[Phishing Focus] 피싱 범죄
벨소리가 울리자 당신은 전화를 건 사람이 누군지 확인하기 위해 핸드폰 화면을 본다. 모르는 번호이지만 급한 용무인 것 같아 당신은 핸드폰의 초록색 버튼을 누를 것이다. 곧이어 당신의 자녀로 보이는 아이의 울음소리가 들린다. 덜컥 걱정부터 앞서 아이에게 뭔가 말하려 하지만 남자의 목소리가 들리고 잠시 후에 당신은 ATM 기기 앞에서 망설이게 된다. 여기까지가 피싱 중에서도 가장 일반적으로 알려진 보이스 피싱의 주된 레퍼토리이다. 최근 개인정보 유출사건이 연이어 일어난 후 국내에 개인정보를 악용하여 금융정보를 알아내 사기를 치는 피싱 사례가 증가했다. 정부차원에서도 관련법을 강화시키는 등 해결책을 내놓고 있지만 그 효과에 대해서는 아직 미지수다.
해당 공무원까지 노리는 수법에 피해자는 ‘답답’
전북의 한 대학교에서 조교로 일하고 있는 이현우(가명, 39) 씨는 아직도 작년 2월에 있었던 사건 을 생각하면 분하다. 한참 증명발급 업무 중인 그녀의 핸드폰으로 낯선 전화가 걸려왔다. 이 씨의 개인정보가 유출되어 통장에서 200만 원이 유출됐다는 말에 평소 침착한 성격이라 자부하던 그녀는 평정심을 잃기 시작했다. 이 씨는 법원에서 일하는 공무원이라 말하는 목소리가 시키는 대로 법원 사이트에 들어가 피해 신고에 개인정보를 입력하고 있었다. 그 때 옆에서 지켜보던 교직원 박 모 씨가 보이스 피싱인 것 같다며 이 씨를 제지했고, 가까스로 입력을 멈춘 이 씨는 통장잔고를 확인하자 정신이 아찔해졌다. 순식간에 그녀의 통장에서 150만 원이 빠져나간 것이다. 다행히 카드사에 재빨리 신고를 해 2차 피해를 막을 수 있었다. 곧이어 도착한 경찰관은 허탈해하는 이 씨에게 “법원을 비롯한 우리나라 공공기관 및 금융기관은 절대 금전과 관련된 이야기를 하지 않는다”고 강조했다. 이 씨는 그때의 사건을 두고 정말 무엇에 홀린 듯 자신도 모르게 당하고 말았다며 사건 직후 메신저 대화명을 ‘보이스 피싱 피해, 모두 주의요망’이라 설정해놨다고 한다. 피싱 범죄라 하면 대부분이 이 씨의 경우처럼 보이스 피싱을 떠올리지만 그 수법은 매우 다양하다. 신문에 난 인사·동정란까지 파악해 대한민국 상위 1%를 노리는가 하면 보안등급을 높인다고 하면서 개인정보를 입력하게 하거나 금융감독원을 사칭하는 경우도 있다. 카드론을 사칭하며 서민들에게 접근하는 수법도 경계해야 할 대상이다. 경찰을 사칭하는 보이스 피싱 사기범이 금융사기에 관련이 되어있다는 등의 내용으로 피해자에게 전화를 걸고선, 카드번호와 비밀번호, 그리고 CVC번호를 알아내, 그 정보로 ARS 카드 대출을 신청한다. 신청 후에 피해자에게 다시 전화를 걸어 범죄자금이 피해자의 통장으로 입금되어 회수가 필요하니 이체를 하라며 계좌를 알려주면 고스란히 범인의 통장으로 돈이 넘어가는 것이다. 또, 메신저 대화를 신청해 지인을 사칭하며 돈을 빌려달라고 요구하는 메신저 피싱도 일반적인 수법이다.
 |
2012년 7월 2일 이슈메이커에서 시민 50명을 대상으로 행한 설문조사에 따르면, ‘자신 혹은 주변 사람이 피싱 관련 전화를 받은 적이 있냐’라고 묻는 질문에 82%의 응답자들이 그렇다고 대답했다. 즉, 피싱 범죄는 불특정 다수를 노려 누구라도 쉽게 범행 대상이 될 수 있다는 것이다. 인터넷이나 핸드폰에 친숙하지 않은 50대에서 70대를 향한 피싱 범죄도 기승을 부린다. 전북에 거주하는 이성길(가명, 65) 씨는 얼마 전 자택으로 25세의 딸을 납치했다는 전화가 걸려와 혼비백산한 적이 있다. 이 씨는 딸의 몸값을 요구하며 들려주는 어린아이 목소리에 보이스 피싱 전화임을 알고 얼른 끊었지만, 하마터면 속을 뻔 했다며 당시의 상황에 대해 설명했다.
