피싱 피해가 심각해지면서 관련업계와 당국이 방지 대책 마련을 위해 발벗고 나섰다. 그러나 피싱 피해를 원천 차단하기에는 역부족이다. 일반 사람들은 속아 넘어갈 수 밖에 없을 정도로 정교해진 피싱 수법에 노인들의 주머니를 털어가는 일당도 한 둘이 아니다.
최근 발표된 피싱예방워킹그룹 통계조사에 따르면, 대한민국은 전 세계에서 피싱 공격을 많이 받는 국가 중 하나에 해당하는 것으로 나타난다. 또한 피싱 피해 발생 후 대응하는 시간 역시 전 세계 평균이 약 55시간인 것이 비하면 우리나라는 89시간 정도다. 상대적으로 오랜 시간 범죄에 활용되고 있다는 것이다. 최근 악성 피싱 사이트 공격의 주요 대상이 되는 것도 이러한 이유에서다.
■피싱천국 대한민국, 사기 수법도 다양해
요즘 가장 성행하는 피싱 수법은 금융권 사칭이다. 보안조치 강화의 일환으로 금융 서비스 이용고객을 대상으로 보안승급을 해야 한다며 피해를 입히는 경우가 가장 많다.
문자메시지를 통해 금융권에서 운영하는 보안승급 사이트로 위장해 금융권 고객들을 유도한다. 공식 금융권 웹사이트와 헷갈릴 정도로 유사한 형태로 제작된다. 심지어 홈페이지 도메인까지 실제 은행관련 도메인을 포함하는 경우가 많아 사용자 스스로가 피싱사이트를 판별해 내기가 쉽지 않다.
피싱 사이트로 고객들을 유도하면 주민등록번호, 보안카드 일련번호 등을 요구해 추가 금융정보 탈취까지 시도한다. 보안카드를 이용해 이뤄지는 인터넷 뱅킹의 특징을 이용한 전형적인 피싱 수법을 활용하는 것이다.
실제로 금융 피싱 문자메시지를 전송받은 주부 권모(52)씨는 “최근에 금융권 보안사고로 인해서 금융권들이 보안 강화조치로 보안승급을 요구하는 것이라고 생각했기 때문에 접속해 확인할 수 밖에 없었다”면서 “전화번호, 웹사이트 운영형태까지 실제 금융권 사이트로 너무 똑같아서 구분하기가 쉽지 않아 뉴스에서 보지 않았더라면 사이트에서 지시하는 대로 입력할 뻔 했다”고 밝혔다.
최근 성행하는 보이스피싱 수법 역시 놀라울 정도다. 최근에는 피싱 조직들이 타깃으로 한 대상의 구체적인 개인정보까지 모두 가지고 있는 경우가 많다. 이 때문에 실제 가족을 납치했다는 등의 공포심을 조장해 사용자들이 당황하는 틈을 노려 금전을 탈취하는 경우도 많다.
거주지는 물론이고 가족정보까지 모두 자세히 알고 있는 상태에서 피싱 사기를 벌이는 것이다. 이에 대해 보안 전문가들은 개인정보 유출이 보이스피싱의 진화에도 한 몫했을 것이라고 분석하고 있다.
■피싱피해 예방 대책?...일단 사용자 주의부터
피싱사기 수법이 날이 갈수록 진화하고 있지만 당국은 뾰족한 대책을 내놓지 못하고 있는 것으로 보인다. 피싱을 당해도 피해액을 되찾는 제도 마련이 아직 미흡하고, 수많은 피싱 사이트를 차단하는 것에도 한계가 있다는 점 때문이다.
이에 금융권은 계속되는 피싱 피해에 기본적인 시스템관리 강화에 나서고 있다. 대출이나 예금해지 시 콜센터를 통해 본인 인증을 하거나 2채널 인증서비스를 제공하는 등의 노력을 기울이고 있다. 피싱 사이트의 경우는 보안 프로그램을 이용하거나 상시 모니터링 체계를 구축한 곳도 있다.
보이스피싱 방지를 위해서는 각 단계에 대한 대응과 금융 소비자 및 기관에서의 정책적인 대응방안이 마련이 필요한 상황이다.
먼저 불법 유통되는 개인정보 암시장 거래 자체를 개선하는 것이 가장 시급하다. 일반 상거래에서 이용되는 개인정보 자체를 최소화하고 보안 체계를 강화해 나가야 한다.
모든 피싱사이트는 주로 ‘.com’ 등 도메인에 등록되는 경우가 많다. 이 때문에 등록과정에서 아예 피싱 사이트를 차단할 수 있는 방법이 개발되거나 적발 시 신속히 폐쇄될 수 있도록 할 필요가 있다.
관련기사
- 서민 울리는 피싱사기 '진화 중'2012.05.09
- 보이스피싱 무한진화...첩보영화 넘어섰다2012.05.09
- 보이스피싱 꼼짝마...사기 예방 기술 개발2012.05.09
- KISA 가짜 피싱 사이트 등장...보안 주의보2012.05.09
보안 프로그램과 같이 보이스피싱 방지 프로그램 개발도 시급하다. 특히 최근 스마트폰의 활성화로 피싱방지 프로그램에 대한 요구는 더욱 높아질 것으로 보인다.
금융권의 한 관계자는 “현재 상황에서는 사용자 개개인이 더욱 주의를 기울이는 방법 외에는 금융권에서도 뚜렷한 대책이 없다”면서 “전체 보안카드 번호를 요구하거나 무리하게 개인정보를 요구할 경우에는 일단 의심해보고 확인절차를 반드시 거쳐야 한다”고 말했다.