기존에 있던 사기 수법, 정책 변화로 힘을 받아 부활

앞으로 있을 결제 시장의 변화로 더 힘을 받게 될 듯해 우려

[보안뉴스 문가용] 앞으로 어떤 회사에서 “고객의 개인정보 중 사회보장번호만 유출되었으니 안전하다”는 내용을 사과문에 넣어 발표한다면, 속지말 것. 요즘 해커들은 그 번호만 가지고도 충분히 사기를 칠 수 있으니까. 위조ID사기(synthetic identity fraud)라고 불리는 이 신종 사기수법은 실제 존재하는 사회보장번호만 가지고 가짜 ID를 생성하는 것으로 최근 들어 성공률이 급증하고 있는 추세다.

소비자의 리스크를 관리하는 기업인 ID애널리틱스(ID Analytics)는 지난 3년간 금융 업계와 무선 산업을 관찰하면서 위조ID사기의 일환으로 생성된 ID들을 추적하고 기업들에게 어떤 영향을 끼치는지 분석했다. 보고서에 따르면 2010년부터 지금까지 이 수법을 사용했을 때의 사기 성공률이 배나 늘었다고 한다.

“위조ID사기는 요즘 제일 골치 아픈 수법입니다. 사기꾼들은 기술이 아무리 발달해도 꼭 틈새를 찾아내고 마는 모양입니다.” ID애널리틱스의 책임분석가인 스티븐 코기쉘(Stephen Coggeshall) 박사의 설명이다. “저희가 조사한 바에 따르면 인조ID의 개수 자체는 줄어들고 있습니다만 위험성은 점점 커지고 있습니다.”

코기쉘은 위험성이 늘어나고 있는 이유를 최근 시작된 ‘사회보장번호 무작위화’에서 찾고 있다. 사회보장번호 무작위화란 시민의 개인정보를 보호하고자 2011년까지 지역에 따라 일정한 규칙 아래 사회보장번호를 발급하던 것에서부터 지역에 상관없이 무작위로 발급하도록 바뀐 정책이다. 그런데 이 정책이 오히려 위조된 ID의 효용성을 높이고 있다. 무작위화 때문에 최근의 사기방지 기술 및 시스템을 가지고 ID의 위조여부를 판별하기가 훨씬 어려워졌기 때문이다.

코기쉘의 팀에서는 앞으로 결제 시스템이 EMV 방식으로 바뀌면서 위조ID사기 수법이 앞으로 더 넓게 활용될 것이라고 전망한다. “사기꾼들이 기존의 수법을 바꾸도록 강제하는 결과를 가져올 것이기 때문입니다.”

위조 ID를 통한 사기수법을 적발하기가 까다로운 것은 구체적인 피해사례 자체가 수면 위로 드러나지 않기 때문이다. 사기꾼들은 가짜 ID를 가지고 계좌를 만들거나 신용카드를 만들어 오랫동안 별 일 없이 지내면서 충분한 돈을 대출받을 수 있을 때까지 기다린다. 즉, 아무런 징조 없이 갑자기 사고가 터지자마자 범인이 사라지니 도대체 잡을 수가 없다는 것이다. “범죄가 장기간에 걸쳐 일어날 경우 단기간의 그것보다 더 위험할 확률이 높습니다. 가짜 ID의 신용도가 그 기간 동안 높아져서 더 큰 돈을 대출받거나 빼낼 수 있기 때문입니다.”

그렇다면 이런 사기의 피해자는 누구일까? 보통은 금융기관이나 물건을 파는 업체다. 보고서에 의하면 신용카드 발행기관을 3년간 조사한 결과 신청인의 약 2%가 가짜 ID를 사용하고 있었다고 한다. 이는 무시할 수 없는 수치다. 게다가 정부의 예산도 이 사기범들에게 지출되고 있는 것으로 드러났다. 지난 3년간 세금을 환급받은 인구의 1.4%가 가짜 ID를 사용하고 있음이 밝혀진 것이다. 1.4%라고 하지만 금액으로 환산하면 2천만 불에 달한다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>