“[Web 발신](광고) 귀하께서는 코로나 서민 지원 자금 대상자입니다.

xx은행에서 정부와 공동으로 주관하는...

누구나 한 번쯤 이와 같은 문자를 받았을 것이다. 과거 전화 통화를 이용하여 검사 혹은 형사 등의 공공 기관 직원을 사칭하고 피해자에게 입금을 유도하는 ‘보이스피싱’이 성행하였으나, 정부의 지속적인 캠페인과 언론을 통해 다양한 피해 뉴스를 접하며 대중 경각심이 강화되어 직접적인 전화를 통한 피싱은 줄어들게 되었다. 하지만 최근엔 위와 같은 형태의 메신저 피싱(지인사칭형) 혹은 스미싱의 피해가 증가되고 있다. 문자나 SNS를 통해 URL의 클릭을 유도하고 피해자의 단말기에 악성코드를 심거나 원격제어가 가능한 애플리케이션을 설치한다. 그 후 피해자의 단말기를 ‘좀비폰’화하여 의식하지 못하는 순간 이체 혹은 결제를 행하는 방식의 피싱이 최근 전문화된 스미싱 방법이다. 금융감독원이 19일에 발표한 ‘2021년 보이스피싱 피해 현황 분석’에 게재되어 있는 자료를 참고하면 지난해 메신저 사기의 피해액은 991억 원으로 전년보다 166% 증가했다.

(자료 : 금융감독원)


이에 대비하여 일반적으로 이루어지고 있는 대표적인 피싱 방법들에 대해 서술해 보고자 한다.

메신저 피싱(지인 사칭형)

- 문자나 SNS 혹은 전화로 발신 번호를 조작하여 가족이나 지인을 사칭하는 방법이다. 현재 국내 통신법상 뒷자리 8번호가 같은 번호로 오면 본인의 핸드폰에 저장되어 있는 이름으로 전화가 걸려온다. 해외에서 국제번호를 제외한 뒷 번호를 조작해 ‘내 딸’ 혹은 ‘내 아들’과 같이 가족이나 지인으로 사칭하는 것이 가능하다는 것이다. 피해자가 속은 후엔 ‘사고를 쳤는데 특정인에게 돈을 갚아야한다’, 혹은 ‘결제를 해야 하는데 결제할 금액을 보내달라’등의 방법으로 대포 통장으로 입금을 유도한다. 20년까지만 해도 전체 피해액 중 평균 10% 정도의 비율을 웃돌았으나 21년 그 비중이 급격히 상승되어 60%에 가까운 비율까지 치솟아 올랐다고 한다.

대출빙자형(혹 지원금 홍보형)

- 은행 혹은 공공기관에서 사업자 지원형 대출과 같은 대국민적 금융 지원 대출을 하는 형태, 금융사 혹은 공공기관을 사칭하여 대출 혹은 지원금 신청을 명목으로 문자 혹은 SNS를 발송 후 상담 문의가 오면 악성코드가 삽입되어 있는 애플리케이션을 설치하도록 유도한 후 휴대폰을 원격으로 제어할 수 있는 ‘좀비폰’으로 만든다. 피해자가 의식하고 있지 못하는 순간 개인의 보안 관련 비밀번호나 개인 정보를 취득하고 피해자가 수면에 드는 경우 혹은 핸드폰을 장시간 사용하지 않은 시간에 맞춰 은행 앱을 통한 송금이나 특정 마켓에서 고액을 결제하여 돈을 갈취하는 방법을 사용하고 있다. 유사한 방법으로는 택배기사를 사칭하여 소포의 위치 추적 링크를 URL로 첨부하여 악성코드를 심는 방법도 있다.

기관 사칭형

- 과거부터 성행하던 피싱 범죄 방법이다. 전화, 문자, SNS 등의 다양한 수단을 매개체로써 임의의 대상에게 위압감을 줄 수 있는 특정 기관을 사칭하여 피싱을 유도하는 방식이다. 일반적으론 본인의 직업을 검사 혹은 경찰, 세무사 등으로 그럴듯하게 소개한 후 특정 금융 사건에 연루가 되어 있다거나 자금 출처에 문제가 있다고 하며 대포통장으로 입금을 유도하는 방식이다.

이슈형

- 작년의 경우 선거 시즌을 악용하여 특정 후보를 지지하는 용도로써 애플리케이션 다운로드를 유도하는 방법으로 피해자의 핸드폰에 악성코드를 심는 방식을 취하였다. 이와 유사하게 선거 여론조사 사칭, 백신 접종, 코로나 지원금 신청, 코로나 자가 키트 구매 결제 유도 등이 있다.

