금융정보 입력 요구 ‘피싱사이트’ 유인 주의
직접 확인하려면 ‘담당자 이름’ 아닌 ‘요청받는 내용’으로



[보안뉴스 강현주 기자] “OO경찰서 수사팀 OOO이라고 합니다. 귀하의 계좌가 심각한 범죄에 연루되어 확인이 필요하니 계좌와 카드 정보를 입력해주세요”라는 전화를 받은 순영씨.

행여 범죄에 엮이거나 연루된 계좌에 문제가 생길까 불안해진 순영씨는 안내 받은 입력 사이트에 접속했다. 그럴듯한 금융기관 사이트로 보이는 화면은 신용카드 정보와 인터넷 뱅킹 정보를 요구하고 있다.

“내 계좌가 보호받으려면 경찰이 정확한 정보를 다 알아야 하는거겠지?”

하지만 계좌 비밀번호, 공인인증서 비밀번호, 보안카드 번호에 신용카드 CVC번호까지, 너무 자세한 정보를 요구하는 게 조금 미심쩍어졌다.

직접 확인해보기로 한 순영씨는 해당 경찰서에 전화를 걸어 “수사팀 OOO씨 계신가요?”고 문의했고 “잠시 자리를 비웠다”는 답을 들었다.

“응? 진짜인가…”

하지만 피싱범은 여기까지도 연출했다. 피싱범들은 의심을 피하기 위해 특정 경찰서나 기관에서 근무하는 담당자 이름을 미리 알아두고 사칭하는 수법을 쓰기도 한다.

“네, 제가 OOO씨에게 범죄 연루 건으로 정보 입력 요청을 받았거든요. 계좌 비밀번호까지 입력하라고 돼 있어서…”

“경찰은 절대 전화로 계좌 비밀번호 같은 개인정보를 요구하지 않습니다. 보이스피싱인것 같네요. 안내 받으신 정보 입력 사이트는 피싱사이트니까 절대 정보를 입력하시면 안돼요.”
대답을 듣고 가슴이 철렁한 순영씨는 바로 ‘피싱사이트’를 닫았다.

“휴, 자세히 물어보길 잘했네”

직접적인 송금을 요구하는 피싱범의 수법은 과거 대비 경각심이 높아지고 있다. 하지만 금융정보 입력은 상대적으로 직접 돈을 보내달라는 요구보다는 덜 위험해보이고, 수사기관이나 금융기관의 확인 절차라고 생각할 수 있다.

하지만 그럴듯한 시나리오로 금융 정보 입력 요구를 받았다면 절대로 응해선 안된다. 피싱 사이트를 통한 정보 탈취일 가능성이 매우 높다. 탈취한 개인의 금융정보를 이용해 무단 대출을 받거나 계좌의 돈을 빼가려는 수법이다.

금융감독원에 따르면, 정부기관 및 제도권 금융회사는 전화·문자를 통한 개인정보 제공, 자금 송금 등을 절대 요구하지 않는다. 또 피싱 사기범들이 실제 해당 기관에 근무중인 직원을 사칭해 사기에 이용하는 경우도 발생하고 있다.

이 때문에 사기범들이 사칭한 기관에 전화를 걸어 확인시 해당 직원이 있는지 확인하는 것이 아닌, 요구한 사실 등의 내용으로 확인을 하는 것이 필요하다.

#미토스와 같은 첨단 AI 해커 현실화가 다가오는 지금도, 보통 사람들의 일상 생활에서는 여전히 원시적 수준의 피싱으로 인한 금전적, 정신적 피해가 끊임없이 이어지고 있다. 보안뉴스는 1차원적 수법에도 취약한 고연령층 부모님 세대와 기술 소외 계층을 위해 누구나 쉽게 피싱을 이해할 수 있는 4컷 만화를 연재한다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>