진화하는 금융 사기, 제대로 예방하려면…

전문가 칼럼입력 :2014/10/06 10:15    수정: 2015/10/19 11:40

김호광 gameworker@gmail.com

한국은 휴대폰 사용자가 많고, 인터넷 뱅킹도 오래전부터 대중화된지라 보이스 피싱이나 스미싱 위협에 상대적으로 많이 노출돼왔다.

한국에서 유행하는 ‘보이스 피싱’을 정리하면 다음과 같다.

-연체되어 전화 혹은 전기가 끊기니 입금하라는 전화라면 대부분 사기다.

-검찰이나 경찰에서 출두하라고 전화하면서 전화를 못 끊게하고 각종 정보를 묻거나 안전 계좌로 이체를 요구하는 것 또한 사기다.

-안전 계좌로 이체해야한다는 전화도 사기다. 특히 최근에는 본인 이름의 가상 계좌로 입금을 유도하고 있는데 주의가 필요하다.

-자녀의 교통사고, 유학중인 자녀를 납치했다고 하는 것이 사기일 가능성이 높다.

-보안 카드 번호를 다 입력하라 하는것도 사기다.

최근 모바일 뱅킹 시스템의 경우 보안이 강화됐다. 자신의 스마트폰으로 발송된 문자가 타인에게 재전송되는 것까지 막을 수 있다. 때문에 조금만 신경쓰고 보안을 강화한다면 인터넷 뱅킹 사기를 막을 수 있다. 구체적인 대응 방법을 소개하면 다음과 같다.

-보안 카드보다 OTP를 사용하라.

-지정 폰 혹은 지정 PC를 선택해 인터넷 뱅킹을 하도록 한다.

-정체불명의 안드로이드 앱을 설치하지 않는다.

-돈을 보내기 전에 받을 사람과 통화를 하고 보낸다.

-안드로이드보다 안정한 아이폰이나 윈도8 윈도 뱅킹을 사용하라.

그럴듯한 문자 메시지로 위장해 악성앱을 다운로드할 수 있는 링크를 포함시키는, 이른바 스미싱 가격은 중국발 악성 스미싱 프로그램이 대부분 안드로이드 보안 SW에서 막히게 되면서 소강 상태로 접어들었다.

그러나 곧바로 동유럽과 러시아에서 유행하는 스미싱 앱이 중국 조직을 통해 한국 사용자들 사이에서 퍼지는 양상이다. 지능적인 안드로이드 애플리케이션 패키지(APK) 파일 암호화로 백신에 있는 패턴 탐지 기능을 무력화시키는 러시아산 악성 프로그램이 중국 악성코드 조직으로 유입됐다고 한다.

언어 장벽과 지역적인 문제로 따로따로 놀던 중국과 러시아 스미싱 조직이 이제는 글로벌하게 교류를 시작한 셈이다. 스미싱 공격의 수준이 빠르게 진화할 것임을 예고하는 대목이다. 기술만으로는 스미싱을 막기 어렵다. 제도 개선이 효과적일 수 있다.

최근 보이스 피싱과 스미싱 트렌드를 보면 증권 계좌가 악용되고 있다는 점이 눈에 띈다. 법 개정으로 은행 계좌는 전화 한통으로 지급 정지시키는 것이 가능해졌다. 공격자 입장에선 부담일 수 밖에 없다.

이에 스미싱 조직들은 대안으로 상대적으로 허술한 증권 자산관리계좌(CMA) 계좌를 이용하게 된 것이다. 증권 계좌는 스미싱에 대한 정책과 연계되어 있지 않아 지급 정지를 시킬 수 없고 CMA 카드를 많이 만들더라도 제지할 법도 없다고 한다. 6~7월 벌어진 스미싱 공격들은 대부분 CMA 증권 계좌를 이용했다.

위협이 확산되자 금융감독원과 경찰청은 9월초 ‘대포통장’으로 악용되는 종합자산관리계좌(CMA), 위탁계좌 등 증권사 계좌에 대한 지급정지를 은행권처럼 ‘24시간, 365일 지급정지체제’로 개편한다고 발표했다. 각 증권사가 시스템을 구축하기까지는 1~3개월 소요될 것으로 보인다.

관련기사

보이스 피싱이 심했던 대만의 경우 돈을 찾는 시간과 횟수, 통장 개설을 제어하면서 중국발 보이스 피싱, 스미싱을 거의 박멸하다시피 했다고 한다. 역시 기술보다는 제도 개선이 피싱이나 스미상 공격을 차단하는데 효과적일 수 있음을 보여주는 사례다.

비정상적인 거래를 탐지하는 이상거래탐지시스템(FDS)를 금융기관들이 도입하도록 하는 방안이 법제화됐다. 소비자 입장에서 운영할거라 기대하지만 사고 발생시 면피용으로 써먹는 것 아니냐는 걱정이 드는 것도 사실이다. 보안에서 기술만으로는 확실한 해결책을 만들 수 없다. 실효성 있는 제도에 대한 고민이 더 필요하다고 보는 이유다.

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.