은행서 ‘우당탕탕’ 소리…상황극 벌이는 보이스피싱

“고객님 카드번호는 ○○이고”

개인정보 들먹인다면 주의

택배·돌잔치 등 문자 링크 눌렀다간

전화번호 변조 악성코드 자동 설치

공식번호라도 사기범에 연결돼

ARS 비밀번호 가로채고

보안카드 이미지 탈취하기도

PC와 폰 연결 때도 ‘감염’ 주의
개인정보 유출로 불안해하는 사람들의 심리 상태를 노린 사기가 벌써부터 극성을 부리고 있다. 한국인터넷진흥원(KISA)은 21일 “‘사이렌24’같은 신용정보보호서비스나 금감원, 카드사, 뉴스 등을 사칭한 스미싱 문자가 발견되고 있다”고 경고했다. 카드사들은 스미싱·보이스피싱으로 인한 금전 손해는 소비자 책임으로 보고 보상해주지 않는다. 소비자가 주의를 기울이는 수밖에 없다. 진화한 최신 사기 수법을 정리해 봤다.

■ 카드사 등은 문자로 ‘링크’ 보내지 않아 휴대전화 문자메시지에 온 ‘링크’를 눌러선 안된다는 건 이제 기본 상식이 됐다. 택배·돌잔치·아웃백설문조사·건강검진·연말정산·신호위반 청구서 등을 위장한 문자의 링크를 누르면, 휴대전화에 악성코드(앱)를 설치한다. 악성코드는 멋대로 소액 결제를 승인하고, 결제 알림 문자가 와도 지워버린다. 

최근에는 전화번호부를 변조하는 악성코드도 등장했다. 예컨대 경찰청 전화번호를 눌렀더라도, 사기범의 개인전화로 연결한다. 경찰청이라며 보이스피싱 전화가 와서 사기를 의심해 일단 받은 전화를 끊고 공식 전화번호를 찾아 걸었는데, 화면에는 공식 전화번호가 뜨지만 실제로는 사기범에게 연결되는 식이다. 휴대폰 환경설정-보안으로 가서, ‘알 수 없는 출처(소스)’를 ‘허용하지 않음(해제)’상태로 해 두면 악성코드를 설치할 수 없다. 소액결제를 사용하지 않을 경우 이동통신사에 소액결제 차단 신청을 하는 것도 방법이다.

■ CVC코드·비밀번호를 지켜라 카드사들은 “이번 정보유출 사태에선 시브이시(CVC)코드(카드 뒷면의 숫자 마지막 세자리)와 비밀번호가 유출되지 않아 위·변조 위험이 없다”고 한다. 역으로, 카드번호, 유효기간이 유출된 상황이라면 시브이시코드와 비밀번호가 ‘최후의 보루’라는 얘기다. 사기범들이 노리는 것도 이 비밀번호와 시브이시코드다. 

최근엔 에이아르에스(ARS) 비밀번호를 가로채는 악성코드가 등장해 주의해야 한다. 은행이나 카드사에 전화를 걸어 에이아르에스를 연결하면 본인확인을 위해 비밀번호를 누르는데, 이 때 악성코드가 비밀번호를 뭘 입력했는지 가로채간다.

결제시 필요한 공인인증서, 은행 계좌 이체 때 입력해야 하는 보안카드도 탈취 대상이다. 사진파일을 훔쳐가는 악성 코드도 있다. 은행 보안카드를 사진파일로 찍어 가지고 다니는 소비자들이 많은 점을 노렸다. 보안카드는 이미지 파일로 보관하지 않는 게 좋다.

■ PC에 연결하면 폰 감염… ‘디버깅 모드 해제’ 스미싱에 대한 경각심이 널리 퍼지면서 사람들이 링크를 잘 누르지 않자, 사용자의 피시(PC)를 우회한 해킹 방식이 등장했다. 웹사이트에 접속한 피시를 감염시킨 뒤, 안드로이드 폰을 컴퓨터에 연결했을 때 사용자 동의 없이도 가짜 앱을 대체해 금융정보를 훔쳐간다. 예를 들어 케이비국민은행 앱이 깔려 있었다면, 가짜 케이비국민은행 앱으로‘업데이트’하는 것으로 위장해, 공인인증서를 비롯해 아이디·비밀번호까지 빼낸다. 감염을 막으려면 ‘설정-개발자 옵션’으로 들어간 뒤‘USB 디버깅 모드’를 선택 해제해야 한다. 디버깅 모드란 피시와 안드로이드 폰을 연결하는 개발자(관리자) 모드로, 시스템 업그레이드 시에 사용된다. 휴대전화와 피시의 백신은 늘 최신으로 업데이트해 놓는 것이 좋다.

■ 상황극까지… ‘맞춤’ 보이스피싱 주의 카드사나 금감원, 경찰서를 사칭해 전화를 걸어 온 뒤 CVC코드나 비밀번호를 불러달라고 요구하면 보이스피싱을 의심해야 한다. 이번에 정보가 유출돼, 사기범들이“카드번호는 ~~이고, 지난달 연체금액이 얼마신데 연체됐다”고 정확한 개인정보를 먼저 들먹이면 나이 많은 연령대는 넘어가기 쉽다. 최근엔 상황극을 벌이는 보이스피싱도 있어 깜박 속을 수 있다. “은행창구에 000고객님이 돈을 찾으러 왔는데, 신분증과 얼굴이 달라 확인 전화를 드렸다”고 하면서 우당탕탕 하고 사기범이 청원경찰과 실랑이하는 목소리까지 들려준다. 그 뒤로 경찰서 발신번호로 전화가 걸려오는 식이다. 전화가 걸려왔다면 일단 끊고, 유선전화를 이용하거나 영업점을 직접 찾아가 확인해 보는 것이 좋다. 
<기사 출처 : 한겨레>