탈취된 개인·금융정보는 사기 계정 및 대포 통장 등으로 악용돼
개인이 보내는 ‘안전결제’ 링크는 ‘악성링크’, 웹사이트 HTTPS 시작 여부 확인
거래 전 ‘더치트’, ‘사이버캅’ 등 중고거래 사기 예방 어플로 사전에 피해 방지
[보안뉴스 이소미 기자] 최근 ‘똘똘한 소비’로 여겨지는 ‘중고거래’는 불필요한 낭비를 줄여 환경을 보호하는 ‘제로웨이스트’와 ‘합리적인 소비’와 맞물리며 MZ 세대들 사이에서 새로운 쇼핑 트렌드로 자리 잡았습니다. 심지어 대기업과 백화점까지 중고거래 플랫폼 업체와 손잡고 사업 다각화에 뛰어들고 있는데요.
이처럼 중고거래는 인터넷이나 모바일 앱을 통해 언제, 어디서든 원하는 물건을 저렴하게 구할 수 있고, 채팅만으로도 판매자와 ‘쉬운 거래’가 가능합니다. 그런데 이렇게 ‘쉬운 거래’가 사이버 공격자들에게는 ‘쉬운 먹잇감’이 되고 있습니다.
■ 방송 : 보안뉴스TV(bnTV) <보안家 핫이슈>
■ 진행 : 이소미 보안뉴스 기자
▲보안家 핫이슈 ‘위험한 중고거래, 안전하지 않은 안전결제’ 시작 화면[이미지=보안뉴스]
‘중고거래 사기’ 실제 피해액은 경찰 통계 대비 ‘2배 이상’ 발생... 미신고 건 다수
올해 경찰청 집계에 따르면, 지난해 중고거래 사기 피해액은 1,373억 원을 넘어섰는데요. 실제 정식 신고절차가 이루어지지 않은 피해액은 2,597억 원을 웃돌며 경찰 통계 대비 2배 이상인 것으로 나타났습니다. 이러한 배경에는 범행 수법이 단순하고, 피해 금액이 ‘소액’이라는 이유로 피해자 개개인이 대수롭지 않게 여기고 넘어간다는 점에서 그 피해가 더욱 확산된 것으로 보고 있습니다.
사실 ‘중고거래 사기’는 이미 오래전부터 성행됐는데요. 최근에는 공격자들이 간편 결제 시스템 상용화로 모바일상에서도 쉽게 결제가 가능하다는 점을 이용해 ‘안전결제 사기’와 같은 치밀한 사기 행각을 벌이고 있습니다.
‘안전결제’란, 구매자와 판매자 간의 거래 사기 예방을 위해 제3의 금융기관이 결제대금을 보관했다가 거래 완료 후 예치대금을 판매자에게 정산해 주는 에스크로 기반 거래 체계입니다. 이미 중고거래 플랫폼으로 유명한 네이버 카페 ‘중고나라’와 ‘번개장터’는 이미 자체 안전결제 시스템으로 서비스를 제공하고 있고, 당근마켓도 도입을 앞두고 있습니다.
‘안전결제 사기’, 프로필 사칭부터 피싱 페이지 그리고 악성 링크 전달까지
그렇다면 공격자가 벌이는 ‘안전결제’ 사기는 어떤 과정으로 이루어질까요? 그들은 이용자들의 신뢰를 얻기 위해 프로필 사진을 사칭해 가족이나 아이사진 등으로 설정하는 것은 기본이고, 시세보다 더욱 저렴한 가격으로 구매자들을 유인합니다.
또한 중고거래 이용자들을 속이기 위해 안전결제 서비스 제공 플랫폼의 결제 페이지와 매우 흡사한 피싱 페이지를 제작해 두고 미끼를 던지는데요. 그들만의 ‘안전결제’ 거래를 위한 악성 링크를 공유해 대상을 속이고 △아이디 △비밀번호 △계좌번호 등의 개인·금융정보 탈취뿐 아니라 거래금품까지 중간에 가로채는 수법입니다.
해당 링크를 클릭하면 보여지는 피싱 페이지는 원문 페이지와도 매우 흡사해 이용자가 쉽게 속을 수 있습니다. 이 때문에 ‘중고거래 사기’가 ‘보이스피싱의 진화형’이라는 말까지 나올 정도입니다.