작년 한 해 동안 사칭형의 피해액이 높았던 이유는 전화번호 조작을 악용하여 실제 지인이라 착각할 가능성이 높았기 때문이다. 최근 국회는 이와 같은 조작형 보이스피싱 예방을 위해 일반 국민이 수신된 전화번호가 국외에서 발신되는 것인지, 국내에서 발신되는 것인지 확인할 수 있는 법률 개정안을 발의하였다. 또한 작년 8월부터 금융사와 통신사가 AI 기반 모니터링 시스템을 구축해 시행을 하고 있어 보이스피싱의 피해를 줄이려는 시도가 이어지고 있다. 시스템적인 개편도 중요하지만 가장 중요한 것은 피해자의 예방이다. 결국 송금하는 하는 행위도, 악성코드가 삽입되어 있는 애플리케이션을 다운로드하는 것도 피해자가 심리적인 위협을 느끼거나 다급한 마음에 이루어지는 것이므로 사전에 다음과 같은 사항을 숙지해두고 있어야 한다.

1. 정부기관에서 자금 이체를 요구하면 반드시 의심을 해야 한다.
2. 전화 혹은 문자로 대출 권유를 받는 경우 무대응 혹은 금융회사의 여부를 확인해야 한다. 하지만 이미 휴대폰이 악성코드에 전염이 되어 있는 경우에는 확인 전화조차 조작될 수 있으니 본인의 휴대폰이 아닌 다른 기기를 통해 금융사 담당자의 신원을 확인해 보아야 한다.
3. 대출 처리 비용(서류 작업비 요구 혹은 법무사가 아닌 대출 상담사를 사칭하는 자가 기존 금융사에 상환금 송금을 본인에게 요구) 등을 선입금 요구할 시 의심하여야 한다.
4. 고금리 대출을 받아 먼저 상환할 시 신용등급이 올라 저금리 대출이 가능하다는 것은 반드시 보이스피싱이다.
5. 납치 혹은 협박 전화를 받게 되는 경우 침착히 자녀의 안전 여부부터 확인해 보아야 한다.
6. 채용을 빙자하여 계좌 비밀번호 등 개인 정보를 요구할 경우 보이스피싱이다.
7. 가족 및 지인을 사칭하며 돈을 빌려달라고 하거나 결제를 부탁하는 경우 침착히 금전을 요구하는 당사자가 실제 지인이 맞는지를 확인하는게 우선이다.
8. 출처를 알 수 없는 파일이나 이메일, URL 링크는 클릭하지 말고 반드시 삭제해야 한다.
9. 금융감독원 팝업창이 화면에 출력된 이후 금융거래 정보 입력 요구하는 경우는 반드시 보이스피싱이다.

예방을 했음에도 불구하고 귀신에 홀린 듯이 당하는 것이 보이스피싱이라고 한다. 만약 내가 피해자가 되었다면 어떻게 대처해야 할까? 그 방법에 대해 알아보자.

1. 지연 이체 제도를 활용할 수 있다. 사전에 지연 이체를 신청해두었다면 일정 시간(최소 3시간) 이내에 이체를 취소할 수 있다. 단, ATM기로 이체했을 경우에는 불가능하다.
2. 금융 계좌의 지급정지 요청이다. 사기범이 예금을 인출하기 전 신속히 경찰(국번 없이 112)나 해당 금융사에 지급정지 조치를 취해 현금 출금을 방지하는 방법이다.
3. 피해액이 발생될 경우 피해금 환금 신청이 가능하다. 신분증 사본과 사건사고 사실확인원(경찰청 112), 피해 구제 신청서(국가법령 센터에서 출력)를 사건이 발생된 금융사에 제출하면 환급 신청이 가능하다.

21년 한 해 간 35.9%의 피해액이 환급이 되었다. 하지만 시일도 다소 걸리고 처벌 여부에 따라 환급이 불가능한 경우도 있으니 1, 2번의 방법으로 최대한 신속히 출금을 방지하는 방법을 이용해야 한다.

보이스피싱은 사후 대처보다 예방이 더욱 중요하다. 금전에 관련된 연락이라면 의심하고 또 의심하여야 한다. 위 내용과 같이 보이스피싱의 수단과 방법은 수도 없이 많다. 그 방법이 단순할 수도, 기술적으로 전문적일 수도 있으나 결국 범죄자는 피해자의 심리를 흔들어 사기를 완성한다. 근본적으로 범죄자는 피해자가 위협을 느낄 수 있는 상황, 혹은 금전적으로 간절한 심리를 이용한다. 피해자는 혹여 범죄자가 심리적인 압박을 넣으며 불안심리를 자극한다고 하더라도 감정에 휩쓸리지 않고 침착히 대처해야 한다. 피해의 유무가 판가름 나는 것은 나와 연락하고 있는 당사자가 범죄자인지, 실제 그 인물(지인 혹은 담당자)인지 파악하는 것이다. 반드시 당황스러운 상황 속에서도 침착함을 잃지 않고 주체의 신원을 정확하고 신속히 파악하여야 한다. 피해 당사자가 본인인 만큼 상황을 냉철하게 판단하여 피해의 유/무 사이의 갈림길에서 올바른 결정을 내리는 것이 무엇보다 중요하다.