정보통신기술(ICT)이 발달하면서 남의 재산을 강탈하는 사기수법도 함께 진화하고 있다. 예전에는 보이스피싱 수법이 전부였지만, 이제는 스마트폰을 이용한 문자로 링크(인터넷으로 연결되는 URL)를 클릭(또는 터치)하도록 유도하는 등 수법이 다양해졌다. 사칭하는 곳도 캐피탈, 저축은행, 보험사나 카드사 등 금융회사에서 이제는 우체국, 도시가스검침원, 검찰수사관, 경찰서 사이버범죄수사대, 금융감독원 등 공공기관이 애용되고 있다. 이러한 낚시질(피싱)에 당하지 않는 것도 재테크다.

□ 보이스피싱

가장 오래된 수법이다. 전화로 낚시질한다고 말(voice)과 낚시(fishing)을 합성한 용어다. 최근에는 정보통신기술을 이용한 온갖 ‘낚시질’을 법적으로는 ‘전기통신금융사기’범죄에 속한다. 그동안 많이 알려졌지만 여전히 ’나는 절대 안속아’라며 자만하다 피해자가 되기 쉽다. 지금까지 알려진 피해사례를 중심으로 수법들을 알아보자.

① 음침하거나 위협적인 목소리로 ‘네 가족을 납치’했다면서 생각할 시간을 주지 않고 ’당장 30분내에 입금하라’고 다그치는 공갈과 사기로 갈취한다.

② 은행, 금융감독원 등의 보안담당 직원이라면서 ‘당신 계좌가 도용되어 언제라도 돈이 빠져나갈 위험이 있으니, 즉시 알려주는 안전한 계좌로 일단 돈부터 옮겨 놓으라’며 자신들이 관리하는 계좌(대포통장 등)로 이체를 종용한다. 요즈음은 대부분의 은행에서도 이체시 이러한 ’경고문’을 확인시키는데도 이체하는 경우도 많다.

③ 이미 개인정보가 노출된 경우라면 ‘000씨 대출이 있으신데 기존 대출보다 더 싼 이자의 대출로 갈아탈 수 있다’며, ’조금은 수수료가 필요하다’며 돈을 갈취한다.

④ 다급한 목소리로 피해자에게 가족(자녀 등)이 어떤 일을 당해 친구라며 대신해 ‘교통사고’, ’상해사건’ 등에 필요한 합의금을 보내라는 수법이다. 때로는 ‘당신 자녀(가족)가 다쳐 인사불성이라 수술해야 하는데 수술비를 먼저 입금해야한다’며 빨리 송금해달라는 수법 등 많은 응용 수법들이 있다.

⑤ 과거에는 은행(대출연체),카드사(카드도용), 보험사(보험금) 사칭이 많았다. 최근에는 국세청(세금환급), 한국전력(요금미납), 국민연금공단(환급금), 법원(압류사건), 검찰청(범죄연류), 우체국(내용증명우편), 경찰(수사대) 등 사칭하는 공공기관의 어울리는 이유로 돈을 이체하도록 유도한다.

⑥ 피해자의 기초 개인정보 수집을 위해 ‘내용증명이라 본인이 받아야 한다’라며 지금 주소가 맞는지 불러보라는 식으로 우체국 직원을 사칭하거나 검찰/경찰이라며 ‘당신이 범죄에 연루되었다’면서 우선 본인확인을 해야 사건을 알릴 수 있다며 개인/금융정보를 묻는 등 다양한 방법들이 동원되고 있다.

□ 스미싱

문자메시지(SMS)와 피싱(Phishing)의 합성어다. 스미싱은 단계별로 진행된다. ①‘무료쿠폰 제공’,‘돌잔치 초대장’, ‘모바일 청첩장’, ‘모바일 부고장’ 등으로 문자메시지나 링크 등을 클릭하거나 터치(인터넷 주소가 링크)하는 순간 낚인다. ② 이 클릭(또는 터치)하는 순간 그 링크에 접속하는 순간 악성코드가 스마트폰으로 설치된다. ③ 이때 클릭했는데 특별한 변화가 없으면 “별일이네”하며 넘어가기 쉽다. 바로 그 순간 소액결제 피해가 발생했거나 개인금융정보가 유출된 것으로 봐야한다. 최소한 자신이 모르는 연락처의 문자메시지의 링크는 아예 클릭 또는 터치를 안하는 것이 최고다. 또 스마트폰의 보안설정에서 항상 무슨 앱(프로그램)이든 확인을 거쳐 설치되도록 안전장치를 강화해두자.

