신종 금융사기 대처 법

[김광복]

여러분은 은행에 얼마나 자주 가시나요? 그때그때 다르다고요?

그러면 질문을 바꿔보겠습니다. 여러분은 ‘무슨 일’로 은행에 가시나요? 다른 건 몰라도 여러분이 계좌이체를 하거나 거래내역을 확인하러 은행에 가는 일은 거의 없을 것 같은데요.^^ 대출상담, 환전, 통장개설 같은 일이 아니면 은행에 직접 방문하지 않아도 PC나 스마트폰으로도 얼마든지 은행 업무를 처리할 수가 있습니다.

인터넷 뱅킹 이용자 9천 만 명을 넘다!

‘인터넷/모바일 뱅킹’은 우리생활을 편리하게 만들어줬습니다. 그렇다고 인터넷/모바일 뱅킹이 만능은 아닙니다. 그러나 계좌이체와 거래내역 조회만 간단히 되어도 전혀 불편함이 없습니다. 그것들이 가장 일상적인 은행 업무니까요. 

인터넷/모바일 뱅킹 이용자가 많다는 것은 숫자로도 확인할 수 있는데요. 지난 15일 한국은행에서 발표한 자료에 따르면, 2013년 6월 말에 모바일 뱅킹을 포함한 인터넷 뱅킹 등록 고객 수가 9천만 명을 돌파했습니다.

[스마트폰 기반 모바일뱅킹 등록 고객 수 추이(출처:한국은행)]

이 중에서도 스마트폰을 기반으로 하는 모바일 뱅킹 이용자는 3천만 명을 넘어섰고, 전체 모바일 뱅킹 이용자는 4,432만명을 기록했습니다. 모바일 뱅킹으로 거래되는 금액만 하루 평균 1조3934억 원, 건수로는 2056만 건에 달합니다. 이를 인터넷 뱅킹으로 범위를 넓히면 그 숫자는 더욱 커집니다. 하루 평균 33조 3,419억 원이 오가고, 5,399만 건의 거래가 발생합니다.

정말 많은 사람들이 인터넷/모바일 뱅킹을 이용하고 있는데요. 덕분에 은행 업무 시간을 놓쳐서 혹은 은행에 방문할 시간이 없어서 돈을 부치지 못 한다는 말은 이제는 거의 사라졌습니다.^^

훨씬 더 고차원적인 수법이 이용되고 있다!

PC나 스마트폰으로 편하게 금융거래를 하려면 개인정보를 입력할 수밖에 없습니다. 계좌번호나 각종 비밀번호, 때로는 주민등록번호도 필요합니다. 그렇다보니 인터넷 뱅킹이나 모바일 뱅킹이 해커들의 표적이 됩니다. 피싱이나 파밍 등 사기 수법에 대해서는 이미 많이 알려져 있고, 그에 대한 대처법도 웬만큼은 알고 계실 겁니다. 그러나 안심하기엔 아직 이릅니다. 해커들의 수법이 날로 진화하고 있거든요!

여러분은 신종 금융사기 ‘메모리 해킹’이란 말을 들어보셨나요? 더욱 교묘해진 수법으로 인터넷뱅킹 이용자들의 개인정보를 노리는 신종 금융사기가 '메모리 해킹'입니다. 파밍(Pharming)이 이용자를 가짜 은행 사이트로 유도하는 사기라면, 메모리 해킹은 정상적인 은행 사이트에 접속한 상태에서 해킹이 이뤄집니다.

[금융사기 파밍 수법 개요도(자료:경찰청)]

올해 1월부터 7월까지 파밍 사고는 1263건이 접수되어, 63억5502만 원 상당의 피해를 입은 것으로 추정되는데요. 메모리 해킹으로 인한 피해도 만만치 않습니다. 지난 6월과 7월 두 달 사이 112건, 6억9500만원의 피해사례가 접수되었거든요.

메모리 해킹은 기본적으로 피해자 PC에 악성코드를 심은 후 계속 오류를 발생시켜 금융 관련 정보를 빼간 후 금전을 탈취하는 것인데요, 이는 두 가지 종류로 나타납니다.

