대구의 자영업자 Y(59)씨는 6월 말 한 통의 전화를 받았다. 금융감독원(이하 금감원) 직원이라고 자신을 소개한 남자는 Y씨의 개인정보가 유출됐다면서 “큰 피해가 우려되니 통장 잔액을 금감원이 관리하는 안전한 계좌로 분산이체하라”고 제의했다. 당황한 Y씨는 다급히 그가 안내한 계좌 11개로 자신의 돈 1억여 원을 나눠 이체했다. 전화를 끊고 잠시 후 뭔가 이상하다고 느낀 Y씨. 확인해본 결과 돈은 이미 다 빠져나갔고, 11개의 계좌 모두 대포통장이었다.

휴대전화와 e메일, 가짜 홈페이지 등을 매개로 개인정보를 빼내 범죄에 악용하는 다양한 피싱(phishing) 사기가 기승을 부리고 있다. 최근 가장 심각한 문제를 낳고 있는 것은 전화 금융사기, 즉 보이스 피싱이다. 4, 5년 전 대만에서 유행하기 시작한 보이스 피싱은 2005년 말부터 우리나라로 옮겨와 빠르게 번지고 있다. 현재까지 총 400억원의 피해액이 신고됐을 정도다.

남녀노소 낚이는 데는 누구도 예외 없어

잘 알려진 것처럼 보이스 피싱은 전화를 통해 자동입출금기기(ATM)로 유도한 뒤, 상대가 불러주는 번호를 그대로 따라 누르게 해 돈을 이체하는 방식. 그런데 우둔한 사람들만 이런 보이스 피싱을 당하는 것일까.

“법원 직원도 보이스 피싱을 당했다는 말이 있습니다. 실제로 피해자 중에는 고학력 공무원이나 회사원들도 많습니다.”



지난 5월 말부터 시행한 보이스 피싱 관련 수사를 통해 4억원 규모의 피해를 낸 대만과 중국의 범죄조직을 검거, 구속 기소한 인천지검 마약조직범죄수사부 김종호 부장검사에 따르면, 피해자 50명 중에는 대학교수(2명), 공무원(7명) 등도 포함돼 있으며 20~40대가 절반에 이른다(20대 1명, 30대 8명, 40대 14명).

“보이스 피싱의 수법과 성격이 갈수록 다양하고 정교해지고 있습니다. 초기의 보이스 피싱이 국세청이나 보험관리공단을 사칭해 세금을 환급해주겠다며 계좌이체를 유도하거나 자식을 납치했다며 돈을 요구하는 방식이었다면, 최근에는 금감원이나 검찰청을 사칭해 ‘개인정보가 유출됐다’거나 ‘수사에 필요하다’는 식으로 불안감을 조성하는 등 수법이 진화했습니다.”(김종호 부장검사)

또 바로 통화하지 않고, 자동응답서비스(ARS)로 돌린 뒤 버튼을 누르게 해 전화를 돌려받거나 텔레마케터가 금감원 직원을 연결하는 식으로 여러 번의 단계를 거쳐 통화하기도 한다. 김 부장검사는 범죄 수법에 대해 “인터넷 폰으로 무차별적으로 전화를 거는 데다, 비교적 젊은 층이 전화를 받으면 언론에 자주 소개된 방식을 피해 접근한다”고 분석했다.

이 같이 진화하는 보이스 피싱 피해를 막기 위해 정보통신부와 한국정보진흥원이 나섰다. 두 기관이 7월 말 발표한 ‘보이스 피싱 피해 예방 10계명’에는 ‘범죄에 악용될 수 있는 동창회나 동호회 사이트의 주소록과 비상연락망 등 개인정보 파일을 삭제할 것’ ‘발신자 표시가 없거나 001, 080, 030 등 처음 보는 국제 전화번호는 받지 말 것’ ‘녹음 멘트로 시작되거나 ATM 사용을 유도하는 경우에는 대응하지 말 것’ 등 보이스 피싱 대처법이 담겨 있다.

또 이미 보이스 피싱을 당해 돈을 송금한 경우 즉시 은행에 연락해 ‘계좌지급정지’를 요청하거나 금감원‘개인정보노출자 사고 예방 시스템’에 등록해 추가 피해를 최소화할 것을 권고했다.