이처럼 공격자가 만든 피싱 페이지의 경우, 계정 탈취용 로그인 화면을 제작해 이용자의 아이디와 비밀번호 입력을 유도하고 주문·결제창에서 개인정보와 금융정보를 탈취하는데요. 배송지 정보란에서 △구매자 이름 △연락처 △배송지 주소를 요구하고 결제정보란에서는 계좌나 카드번호 등을 요구해 이용자의 금융정보까지 탈취하는 수법입니다.
자금 탈취 3단계 수법...수수료 미입금·환불금 부족 명분 내세워 갈취
공격자들은 다음과 같은 방법으로 구매자의 자금을 수차례 갈취하는데요. 1차적으로 판매금액을 무통장입금이나 계좌이체로 요구하는데, 구매자가 판매금액을 입금하면 이후 또다시 수수료 미입금 명목으로 판매금액과 수수료를 합친 금액을 2차적으로 요구합니다. 구매자가 순순히 요구대로 입금하면, 3차로 환불을 위한 최소 금액이 불충분하다면서 재차 추가금을 요구하는 식입니다.
이처럼 ‘고도화된 중고거래 사기’가 이뤄질 수 있었던 건 보이스피싱 조직과 같은 ‘기업형 범죄 조직’이 배후로 있었기 때문인데요. 이와 관련해 경찰청 사이버 수사 관계자는 “중고거래 범죄 조직은 계좌 확보와 사기 실행, 자금 세탁 등으로 역할 분배가 분명하고 대포폰·대포통장 등을 활용할 뿐만 아니라 주로 해외에 거점을 두고 있어 추적이나 검거도 어렵다”고 설명했습니다.
실제 안전결제 사기로 탈취된 사용자 계정은 또 다른 피해자를 양산하는 사기 계정으로 도용되고, 계좌번호 등의 금융정보는 탈취된 금액이 오고 가는 대포 통장으로도 악용될 수 있습니다. 탈취된 개인정보는 보이스피싱·스미싱 등 각종 사이버 범죄로 그 피해가 크게 확대될 수 있어 중고거래 플랫폼 이용자들의 각별한 주의가 요구됩니다.
중고거래 시 상대방 신원 ‘맹신금지’...공식 플랫폼 내에서만 대화·거래 이뤄져야
하지만 이용자 스스로 ‘중고거래 안전수칙’을 준수한다면, ‘안전결제 사기’ 피해를 충분히 예방할 수 있습니다. 먼저 구매자 입장에서 중고거래 시중 판매금액보다 지나치게 저렴한 금액의 상품은 반드시 의심하셔야 합니다. 판매자 입장에서도 구매자와 판매자 사이를 가장해 중간에 거래금품을 갈취하는 ‘제3자 사기’ 피해 예방을 위해 거래 전 상호 간 이름과 휴대 전화번호, 거래 계좌번호 등을 재차 확인해야 합니다.
또한 판매자 신원에 대한 맹신은 금물입니다. 공격자들은 보통 가족이나 아이 사진이 등록된 프로필로 상대방으로 하여금 신뢰감을 주고, 사업자등록증 등의 신원도 얼마든지 위조가 가능하기 때문입니다.
무엇보다 가장 중요한 것은 공식적으로 검증된 중고거래 플랫폼 내에서 대화를 나누고 거래금액 결제 역시 플랫폼 자체 안전결제 시스템을 이용해야 합니다. 개인이 안전결제 링크를 별도로 보내오는 경우는 전형적인 안전결제 사기라는 점을 꼭 잊지 마셔야겠습니다.
개인이 보내는 링크는 ‘악성링크’...웹사이트 주소 HTTPS 여부 및 자물쇠 모양 확인
참고로 공격자가 보낸 주소를 세밀하게 살펴보면 실제 정상 페이지와는 주소가 다르다는 것을 확인할 수 있습니다. 사실 자세히 살펴보지 않아도 피싱 페이지 여부를 간단하게 확인할 수 있는 방법이 있는데요.