첫 번째는 ‘오류 창’입니다. 계좌이체 정보와 보안카드 번호를 입력한 후 계좌이체 버튼을 누르면 오류 창이 뜹니다. 이용자는 당연히 다시 정보를 입력하고 계좌이체를 시도하겠죠. 하지만 이것은 금융시스템에서 생긴 진짜 오류가 아니라 메모리 해킹에 의해 뜨는 사기 메시지입니다. 별다른 문제점을 인식하지 못한 이용자들은 정보를 고스란히 내어주게 됩니다. 인터넷 뱅킹을 이용하려면 설치해야 하는 프로그램이 워낙 많아서 가끔씩 오류가 발생하기 때문에 이용자들은 이를 그런 종류의 하나라고 느낄 뿐입니다.

[신종 금융사기 메모리 해킹 수법 개요도(자료:경찰청)]

두 번째는 ‘보안강화 창’입니다. 요즘 각 은행 사이트에서 보안강화를 위해 여러 안내창이 뜹니다. 그것을 역으로 이용한 것인데요. ‘보안강화 설정’이라는 창이 뜨고, 통장 및 이체 비밀번호, 보안카드 번호를 입력하라는 메시지가 뜹니다. 1번부터 35번까지의 보안카드 번호를 모두 입력할 때까지 오류가 발생하는데요. 이전에 한꺼번에 보안카드 번호를 입력하게 했던 것에서 발전한 방법이죠.

또, 인터넷 뱅킹으로 금융 거래를 마친 상태에서 보안강화 창이 뜨는 경우도 있습니다. 이 수법은 다시 보안카드 번호를 입력하게 하고, 일정한 시간이 지나면 이 정보를 이용해서 돈을 빼가는 것이죠. 정상적으로 금융거래를 마쳤기 때문에 이용자는 의심 없이 보안카드 번호를 입력하게 됩니다.

금융사기에 대처하는 방법은?

눈 뜨고 코 베어간다는 게 이런 경우일까요? 정상 사이트에서도 안심할 수 없다니요.

안랩에서는 “완벽한 보안은 없다”고 말합니다. 이는 달리 말해 계속해서 관심을 갖고 취약한 부분을 줄여나가는 것이 최선의 방책이라는 말인데요.

이에 따라 오는 9월 26일부터는  모든 금융기관에서 ‘전자금융사기 예방서비스’가 의무적으로 전면 시행됩니다. 전자금융사기 예방서비스는 전자금융사기로부터 이용자를 보호하기 위해서 은행, 증권, 보험 저축은행 등 모든 금융기관이 공동으로 시행하는 ‘본인확인절차 강화제도’입니다.

인터넷 뱅킹이나 모바일 뱅킹 이용자는 PC사전지정, 휴대폰SMS추가인증, 전화ARS인증 등 세 가지의 전자금융사기 예방서비스 중 하나를 선택해서 이용해야 합니다. 공인인증서 발급 및 재발급과 1일 300만 원 이상의 금액을 이체하려면 전자금융사기 예방서비스를 꼭 거쳐야 합니다. 이용방법을 자세히 살펴볼까요?

전자금융사기 예방서비스 1) PC사전지정서비스

다른 사람 명의의 휴대폰을 이용 중이라면 영업점에서 PC사전지정 서비스에 가입해야 하고, 본인 명의의 휴대폰이라면 인터넷뱅킹으로도 가입할 수 있습니다. 우선 인증용 휴대폰 번호를 등록하고, 서비스를 신청합니다. 서비스 신청 시에 전송받은 인증번호를 입력하면 가입완료가 됩니다. 하지만 이것으로 ‘다 했다~’하고 나가시면 안 돼요.^^ 

[전자금융사기 예방서비스 - PC사전지정서비스]

PC사전지정 서비스에 가입 후 사용PC를 등록해야 합니다. 사용하고자 하는 PC에서 인터넷 뱅킹 접속 후 PC별칭을 정합니다. 그리고 사용PC등록용 비밀번호 등을 휴대폰으로 인증하면 현재 인터넷 뱅킹 접속 중인 PC가 사용PC로 등록됩니다.