최근, 피싱 범죄는 비단 일반 시민뿐만 아니라 관련 공무원들을 대상으로도 시도되어 충격을 안겨주고 있다. 얼마 전 김석 금융감독원 서민금융사기대응팀장은 최근 웃지 못 할 일을 겪었다고 토로했다. 그는 아내로부터 “큰아이를 납치했다는 전화가 왔다”는 다급한 전화 한 통을 받아 학교에 전화를 걸어본 뒤 보이스 피싱이라며 놀란 아내를 안심시켰다고 밝혔다. 김 팀장은 지난 몇 년 사이 개인정보 유출이 그만큼 심각하게 이뤄졌다며 각종 인터넷 사이트를 가입하며 기입한 정보나 자녀들의 휴대전화 개통을 위해 적은 정보, 대출 정보들이 대부분 노출됐다고 문제의 심각성을 역설했다. 그는 직장 정보나 주민번호, 자녀들의 학원 수업 정보까지 유출되어 돌아다니기 때문에 개인이 무지해서 당하는 일이라거나 실수로 봐서는 안 된다고 덧붙여 설명했다. 즉, 유출된 개인정보를 피싱 조직들이 교묘하게 악용하고 있다는 것이다. 고려대 정보보호대학원 임종인 학장은 “올해 초 금감원 발표에 따르면 2011년 보이스 피싱 피해건수는 8244건, 피해액은 1099억 원 정도로 증감률을 보면 건수로는 2010년 대비 51%, 피해액은 84%나 증가했다”며 피해를 입는 층은 노년층이나 여성층으로 대부분 서민들이 피해를 입는다고 밝혔다.
개인정보 유출, 금전 노린 범죄로 이어져
자칫하면 고액의 금전피해로 이어지는 피싱 범죄가 발생하는 원인은 무엇일까? 대다수의 전문가들은 피싱 범죄의 주된 발생 원인에 대해 범인이 유출된 개인정보를 이용해 금전을 노리는 게 가장 크다고 내다봤다. 특히, 경찰은 지난해 보이스 피싱 피해 발생 증가의 원인으로 범죄의 조직·지능적 특성, 카드론 대출유형 등 신종 수법 등장, 인터넷전화를 통한 발신번호 조작, 해외에서 범행 시도 등을 들었다. 김석 금융감독원 서민금융사기대응팀장은 우리나라의 경우 산업화 속도가 빠르고 IT 기술이 발달해 전자 금융이 널리 보급됐고, 통장 개설이 용이한 데다 서양과 달리 ‘관(官)’에 대한 신뢰도가 높은 특징이 있다고 말했다. 즉, ‘검찰청’이나 ‘금감원’이라고 하면 사람들이 쉽게 믿는 경향이 있다는 게 김 팀장의 요지이다. 아울러, 김현종 경찰청 지능1계 경위는 “일반적으로 우체국이나 수사기관을 사칭한 보이스 피싱에 대한 홍보를 하지만 신종 범죄에 대해서는 잘 모르고 있는 것 같다”라며 보이스 피싱 외에도 지능화된 피싱 범죄에 대한 공고가 필요하다고 역설했다.
전문가들은 국내 피싱 조직의 증가도 범죄의 한 원인이라고 내다봤다. 지금까지 가장 일반적인 보이스 피싱의 경우 다소 어눌한 조선족 말씨를 쓰는 범인들이 대다수였지만 최근에는 누가 듣더라도 속을 만한 유창하고 자연스러운 목소리로 범인들은 서민의 지갑을 털고 있다. 최근 들어 검거된 보이스 피싱 국내 조직원만 1만 2,000명을 넘어선 것으로 나타났다. 이들은 대부분 국내 인출을 담당하거나 콜센터를 관리하는 점조직 인력으로 해외 본 조직까지 합산하면 보이스 피싱 조직원은 5만 명을 넘어설 것으로 추산된다. 일부 보이스 피싱 조직들은 은행원 출신 전문가와 콜센터 유경험자를 고용해 전문적인 운영체계를 갖추고 있어 더욱 그 위험성이 제기되고 있다.
