피싱·파밍·스미싱 주의보…예방이 우선이지만 만일의 경우 피해 최소화 해야
“고객님, 여기는 00은행인데 고객님 통장에 문제가 생겨서 전화를 드렸습니다. 해킹을 당했고요, 통장 비밀번호를 알려주시면 제가 말끔히 해결하겠습니다. 아, 고객님, 많이 당황하셨어요?”

요즘 KBS에서 방송하는 <개그콘서트> 중 한 인기 코너 대사다. 금융기관이나 공공기관을 가장해 전화나 이메일로 개인·금융정보를 빼가는 이른바 피싱(phishing)이 극성인 세태를 풍자했다. 금융감독원에 따르면 지난해 전국에서 발생한 보이스피싱 피해 건수는 5,709건으로 피해 금액은 595억원에 달했다.

범죄 수법도 나날이 다양해지고 있다. KT에 따르면 이전 명칭인 ‘한국통신’을 사칭한 자동응답 전화로 특정 번호를 누르게끔 유도하는 피싱 사례가 올들어 크게 늘었다. 한국통신이란 소개말에 무심코 믿고 따르게 되는 금융소비자를 노린 것이다. 이런 피싱을 위시한 ‘3종 금융사기’가 극성이다. 다른 두 가지는 파밍(pharming)과 스미싱(smishing)이다.
 
파밍은 악성 코드에 감염된 PC를 조작해 PC 이용자가 인터넷 ‘즐겨찾기’나 포털 사이트 검색으로 금융기관 홈페이지에 들어갔을 때 가짜 사이트로 접속되도록 유도, 개인·금융정보를 빼낸다.

서울 가산디지털단지에 근무하는 박하운(32·가명) 씨는 최근 아찔한 일을 겪었다. 평소 자주 찾는 포털 사이트를 통해 주거래 은행 홈페이지에 접속했는데 알고 보니 가짜였던 것이다.

박 씨는 “얼핏 보면 몇 번이나 찾았던 정상적인 은행 홈페이지와 똑같이 생겨 깜빡 속았다”며 “인터넷뱅킹을 위해 주민등록번호와 계좌비밀번호 등 개인정보를 입력하라는 팝업창이 뜨기에 무심코 정보를 입력하려던 순간, 옆에서 동료가 이상하다고 알려줬다”고 말했다.

요즘 유행하는 파밍 수법임을 알고는 뒤늦게 가슴을 쓸어내렸다. 팝업창의 지시에 따랐다면 사기범이 박 씨 명의로 공인인증서를 재발급받아 인터넷뱅킹으로 박 씨 계좌의 돈을 모두 빼냈을 것이다. 금융감독원은 올 5월 한 민원인의 이 같은 제보로 신종 파밍이 극성임을 확인하고 금융이용자 주의보를 내렸다.

스미싱도 파밍만큼이나 교묘하다. 스마트폰 문자메시지(SMS)로 ‘무료쿠폰 증정’, ‘도로교통법 위반’, ‘결혼식 초대’ 등의 내용을 보낸다. 이때 SMS에 적힌 출처 미상의 사이트 주소를 무심코 클릭하면 악성 코드가 설치돼 개인·금융정보가 빠져나가거나 소액결제 피해를 입을 수 있다.

“좋아하는 커피 브랜드를 무료로 준다는 메시지에 이게 뭔가 싶어 무심코 클릭했어요. 광고라 하더라도 사이트에 들어가 보고 그냥 나오면 문제 없을 거라고만 생각했죠.”

대학생 장윤희(22·가명) 씨는 지난 10월 스미싱으로 수십만원어치 소액결제 청구서를 받아야 했다. 클릭해서 원하는 내용이 없으면 일반 컴퓨터로 사이트에 접속했을 때처럼 바로 빠져나오면 될 거라는 방심이 화를 불렀다. 스미싱은 이처럼 금융소비자의 방심을 노린다.

신고하면 계좌 지급정지… 남은 돈 3개월 내 돌려받아

금융사기 피해를 입었다면 당황하는 대신 즉각적인 조치에 나서야 한다. 정부는 2011년 12월부터 ‘전기통신 금융사기 피해금 환급에 관한 특별법’을 시행 중이다. 피해자가 경찰서(112)나 금융기관 콜센터로 신고하면 금융기관이 사기에 이용된 계좌를 지급정지 조치한다. 이후 피해자가 ‘사건사고 사실확인원’을 발급받아 구제를 신청하면 계좌에 남은 금액 범위 안에서 3개월 내로 돈을 돌려받을 수 있다. 금감원에 따르면 2011년 12월부터 올 6월까지 보이스피싱 피해를 입은 1만 7,210명(3만4,284계좌)이 약 346억9천만원을 돌려받았다.
 
금감원이 지난해부터 시행 중인 각종 구제 제도를 숙지하면 피싱 피해를 최소화할 수 있다. ‘지연 인출제도’는 1회 현금 300만원 이상을 은행이나 우체국, 농·수·축협, 신협, 새마을금고 등 시중 금융기관 통장에 입금할 경우 자동화기기(ATM)에서 출금을 10분간 늦추는 제도다. ‘카드론 2시간 지연 입금제도’는 카드론 최초 이용자가 300만원 이상을 신청하면 승인 후 두 시간이 지나고 나서 입금하는 제도다. 이들 제도를 미리 알고 잘 활용하면 사기범들이 거액을 빼내기 전에 선제 대응하는 것이 가능하다.

올 9월 전면 도입된 ‘전자금융사기 예방서비스 제도’도 피싱·파밍 피해를 막는 데 초점을 뒀다. 이전까지 금융 이용자들은 공인인증서를 발급·재발급하거나 인터넷뱅킹을 통해 1일 누적 3백만원 이상을 이체할 때 보안카드나 1회용 비밀번호 생성기(OTP)를 이용했다. 예방서비스 제도 시행 후에는 본인 확인 절차가 보다 강화됐다. 공인인증서를 발급·재발급 할 때는 지정된 단말기(PC 등)를 이용해야 하고, 지정되지 않은 단말기에서는 SMS·자동응답전화 등으로 추가 인증을 해야만 거래가 가능해졌다.

금감원 IT감독국 이수인 선임조사역은 “전자금융사기 예방서비스 제도 시행 후 피해 건수가 절반 이상 감소한 것으로 나타났다”며 “다소 불편하더라도 제도의 취지를 잘 이해하고 따르는 한편 일상생활에서 경각심을 유지하면 금융사기로부터 안전할 것”이라고 설명했다.

이밖에 스미싱의 경우 출처가 불분명한 SMS의 인터넷 주소는 열지 않아야 한다. 스미싱 피해가 의심되면 스마트폰에서 ‘다운로드’ 애플리케이션을 실행해 SMS에 적힌 인터넷 주소를 클릭한 시점 이후로 다운로드된 악성앱 실행파일(파일이름.apk)을 찾아 삭제하는 것이 좋다.