금융시스템을 파악한 치밀한 준비, 사회공학적 기법 이용
보이스피싱과 웹사이트피싱을 결합한 신종금융사기가 극성을 부리고 있다. 보이스피싱 피해자 카페에 따르면 피해자로 가입한 회원수가 5월 3명이던 것이, 6월에는 16명, 9월에는 86명, 10월에는 208명, 11월에는 321명으로 크게 증가하고 있다고 밝혔다. 그리고 이들 피해자들의 평균 피해금액은 2,214만원. 가장 큰 피해를 입은 사람은 무려 1억1,500만원을 사기 당한 것으로 알려졌다.  

이처럼 피해자가 증가하는 이유는 범죄자들이 금융 시스템을 정확하게 파악하고 치밀하게  범행을 준비했기 때문이다. 그러나 범죄자들의 치밀한 준비에 비해 사회 시스템이 대응을 못하고 있다는 비난도 적지 않다.

보안뉴스에서는 이 같은 신종금융사기 수법을 살펴보고 이런 사기수법에 대한 대응방법과 피해자 구제에 대한 대책을 찾고자 한다.

<순  서>
1. 지능적 범죄자들의 신종금융사기 수법
2. 신종금융사기 막을 수 없나?
3. 신종금융사기 피해자 구제 대책과 예방 방법은?

[보안뉴스 오병민] 김종철(가명)씨는 어느날 금융감독원에서 전화를 받게 된다. 자신의 은행계좌와 신용카드가 개인정보 유출로 인해 도용됐으며 신고를 하지 않으면 범죄자가 될 수 있다는 전화였다. 

김씨는 범죄자들이 유출된 개인정보에서 물색한 범행 대상이다. 범죄자들은 보유한 개인정보 자료를 이용해 은행명과 통장번호 등 금융정보를 불러주면서 김씨의 신뢰를 얻는다. 그리고 계좌와 신용카드가 유출돼 범죄에 악용할 수 있으니 신속히 e-금융민원센터에서 신고를 하라고 유도하면서 특정 웹사이트 주소를 불러준다.
 

 ▲가짜 e-금융지원센터 사이트 ⓒ보안뉴스
이때 범죄자들이 불러준 웹사이트 주소는 실제 e금융민원센터의 웹사이트가 아니라 범죄자들이 만든 가짜 e-금융민원센터 사이트이다. 그러나 이 사이트는 실제 사이트와 흡사해 김씨는 가짜 사이트라는 의심을 가지지 못한다.
 


 
오히려 가짜 사이트가 진짜 사이트보다 이미지 마감 처리가 더 잘 돼있는 것을 볼 수 있다.

범죄자들은 김씨에게 신고 페이지에서 금융정보를 입력하라고 한 후, 피해자의 은행에서 공인인증서 발급을 준비한다. 피해자가 해당페이지에서 입력을 완료하면 가짜 페이지 아래에 있는 OTP 번호 입력버튼을 눌러 OTP 번호를 누르라고 요구한다.

OTP 번호가 입력되면 범죄자들은 입력된 OTP를 통해 새로 공인인증서를 발급하고 입력된 정보를 바탕으로 피해자의 신용카드 사이트에 접속해 카드론 발급절차를 밟는다.
 

 ▲가짜 e-금융지원센터의 금융정보 입력 페이지 ⓒ보안뉴스

대부분 신용카드 회사들은 이용자들의 이용기간과 신용도에 따라 자동적으로 카드론 한도 상향조정하고 있다.
 

 ▲신종금융사기 피해자 A씨의 카드론 한도 상향 추이 ⓒ보안뉴스

 
따라서 범죄자들은 상향된 한도금액 만큼 카드론을 신청한다. 김씨의 카드론 한도금액은 무려 1,500만원. 범죄자들은 김씨 명의로 1,500만원을 카드론으로 신청하고, 카드사에서는 김씨의 계좌에 신청금액 4천만원을 입금한다. 

범죄자들은 승인번호를 입력해야 신청이 완료된다면서 OTP 번호를 다시 한번 입력하라고 요구한다. OTP 번호가 다시 입력되면 새로 발급받은 공인인증서와 금융정보, OTP 번호를 이용해 피해자의 계좌에서 돈을 인출한다.

OTP 번호의 인증 대기 시간은 60초. 따라서 범죄자들은 OTP가 입력되기 전까지 전화를 끊지 않게 하면서 시간을 끌어 OTP 번호만 입력하면 공인인증서 발급과 계좌이체를 위한 사전 준비를 완료한다. 그리고 OTP 번호가 입력되면 60초 안에 신속하게 공인인증서 발급과 계좌이체를 완료한다.

김씨는 뒤늦게 사기당한 사실을 알게됐지만 이미 자신의 계좌에서 1,500만원이 빠져나간 상태. 김씨는 현재 카드사에 피해 구제를 신청했지만 앞으로 이의 제기를 안한다는 서약서를 제출하면 피해금액의 20% 차감해주겠다는 답변을 들었을 뿐이다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>