피싱 피해 확산에 피해자단체도 등장
유미래(가명, 35) 씨는 지난해 8월 보이스 피싱 카드론 사기를 당했다. 경찰청을 사칭한 전화를 받은 뒤 가짜 경찰청 홈페이지에 접속해 개인정보를 입력한 것이 화근이었다. 불과 몇 시간 만에 유 씨 이름으로 1,900만 원 규모의 카드대출이 이뤄졌고, 그 돈은 범인의 계좌로 넘어갔다. 문제는 유 씨와 같은 수법으로 카드대출을 받은 이른바 카드론 피해자들이 한 두 사람이 아니라는 것이다. 카드업계가 보이스 피싱 피해액 감면을 약속한 것은 올 1월 중순. 지난해 카드론 피싱 피해액이 200억원을 넘기며 사회문제화하면서다. 6개 신용카드 모든 회사가 “사회적 책임을 다하기 위해 최대 40%까지 피해금액을 감면한다”고 발표했다. 하지만 4일 업계에 따르면 이 중 신한·롯데카드는 피해자 다섯 명 중 한 명에게 ‘10% 감면’을 제시했다. 해당 카드사는 “말을 바꾼 건 아니다”라고 해명한다. “최대 40%를 감면해 준다고 했지 일괄 40%를 감면해 준다고 하지 않았다”는 주장이다. 한 카드사 관계자는 “공인인증서 암호를 범인에게 전달하거나 문자메시지 인증번호를 보낸 경우는 본인 과실이 크다고 보고 피해금액의 10%만 깎아주고 있다”고 설명했다. 금융당국도 뾰족한 해답을 내놓지 못하고 있다. 금융감독원 여신전문감독국 오홍석 팀장은 “카드사의 책임이나 소송으로 인한 비용을 감안하면 대다수의 피해자에게 40% 감면을 해주는 것이 효율적이라고 권고하고 있지만, 이를 강제할 수 있는 권한이 없다”고 말했다. 경희대 법학전문대학원 정완 교수는 “금융회사의 보안 시스템이 보이스 피싱의 진화를 따라가지 못해 발생한 문제인 만큼 카드사가 전향적 자세를 보일 필요가 있다”고 말했다. 한편, 카드론 피해자 모임은 변호사를 단체 소송 공동대리인으로 선임하여 소송 준비 및 조정에 들어갔다. 해당 사건을 두고 문정균 변호사는 "정보유출에 대한 피해자의 과실을 부정하는 것은 아니지만 신용카드사에도 50%의 책임이 있어 분담을 하자는 것"이라며 “이에 바로 소(訴)를 제기하지 않고 조정을 하고 있는 것"이라고 전했다.
개인의 신중은 근본책 아냐…정부 원천 봉쇄책 필요
한국정책학회 소속 정광호 서울대 행정대학원 교수는 경찰청의 조직 축소와 관련, 메신저 피싱 등 사이버 범죄가 지능화됨에 따라 범죄대응에 한계가 있다고 지적했다. 경희대 법학전문대학원 정완 교수도 피싱 범죄에 대해 수사 인력이 부족하고 피해사례가 매우 다양하기 때문에 제대로 적절한 수사에 임하기가 어려운 실정이라는 의견을 표했다. 개개인이 피싱 범죄를 예방할 수 있는 방법에 대해 공안사법연구소 염건웅 연구위원은 무엇보다 발신 표시 없는 전화 또는 개인정보를 요구하는 전화는 무조건 의심하고 보는 습관을 길러야 한다고 경고했다.
피싱 범죄가 날로 지능화되자, 지능화방송통신위원회는 지난 6월 28일 발신자 전화번호를 조작해 금융사기를 치는 이른바 보이스 피싱을 뿌리 뽑기 위한 가이드라인을 채택했다. 특히, 내년 초부터는 해외에서 국내로 걸려오는 전화번호가 국내 공공기관 번호로 바뀌면 해당 통화자체를 차단될 예정이다. 통신사업들이 112, 119등 공익목적이나 080무료전화, 15XX 대표번호 등 수신인에게 편의를 주는 것 외에는 발신번호를 변경하지 못하도록 했다. 이러한 정부의 대책에 대해 ‘소 잃고 외양간 고치기식’의 대응이라는 의견이 제기되고 있다. 이미 5년 전부터 보이스 피싱을 수사하는 일선 경찰들이 언론 등을 통해 발신번호 조작 제한이 가장 근원적인 해결책이라고 지적했지만 정책에 반영되진 않았기 때문이다. 또, 2010년과 2011년에 있었던 대형 개인정보유출사건 후 국민들의 민생 안정을 위해 미리 해결했어야 할 문제이지만 정부의 늑장대응으로 지금 이 순간에도 계속 피해자가 늘고 있다. 보이스 피싱은 점차 교묘해지는 수법으로 더 많은 피해자를 양산할 수 있는 범죄이다. 정부의 보다 확고한 대응책으로 피싱 범죄로 인한 피해자가 없는 대한민국의 내일이 오기를 기대해본다.