동창회 사이트 주소록 삭제 등 각별한 주의 필요

보이스 피싱뿐 아니라 e메일을 악용한 피싱도 갈수록 기법이 정교해지면서 증가하는 추세다. 금감원에 따르면 올 상반기 은행과 보험사에서 발생한 인터넷뱅킹 사고는 모두 11건, 피해금액은 1억2000여 만원으로 지난해의 2건, 피해액 1500만원에 비해 급속히 늘었다. 기존 피싱이 은행이나 쇼핑몰 등을 사칭해 개인정보를 입력하도록 e메일을 보낸 뒤 여기서 수집한 정보를 악용해 예금 등을 빼내는 수법이었다면, 최근에는 해커가 프로그램을 퍼뜨려 가짜 금융사이트로 연결되도록 해 개인정보를 훔치는 파밍(pharming) 수법이 등장했다.

스핌(spim)이라는 메신저 피싱도 있다. 스팸(spam)과 인스턴트 메신저(instant messenger)의 합성어인 스핌은 메신저를 통해 동영상이나 뉴스를 가장한 URL을 전달하고, 이 URL을 클릭한 사용자로 하여금 메신저의 아이디와 패스워드를 입력하도록 해 개인 신상정보를 빼내는 수법이다.

따라서 이런 신종 피싱 대처법으로 마이크로소프트사(社)는 메신저 사용자들에게 ‘메신저 자체의 보안기능을 설정할 것’ ‘안티 바이러스, 안티 스파이웨어 프로그램을 정기적으로 업데이트할 것’ ‘정기적으로 패스워드를 변경할 것’ 등 보안수칙을 제안했다.

석병희 안철수연구소 시큐리티대응센터장은 “피싱처럼 사회공학적 기법의 공격이 계속 증가하고 있는 만큼 사용자의 각별한 주의와 보안의식이 필요하다”고 충고했다.

점조직 보이스 피싱 사기단 중국·대만 폭력조직과 연관 … 재중동포 동원 한국인 노려 피해가 속출하고 있는 보이스 피싱은 주로 중국이나 대만의 폭력조직과 관련돼 있다고 수사 관계자들은 말한다. 은행계좌를 만들거나 휴대전화 가입이 상대적으로 쉬운 데다 한국말을 할 줄 아는 재중동포가 많아 한국인이 범행 표적이 되고 있는 것. 최근 인천지검 마약조직범죄수사부(부장검사 김종호·사진)가 검거한 보이스 피싱 피의자들도 대만과 중국 조직과 연관돼 있었다. 이들은 유학비자, 밀항, 관광비자 등 다양한 형식으로 한국에 입국해 체류했으며 전화통화책, (통장)모집책, 인출책, 전달책, 환전책 등으로 나뉘어 자국에 있는 총책의 지시를 받아 활동했다. 전화통화책이 보이스 피싱을 직접 하는 사람들이라면, (통장)모집책은 자국에서 받은 위조여권으로 통장을 만들거나 국내 노숙자들에게 일정 금액을 주고 대포통장을 만든다. 인출책은 전화사기를 통해 이체된 금액을 즉시 인출하는 일을 한다. 그렇게 빼낸 돈은 중간 전달책을 통해 환전책에게 전달되고, 환전책은 자국 돈으로 환전한 뒤 그것을 마지막으로 총책에게 전달한다. 이렇듯 점조직으로 운영되기 때문에 보이스 피싱 조직 수사는 쉽지 않다. 인천지검의 경우 이 조직원들이 위조여권을 두꺼운 책 속에 담아 자국에서 우편으로 보낸다는 사실을 인천공항출입국관리소에서 확인하고, 수사관들이 우편집배원으로 위장해 잠입 수사를 한 결과 조직의 아지트를 찾아낼 수 있었다. 한 수사 관계자는 “법무부, 인천공항출입국관리사무소, 세관, 국가정보원 등 유관기관과의 긴밀한 협조체제를 강화한 덕에 비교적 짧은 기간 안에 범죄조직을 검거할 수 있었다”고 설명했다.