인터넷 뱅킹을 이용할 PC를 지정하는 것이기 때문에, 이 서비스를 이용하면 다른 PC에서는 인터넷 뱅킹 접근이 제한된다는 것 알아두세요~ 단, 등록된 PC 해지는 어느 PC에서든 가능합니다.

전자금융사기 예방서비스 2) 휴대폰SMS인증, 전화ARS인증 서비스

이 서비스가 PC사전지정 서비스와 다른 점은 특정 금융 거래 시 ‘인증’을 통해 본인확인을 거친다는 것입니다.

휴대폰SMS인증에 가입하려면 먼저 인증용 휴대폰을 등록하고, 그 휴대폰으로 전송된 인증번호를 입력하면 가입이 완료됩니다. 본인 명의의 휴대폰일 경우에만 인터넷 뱅킹으로 가입할 수 있고, 그렇지 않으면 영업점을 방문하셔야 합니다. SMS인증은 공인인증서 발급, 재발급, 타기관 인증서 등록과 1일 누계 300만 원 이상 이체 건부터 적용됩니다.

[전자금융사기 예방서비스 - 휴대폰SMS인증, 전화ARS인증]

전화ARS서비스에 가입하려면 인증용 휴대폰을 등록, 약관 및 유의사항에 동의한 후 가입정보를 확인하고 승인번호를 등록합니다. 이 역시 타인 명의의 휴대폰이거나 유선전화를 등록할 경우 영업점에서 가입해야 합니다. 적용되는 업무는 휴대폰SMS인증과 같습니다.

휴대폰SMS인증과 전화ARS인증 서비스는 병행할 수 없지만, PC사전지정서비스와는 병행할 수 있습니다. SMS인증이나 ARS인증 서비스와 PC사전지정서비스를 함께 사용하면 보안 강도가 한층 높아지겠죠! 

나만의 은행주소를 만들어요!

누구라도 은행주소를 쉽게 알 수 있습니다. 그렇다면 나만의 은행 주소를 만들어 놓는 건 어떨까요? 나만 알고, 나만 접속하는 은행 사이트! 이용자가 인터넷뱅킹 주소를 직접 설정하고, 자신만의 은행주소로 접속하는 서비스인데요. 나만의 은행주소를 사용하는 PC가 악성코드에 감염되면 가짜 사이트로 접속되지 않고, 에러가 발생합니다. 이 에러가 위험신호인데요. 이때 접속이 안 된다고 일반 은행 주소를 입력하면, 가짜 사이트로 접속하는 것입니다.

[나만의 은행주소 만들기]

나만 알 수 있는 주소로 접속하고, '에러'를 위험신호로 인지할 수 있다는 것이 장점인 '나만의 은행주소 서비스'는 인터넷뱅킹에서 간편하게 설정할 수 있습니다. 공인인증서로 로그인 후 나만의 은행주소, 나만의 캐릭터 등을 설정하면 신청이 완료됩니다. 은행에 따라 나만의 은행주소 서비스를 제공하지 않을 수도 있다는 점을 참고해 주세요.^^

그 외에도 번호가 고정되어 있는 보안카드보다 일회성 비밀번호를 만들어주는 OTP나 복사가 불가능한 보안토큰 등을 사용하는 것이 좋습니다.

앞서 메모리 해킹이 개인 PC에 악성코드를 심어 오류를 발생시키는 신종사기 수법이라고 말씀드렸죠? 그러므로 메모리 해킹 피해를 입지 않으려면 악성코드가 침입할 수 있는 행동을 피해야 합니다. 즉, 누가 보냈는지 확인되지 않는 메일의 첨부파일이나 링크 클릭을 자제하고, 무료 다운로드 사이트 이용도 가급적 삼가도록 합니다. 백신은 항상 최신 버전으로 업데이트해 주시고요.

해킹과 보안은 창과 방패같은 관계입니다. 교묘한 해킹 수법이 나왔다면 우리는 더 철저하게 보안에 신경써야 하는 것인데요. ‘백신 프로그램 설치해놨으니 난 괜찮아~’라는 생각은 금물입니다. 이중, 삼중으로 해킹에 대비하는 것이 바람직합니다. 보이지 않는 어둠의 손이 우리의 개인정보와 재산을 노리고 있다는 사실을 꼭 기억해주세요~!