경제·금융 경제·금융일반

[금융 범죄와의 전쟁] <2> 진화하는 보이스피싱

대검·금감원 위장한 홈피까지 등장… 20~30대로 피해 확산<br>특정 사이트 접속 유도해 계좌 등 개인정보 빼낸 후<br>예금 인출·대출 받아 잠적… 5개월간 피해액만 240억<br>이체금 인출 시간 제한 등 당국 잇단 대책 불구 한계

최근 금융감독원이 적발한 인터넷 피싱 사이트. 금감원 민원센터 사이트를 가장했지만 맨 위의 인터넷 주소가 수상하다. 정부기관의 인터넷 주소는 주로 'go.kr' 이나 'or.kr'로 끝나지만 이 사이트는 'base.asp' 라는 이상한 주소를 사용하고 있다. 정부기관 사이트에서는 인적 사항이나 신용카드 정보 입력을 요구하지 않는다. /사진제공=금감원 (피싱사이트 캡처)



#1. 30대 회사원 장모씨는 지난해 8월 대검찰청 직원이라는 사람의 전화를 받았다. 그는 "당신이 A은행에 개설한 통장이 대포통장으로 이용되고 있다. 개인정보가 유출돼 명의가 도용된 것으로 판단되니 대검 홈페이지에 접속해 신고하라"고 다그쳤다. 장씨는 즉시 사기범이 알려준 대검 홈페이지에 접속해 인터넷뱅킹 아이디(ID)와 비밀번호, 계좌번호, 공인인증서 비밀번호, 신용카드 번호와 비밀번호, CVC 번호 등을 입력했다.

#2. 수원에 사는 50대 여성 김모씨는 최근 경찰청 직원을 사칭한 사람의 전화를 받았다. 사기범은 "당신의 금융거래 정보가 해킹돼 금융자산 보호 조치가 필요하니 금감원이 관리하는 안전계좌로 예금과 카드론을 받아 이체해야 한다"고 김씨를 꼬드겼다. 다급해진 김씨는 아무런 의심 없이 예금 60만원과 카드론 대출금 2,000만원을 송금했다.


보이스피싱(전화금융사기) 수법이 날이 갈수록 진화하고 있다. 앞선 두 사람의 사례는 최근 창궐하고 있는 '인터넷 피싱사이트를 이용한 보이스피싱'과 '금융자산 보호를 빙자한 보이스피싱'을 그대로 보여준다. 보이스피싱이 국내에서 처음 발생한 시기는 지난 2006년. 당시 수법은 비교적 단순했다. 수사기관이나 공공기관을 사칭한 사기범이 피해자에게 전화를 걸어 현금자동인출기(ATM)을 조작하도록 해 돈을 인출 받는 수법이 대부분이었다. "당신의 계좌가 범죄에 연루돼 안전조치가 필요하다"고 윽박지르거나 "세금ㆍ보험료 등을 환급해준다"며 유혹해 피해자를 ATM 앞으로 유인했다.

대학입시에 추가 합격됐다거나 자녀가 납치됐다고 속여 송금을 요구하는 것도 고전적인 수법에 해당한다. 하지만 보이스피싱에 대한 경각심이 높아지면서 더 이상 피해자들이 속지 않자 최근에는 수법이 완전히 바뀌었다.

대표적인 게 인터넷 피싱사이트를 이용한 보이스피싱이다. 지난해 8월 처음으로 등장해 12월까지 5개월간 1,005건의 피해사례가 신고됐다. 피해금액은 무려 240억원에 이른다. 지난해 신고된 전체 보이스피싱 범죄에서 피싱사이트를 이용한 사기의 비중은 건수 기준으로 12.2%, 금액으로는 24.5%에 이를 만큼 단기간에 급증했다. 기존 보이스피싱과 가장 큰 차이점은 수사기관 홈페이지를 위장한 사이트를 개설해 피해자들을 쉽게 속인다는 점이다. 사기범은 대검찰청ㆍ금감원 등 주요 정부기관이나 공공기관 홈페이지와 유사한 피싱사이트를 개설한 뒤 타깃으로 삼은 피해자에게 전화를 건다. 그 다음 "당신의 예금통장이 범죄에 연루돼 있다"거나 "당신 이름으로 대포통장이 개설돼 있다"고 속여 해당 사이트 접속을 유도한 뒤 '개인정보침해신고센터'나 '민원처리' 메뉴에 계좌번호ㆍ비밀번호, 보안카드 번호 등 개인 금융정보를 입력하도록 한다. 사기범은 이렇게 수집한 정보로 공인인증서를 재발급 받은 뒤 피해자의 예금을 인출하거나 카드론을 대출 받아 잠적한다.


