캅 프로그램으로 수시로 검사할 것 등이다.

파밍을 예방하기 위해서는 파밍캅 설치와 함께 위의 사항을 준수해야 한다.

한편, 최근 ‘파밍’뿐 아니라 ‘스미싱(Smishing)’ 역시 극성인데 이는 문자메시지(SMS)와 피싱(Phishing)의 합성어로 휴대전화 소액결제를 이용한 사기 수법이다. 주로 햄버거나 치킨, 아이스크림 등 외식상품을 무료로 준다고 가장해 특정 URL이 포함된 문자메시지를 불특정 다수에게 발송하는데 이를 클릭하면 악성코드가 휴대폰에 설치된다.

이후 인증번호가 포함된 문자메시지가 피의자에게 전달돼 결제에 이용되는데 스마트폰 결제 시 인증번호 입력과 같은 절차가 진행되지 않는다. 때문에 청구서가 올 때까지 결제 사실을 모르다가 뒤늦게 아는 경우가 대부분이라 대처에 어려움을 겪고 있다.

실제로 지난 달 신고된 스미싱 관련 피해는 S사에만 16만 건으로 지난해 12월에 비해 4배나 늘어난 수치다. 개인당 피해액은 대부분 25~30만 원 사이인데 적은 액수라고 신고하지 않는 경우를 고려한다면 실제 피해 규모는 더욱 클 것으로 예상된다.

위와 같은 문자는 스미싱 문자일 가능성이 많으므로 바로 삭제하는 것이 좋다. 표시된 URL을 누르면 악성코드가 설치되기 때문에 주의해야 한다.

이 같은 스미싱 피해가 날로 붉어지자 통신사도 발벗고 나섰다. 이동통신 3사는 스미싱 피해건에 대해 결제를 유보하거나 취소하고 앞으로는 휴대폰 소액결제 서비스를 사용할 경우 비밀번호 인증제도를 도입하기로 했다.

스미싱에 대처하기 위해서는 ‘쿠폰’, ‘무료’ 등의 스팸 문구를 휴대전화에 미리 등록해 스미싱 문자가 전송되는 것을 사전에 차단하고 앱은 애플 앱스토어나 구글 플레이와 같이 공인된 오픈마켓에서 설치하는 것이 좋다. 가장 확실한 방법은 자신이 사용하는 통신사 고객센터나 공식 홈페이지를 통해 ‘휴대폰 소액결제 서비스’를 미리 차단하는 것이다.

보이스피싱 및 피싱사이트 사건과 관련해 금융결제원은 어떠한 경우에도 전화 또는 인터넷상으로 은행명, 계좌번호, 보안카드(OTP 포함) 등의 금융정보를 요구하지 않는다고 공지했다. 아울러 공인인증서 암호체계 고도화를 위해 이용고객이 금융결제원 홈페이지 또는 전화상으로 신청해야 하는 것은 없다는 사실을 강조했다. 보안등급을 높인다는 말에도 현혹되지 말자. 지금 필요한 것은 ‘보안의식’을 높이는 것이다.

☞ ‘파밍캅’은 경남지방경찰청 홈페이지(www.gnpolice.go.kr)를 방문해 내려받을 수 있다.

정책기자 이혜연(대학생) joyful4200@naver.com

이 기사가 유익했다면 왼쪽
‘손가락 버튼’을 눌러주세요~!