▲(왼쪽부터)‘사칭’ 페이지와 ‘정상’ 페이지 비교[이미지=보안뉴스]
바로 웹사이트 주소가 HTTPS로 시작하는지 HTTP로 시작하는지 확인하는 겁니다. 암호화되지 않은 비보안 버전인 HTTP는 피싱 페이지 제작이 가능한 반면, 보안상 취약점을 해결한 암호화된 데이터 프로토콜인 HTTPS는 제3자가 개인정보나 금융정보를 조회하는 행위를 막을 수 있습니다. 이 때문에 전자상거래에서 필수적으로 사용되고 있고, HTTPS가 적용된 주소는 맨 앞에 자물쇠 모양도 표기돼있어 쉽게 구분 가능합니다.
중고거래 전, ‘더치트’ ‘사이버캅’ 앱 등을 활용해 사기 여부 선조회 필수
다음은 상대방의 휴대전화번호 등의 정보 조회만으로 중고거래 사기 피해를 예방할 수 있는 앱이나 제도를 활용하는 방법입니다. ‘더치트’ 앱에서는 판매자 계좌번호와 카카오톡 ID 검색으로 사기 정보 및 대포폰 여부를 확인할 수 있는데요. 중고나라 통합 사기 조회를 통해서도 최근 3개월 내 중고나라와 사이버 범죄 신고시스템에 등록된 사기 피해사례를 메신저 ID와 이메일 주소로 조회해 볼 수 있습니다. 이와 동일하게 경찰청 ‘사이버캅’ 어플을 통해서도 판매자 사기 피해 신고 이력 확인이 가능합니다.
피해 발생 시, 경찰청 사이버 범죄 신고시스템 접수 및 인근 경찰서 방문 접수
만약 이미 중고거래 사기 피해를 입었다면, 경찰청 사이버 범죄 신고시스템에 피해상담 접수 및 인근 경찰서에 직접 방문해 구제절차를 밟을 수 있습니다. 참고로 경찰서 직접 방문이 온라인 접수 과정보다 빠른 절차로 진행할 수 있는데요. 이때 본인의 신분증과 피해증명자료 등을 미리 구비해 가면 보다 빠른 진행이 가능합니다.
미리 구비해야 할 피해증명자료로 상대방 계좌번호가 포함된 계좌이체내역과 문자 등의 대화 내용, 당시 판매글 사본 등 모을 수 있는 증거물을 최대한 모아 경찰서에 제출하면 됩니다. 수사관 배정 이후에도 추가로 증거가 모일 때마다 제출하면 빠른 검거에 도움될 수 있습니다.
사기 피의자가 검거된다면 피의자의 변제 의사에 따라 보상을 받을 수 있습니다. 만약 피의자가 변제 의사를 밝히지 않더라도 피해자는 형사재판부에 ‘배상명령신청’을 넣어 최종 판결문을 받을 수 있습니다. 이후 피해 금액을 전부 돌려받을 수 있게 됩니다. 이 과정에서 피의자의 전체 통장 압류 등 다양한 방법을 동원한 금전채권 강제집행도 가능합니다.
신고절차 외에도 ‘더치트’ 피해등록을 통해 또 다른 피해자의 확산을 막을 수 있는데요. 중고거래 사기는 단순히 내가 운이 나빠서, 소액의 피해 정도라고 생각하고 넘어가면 내 가족과 지인도 피해자가 될 수 있습니다. 2020년, 약 7년간 5천 명이 넘는 피해자와 50억 원을 웃도는 피해액을 발생시킨 중고거래 사기 조직이 검거됐는데요. 이는 피해자 한 사람, 한 사람의 신고가 큰 단서가 됐던 것으로 알려졌습니다. 따라서 여러분들의 즉각적인 신고가 더 큰 피해를 막을 수 있다는 점 꼭 기억하셔야겠습니다.
한편, 이달부터 방송통신위원회와 국민권익위원회가 전화 한 통만으로 중고거래 사기 및 보이스피싱·스미싱 등의 사이버 금융범죄 피해에 대해 빠르고 전문적인 피해구제상담을 지원하기로 했는데요. 국민콜 110으로 전화하면, 즉시 온라인피해365센터 상담원과 연결돼 전문상담부터 피해구제지원까지 안내받을 수 있습니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>