지난 14일 인터넷 소셜네트워크서비스(SNS)와 커뮤니티 사이트에 올라온 자동차 속도위반 과태료 고지서 사진이 화제가 됐다. 글쓴이는 해당 장소에서 과속한 적이 없고, 고지서 인쇄 상태가 조잡스럽다는 이유로 전자금융사기를 의심했다. 고지서에 찍힌 QR코드 역시 인식이 되지 않았다.

결국 해당 경찰서 교통과에 문의한 결과 위반사실이 없다는 답변을 들었다. 사람들이 전자금융사기에 대해 얼마나 많은 경각심(警覺心)을 갖고 있는지를 알 수 있는 사례다.

피싱, 스미싱, 파밍 등 전자금융사기가 날로 진화하면서 피해자들이 늘고 있다.

최근 피싱, 스미싱, 파밍 등 전자금융사기 수법이 날로 진화하고 있다. 과거 단순히 전화나 문자메시지(SMS)만으로 피해자를 유인했다면, 현재는 우편이나 스마트폰에 악성코드를 심는 등 고도화 된 방법을 사용해 진위를 더욱 알기 어렵게 만들고 있다.

◆ 진화하는 전자금융사기…“스마트폰 인질에 가짜 홈페이지 등장”

백신업체 안랩은 지난 15일 안드로이드 스마트폰 사용자의 데이터를 인질로 삼아 금전을 요구하는 ‘스마트폰 랜섬웨어’ 사례가 발견돼 사용자의 주의가 필요하다고 밝혔다. 랜섬웨어란 컴퓨터에 저장된 문서나 그림 파일 등을 열리지 않도록 만든 뒤 돈을 보내주면 해독용 열쇠 프로그램을 전송하겠다고 협박하는 신종 사이버 범죄다. 컴퓨터 문서를 볼모로 돈을 요구한다고 해서 랜섬(Ransom, 인질)이라는 수식어가 붙었다.

한국판 랜섬웨어로 불리는 크립토락커의 모습.

특히 안랩이 발견한 이번 랜섬웨어는 유명 그래픽 애플리케이션(앱)인 ‘어도비 플래시 플레이어’를 사칭해 사용자에게 유포했다. 사용자가 해당 앱 설치를 완료하면 랜섬웨어에 감염된다. 랜섬웨어에 감염되면 사용자의 스마트폰은 ‘100달러를 5일 안에 입금하라’는 내용의 문구가 담긴 감염화면으로 바뀌면서, 조작이 불가능해진다. 동시에 사용자 몰래 스마트폰의 버전, 모델명, 사용 국가 등의 정보가 공격자에게 자동으로 전송된다.

최근에는 전화나 문자와 함께 그럴듯한 가짜 홈페이지 등을 더한 결합형 피싱이 기승을 부리고 있다. 올해 3월에는 서울중앙지검 검사를 사칭하고 피해자 A씨에게 전화를 걸어, 가짜 검찰청 사이트로 유인해 계좌번호, 비밀번호, 공인인증서 번호 등의 정보를 입력받아 A씨에 계좌에서 3000만원을 빼앗아 간 사건도 발생했다. 피해자는 20대였지만, 감쪽같은 검찰청 홈페이지와 ‘나의사건조회’를 통해 자신의 정보가 조회되면서 범인의 얘기에 속을 수밖에 없었다.

가짜 검찰 홈페이지의 모습. 나의 사건 조회 버튼까지 만들면서 피해자들이 속출했다.

이 밖에 일반 앱을 가장해 스마트폰에 악성코드를 심는 피싱 방법도 등장했다. 한번 악성코드에 감염되면 스마트폰내 정보는 물론, 각종 입력정보가 범인들에게 제공된다. 또한 중동호흡기증후군(메르스) 확산 등 사회적 이슈에 따라 문자메시지의 내용을 달리하고, 정부기관 등을 가장하는 등 스미싱 메시지 내용과 수준도 점차 지능화되고 있다.

◆ 피해자·피해금액, 매년 ‘급증’…개인 보안수칙 실행 필요

전자금융사기사건이 지능화 됨에 따라 피해자도 급증하고 있다. 새정치민주연합 신학용 의원실이 지난달 24일 발표한 금융사기 발생 현황 자료에 따르면 최근 3년간 정부기관 등을 내세운 금융사기 범죄는 총 5만8435건 발생했다.

연도별로는 2012년 1만319건에서 2013년 2만561건, 2014년 2만7천555건으로 매년 급증세를 보이고 있다. 이는 지난해 기준으로 하루 평균 75건꼴로 사칭 사기가 발생한 셈이다.

피해액은 최근 3년간 총 2829억원에 달했다. 2012년 503억, 2013년 896억, 2014년 1492억으로 점차 증가했다. 특히 지난해 피해액은 2013년보다 66.5% 급증하는 등 사고 금액이 점차 커지는 추세다.

전문가들은 피해를 예방하기 위해서는 개인의 보안의식 고취와 백신 설치 등 올바른 스마트폰 사용법을 알아둘 필요가 있다고 조언한다. 만약 랜섬웨어에 감염됐다면, 스마트폰에서 ‘안전 모드’로 부팅한 후 악성 앱을 비활성화시키면 된다. 이후 앱 목록에서 해당 앱을 제거하면 된다.

또한 앱을 다운 받기 전에 구글 안드로이드 마켓, 애플 앱스토어 등에서 평판점수나 댓글을 꼼꼼히 확인한 뒤 내려받을 필요가 있다. 문자메시지·SNS 내 URL 실행 자제하고 스마트폰 백신 설치와 자동 업데이트·실시간 감시 기능 실행 등의 보안 수칙 실행이 필요하다.

박태환 안랩 ASEC대응팀장은 “스마트폰에 중요 정보를 저장해 두는 사용자가 늘어남에 따라, 이를 노리는 전자금융범죄가 지속적으로 발견되고 있다”며 “보이스피싱, 피싱, 파밍, 스미싱 등 전자금융사기 수법이 고도화 되는 만큼 사용자 스스로 예방 수칙을 실행하는 것이 중요하다”고 말했다.