금융자산 보호를 빙자한 보이스피싱은 카드사들의 본인확인절차를 회피하기 위해 새로 등장한 수법이다. 사기범이 더 이상 피해자 모르게 카드론 대출을 받는 게 어렵게 되자 피해자 스스로 대출을 받은 뒤 이체하도록 유도하는 것이다.

관련기사



주로 검찰ㆍ경찰ㆍ금감원 등 수사기관 직원을 사칭해 "당신의 계좌가 위험하니 국가가 관리하는 안전계좌로 옮기라"고 강요하는 수법으로 이뤄진다.

최근 보이스피싱의 특징은 수법의 다양화에서 그치지 않는다. 전화를 거는 단계에서부터 피해자가 속을 수밖에 없도록 잘 짜여진 각본에 따라 이뤄진다. 우선 말투부터 달라졌다. 과거에는 전화를 거는 사람의 목소리가 조선족 말투이거나 기계음이어서 보이스피싱을 알아채기 쉬웠으나 최근에는 세련된 서울말씨가 대부분이다.

또 전화기에 뜨는 발신번호를 실제 검찰ㆍ경찰ㆍ금감원ㆍ우체국ㆍ은행 등의 전화번호로 조작해 피해자의 의심을 피했다. 심지어 통화를 하는 도중 실제 은행 객장에서 전화를 건 것처럼 수화기 너머 고객을 부르는 소리가 들리도록 상황을 연출하는 경우도 있다. 이처럼 수법이 정교해지다 보니 50대 이상 고령자가 대부분이던 피해자 연령이 최근에는 20~30대로 확산되는 추세다.

보이스피싱이 심각한 사회문제로 떠오르자 금융당국은 피해방지를 위한 다양한 대책을 내놓았다. 공인인증서 재발급을 제한하고 계좌 간 이체금액이 300만원 이상일 경우 입금된 지 10분 이내에는 인출할 수 없도록 했다. 사기범이 돈을 인출하는 데 걸리는 시간이 통상 5분 이내인 점을 감안해 인출시간을 그 이후로 늦추고 피해자나 은행이 보이스피싱 거래를 적발하는 시간을 벌기 위해서다. 또 300만원 이상 카드론 대출은 2시간이 지난 뒤에야 입금하도록 의무화했다. 아울러 발신번호 조작을 사전에 차단하고 피싱사이트에 대한 모니터링을 강화하기로 했다.

하지만 보이스피싱 피해 방지를 위해서는 무엇보다 금융소비자 스스로의 주의가 가장 중요하다는 게 전문가들의 지적이다. 보이스피싱 수법이 하루가 다르게 진화하고 있는 터라 금융당국이 일일이 대응하는 데 한계가 있기 때문이다.

예방법은 의외로 간단하다. 전화를 건 사람이 공공기관 홈페이지에 접속하라면서 인터넷주소를 불러줄 경우 이 주소로 접속하지 말고 반드시 포털사이트 등을 통해 해당 기관 홈페이지 주소를 재차 확인하면 된다. 또 송금 전에는 상대방의 이름과 전화번호를 받아 적고 나서 114 등을 통해 거래 금융기관의 대표번호를 확인한 뒤 담당자와 직접 통화를 해야 한다. 보이스피싱 범죄에 속았다는 의심이 들면 곧바로 경찰청 112센터나 은행 콜센터로 연락해 지급정지를 요청하는 것도 필수다.

금감원의 한 관계자는 "계좌번호나 비밀번호 등을 요구하는 전화는 무조건 보이스피싱으로 의심하면 된다"며 "앞으로 총선ㆍ대선 등 선거 여론조사를 빙자한 보이스피싱 등 다양한 수법이 등장할 것으로 예상되는 만큼 금융소비자의 각별한 주의가 요구된다"고 말했다.

김능현 기자
<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>




더보기
더보기





top버튼
팝업창 닫기
글자크기 설정
팝업창 닫기
공유하기