메일 클릭만 했는데 3000만원이…신종 피싱

중앙일보

'문자메시지(SMS) 수신 서비스가 해지됐습니다'. 지난해 12월 31일 오후 8시30분쯤 회사원 이모(32)씨는 거래은행으로부터 이런 문자 한 통을 받았다. 이상한 생각이 든 이씨는 즉각 입출금 내역을 확인했으나 상황은 끝난 뒤였다. 이미 7시30분부터 수십여 차례에 걸쳐 대포 통장과 게임회사 가상 계좌로 마이너스 통장 한도인 3000만원이 전부 빠져나갔다. 경찰은 "e-메일이나 PC에 보관 중이던 공인인증서를 피싱으로 도용한 사건으로 보인다"라고 설명했다. 이른바 해킹 결합형 피싱이다.

 2004년 국내에서 첫 피싱 사례가 적발된 이후 8년여가 지나면서 그 수법도 진화하고 있다. 초기 주요 유형이었던 우체국·택배 사칭형에서 메신저 피싱, SMS와 결합한 '스미싱'을 거쳐 정상 사이트로 접속해도 위조 사이트로 유도하는 '파밍', e-메일 피싱 등이 속속 등장했다.

 경찰 관계자는 "과거에는 직접 돈을 송금하게 하거나 대포통장으로 이체했으나 최근에는 게임머니를 구매하는 등 한 단계 더 거치는 경우가 많다"고 설명했다. 금융감독원이 300만원 이상 계좌이체 시 10분간 인출을 못하게 하는 지연인출제 등의 대책을 내놓자 빈틈을 파고든 것이다.

 신종 피싱의 문제는 피해 구제가 어렵다는 것이다. 보이스피싱 피해자가 급증하자 정부는 2011년 9월 별도의 소송절차 없이 지급정지된 피해액을 돌려받을 수 있는 제도를 마련했다. 하지만 이씨와 같은 신종 피싱 피해자는 구제 대상이 아니다. 공인인증서 해킹 등은 고도의 기술력이 필요해 환급 대상이 아니라는 이유에서다. 실제로 이씨가 게임업체 고객센터에 문의했더니 "우리가 구제해 줄 방도가 없다"는 대답이 돌아왔다. 게임업체 관계자는 "게임머니 충전 가능 금액은 성인을 기준으로 할 때 아이디당 50만원으로 정해져 있고, 결제수단을 선택하는 순간부터는 결제대행업체 소관"이라고 했다. 결제대행업체 측은 "시스템상 단시간 내에 여러 건의 동시 결제는 불가능하다"고만 했다. 서로 떠넘기기에 바빴다.

 사정이 이렇다 보니 회사들은 앞다퉈 '정체불명 e-메일을 함부로 열어보지 말라'는 지침을 사원들에게 내리고 있다. e-메일 피싱을 통해 개인의 아이디나 비밀번호를 빼내는 것은 물론, 이를 매개로 회사 서버 자체의 취약점을 공격하는 '지능형 지속해킹공격(APT)'으로 이어질 위험성이 높아지자 내부 단속에 나선 것이다. 정준현(55) 단국대 법학과 교수는 "가게 안에 들어간 손님이 바나나 껍질 때문에 미끄러졌다면 매장 주인에게 손해배상의 책임이 있다"며 "해당 업체들이 신종 피싱 사기 피해에 대해서도 최소한의 책임을 져야 할 것"이라고 지적했다.

민경원 기자 < storyminjoongang.co.kr >

◆피싱(Phishing)='개인정보(Private data)를 낚는다(fishing)'라는 의미의 합성어. 우체국·검찰 등을 사칭하는 전화금융사기를 '보이스 피싱'이라고 한다.

민경원 기자



Copyrightsⓒ중앙일보, DramaHouse & J Content Hub Co.,Ltd. All Rights Reserved.