□ 파밍

파밍은 개인정보(Private data)와 피싱(Fishing)을 합성한 사기수법이다. 주로 악성코드에 감염된 사용자 PC/스마트폰을 통해 정보를 빼낸다. 낚시성 제목(일확천금을 연상시키는 문구나 음란물 무료 제공 등 무궁무진)의 이메일을 보내 링크 클릭을 유도한다. 이때 ① 사용자PC가 일단 악성코드에 감염되면 ② 그 PC(또는 스마트폰)로 정상적인 홈페이지에 접속했다고 생각되지만 실상은 피싱(가짜)사이트가 나온다. ③ 만약 무심코 그곳에서 금융거래하면 오염된 사용자PC에서 금융정보가 탈취된다. 모르는 연락처(전화/이메일 등)에서 오는 것은 확인을 누르거나 링크를 아예 손대지 않는 것이 최고다. 혹시 당할 수도 있기에 예방차원에서 은행거래 등에는 가능한 일회성 비밀번호생성기(OTP)나 비밀정보 복사방지(보안토큰)를 사용하자. 또 PC/스마트폰에 각종 보안카드나 신분증을 저장해두지 말자.

□ 피싱은 나도 언제든 어디서든 당할 수 있다

경찰청범죄통계에 따르면 2023년 사기수법 범죄는 34만7901건이었고 범인 검거는 57.0%인 19만8167건이었는데, 보이스피싱 등 전기통신금융사기는 3만4101건, 검거율은 31.5%인 1만749건에 그쳤다. 그만큼 피싱사기가 교묘해졌다는 이야기다. 나도 언제든 어디서든 당할 수 있다는 점에서 다음 사항만큼은 잊지말자.

① 미심쩍은 피싱을 당한 것 같은 생각이 든다면 반드시 상대에 대한 확인/체크는 자신이 받은 전화기/PC가 아닌 다른 기기를 이용한다. 범인들의 말대로 악성코드가 작동중이기 쉽기 때문에, 그 전화기나 기기로 확인전화를 해도 받는 사람은 실제 사칭한 공공기관이 아닌 범죄집단의 담당자가 같은 공공기관 이름을 대면서 받게되어 속는 것이다.

② 세상에 ‘절대 공짜 점심은 없다’는 것을 잊지말자. 진짜 도움이 되고 일확천금이 생길 기회를 전혀 모르는 타인에게 일일이 전화나 메시지로 안내하는 사람은 절대 없다는 것을 명심하자.

③ 관공서의 전화라면 일단 성명과 연락처를 물은 다음 지금 당장 급한일이있어서 바로 전화 다시 드리겠다고 대답한후 확인/체크부터 한다. 당연히 이때는 꼭 다른 전화나 PC로 체크/확인해야한다.

④ 카톡이나 문자로 전화기가 고장, 분실됐다면서 ’가족, 지인’ 본인이라고 연락하는 경우도 있다. 이때를 위해 가족간에 ‘피싱’인지 체크할 수 있는 ‘약속어’를 미리 정해두자.

⑤ 이제는 옛날처럼 말이 어눌한 외국인 노동자를 동원하는 피싱은 거의 없다고 보면 된다. 단순히 말이 유창하다고 진짜겠지라고 선입견을 가지지 말자.

⑥ 피싱이라고 확신이 되더라도 상대와 절대 논쟁하거나 험한 말을 하지 말자. 보복 당할수도 있다. 바쁘니 나중에 다시 전화달라거나 하겠다고 하고 끊는것이 좋다. 그런다음 신고하자.

⑦ 대한민국의 관공서가 일일이 전화로 안내해 줄 정도로 친절하거나 한가한 곳이 아니다. 진짜 관공서는 전화가 아닌 ‘문서’로 말하는 곳임을 명심하자.

/김진홍경제에디터 kjh25@kbmaeil.com