인터넷은 생활에 없어서는 안될 필수 요소가 되었다인터넷 편리함 뒤에는 역기능도 점점 증가하고 있지만 아직도 사용자들 보안수준은 낮기만 하다최근 금융감독원에서 발표한 보도자료에 따르면 ‘14년도 상반기중 피싱사기금액은 886억 원(1만 3천건)으로 전년 동기대비 87.7%(건수 34%)가 증가하였다.

 

또한최근 사기수법이 더욱 지능화 되어 피해가 확대되는 가운데 기술범죄에 대한 예방 대책이 강화 되면서 전통방식으로 회귀하고 있다고 발표하였다.

 

피해사례가 증가한다는 것은 아직도 피싱,파밍,스미싱등 각종 금융사기 기법이 진화 발전하고 있는데 일반 국민은 인지하지 못하고 있다는 반증이기도 하다따라서 이번 호에서는 금융사기에 대표적인 피싱,파밍스미싱에 대하여 알아보고 대응 방안도 살펴보도록 하자.

 

1. 피싱(Phishing)

 

피싱이란 개인정보(Private data)와 낚는다(Fishing)’의 합성어로전화·문자·메신저·가짜사이트 등 전기통신수단을 이용하여 피해자를 기망·공갈함으로써 이용자의 개인정보나 금융정보를 빼낸 후금품을 갈취하는 사기 수법을 말한다.

 

피싱 사기는 전화(보이스피싱뿐만 아니라 문자메신저인터넷 사이트 등 다양한 전기통신수단을 통해 이루어지고 있다.

 

피싱 사기를 당한 피해자는 피해구제절차를 통하여 은행 등에 지급정지를 요청하고 피해금을 환급받을 수 있다.

 

피싱에도 여러 가지 기법이 있다.  


구분

내용 

 보이스피싱

유선전화 발신번호를 수사기관 등으로 조작하여 해당기관을 사칭하면서 

자금을 편취하거나 자녀납치, 사고빙자 등 이용자 환경의 약점을 노려 

자금을 편위하는 수법 

 문자피싱

스마트폰 환경에서 신뢰도가 높은 공공기관 및 금융회사의 전화번호를 

도용하면서 정상 홈페이지와 유사한 URL로 접속토록 유도하여 개인정보나 

금융정보를 편위하는 수법 

 메신저피싱

SNS, 모바일(또는 PC) 기반 메신저 등 신규인터넷 서비스의 친구추가 

기능을 악용하여 친구나 지인의 계정으로 접속한 후 금전 차용 등을 

요구 하는 수법 

 피싱사이트

불특정 다수에게 문자, 이메일 등을 보내 정상 홈페이지와 유사한 

가짜 홈페이지로 접속을 유도하여 개인정보 및 금융정보를 편취하는 수법 

▲ 출처 방송통신위원회전기통신망에서의 이용자 피해 예방을 위한 전자금융사기(피싱방지 대책, 2012.10. 22면 참조

 

일반적으로 피싱이라고 하면 제 마지막에 언급한 피싱사이트를 말한다고 보면 된다이메링을 보낼때 가짜 홈페이지 링크 URL을 함께 첨부하여 가짜 홈페이지로 접속 하게 유도하는 금융사기 기법을 말한다.


▲ 정상사이트 (), 가짜 사이트 ()

 

좌측 홈페이지와 우측 홈페이지 구분되는 것을 혹시 알수 있는가우측에 빨간색으로 표시한 부분이 정상사이트와 틀린 점이다무엇보다 피해를 당하지 않는 것이 가장 안전한 방법이지만 피해시에는 아래 절차를 통하여 구제 받을 수 있다.


지급정지 및 피해금 환급 신청


피싱사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제 3조에 따라,


1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후

2. 해당 은행에 경찰이 발급한 사건사고 사실확인원을 제출하여 피해금 환급 신청을 하면된다.


※ 지금정지피해신고

경찰청 국번없이 112 / 해양경찰청 112

금융회사 콜센터


※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 1332


2. 파밍 (Pharming)

 

파밍(Pharming)은 피싱(Phishing)과 조작(Farming)의 합성어로악성프로그램에 감염된 PC를 조작하여 정상 사이트에 접속하더라도 가짜 사이트로 접속을 유도하여 금융거래정보를 빼낸 후 금전적인 피해를 입히는 사기 수법을 말한다.

 

                                    ▲ 파밍 사기기법 구성도              출처: 경찰청

 

위 그림을 보면 조금 어렵게 보일수 있는데 쉽게 설명하면 다음과 같다예를들어 자신이 ABC.com 사이트에 접속하고자 하는데 악성코드에 감염이 되었다면 브라우저에 ABC.com 이라고 정상적으로 입력했지만 ABC.com 사이트와 동일한 가짜 사이트 abc.com 사이트로 접속하게 끔 하는 금융사기 기법을 말한다이렇게하여 개인정보등 각종 정보를 탈취하는 것이다.

 

파밍(Pharming)의 유형

 

파밍에도 여러 가지 유형이 있다대표적인 유형을 살펴 보기로 하자.


 파밍유형

사기 수법 사례 

 가짜 은행사이트

악성프로그램에 감염된 피해자PC가 가짜 은행사이트로 접속, 

보안승급이 필요하다고 하면서 보아카드번호 전체 입력 유도 

 팝업창

악성프로그램에 감염된 피해자PC가 가짜 은행사이트로 접속, 

'OTP 무료 이벤트'팝업창이 뜨면서 계좌번호 및 보안카드번호 입력 요구 

 가짜 쇼핑몰 결제창

인터넷 쇼핑몰에서 옷을 구매하면서 실시간 계좌이체 선택, 결제를 위해 

'인터넷뱅킹;을 누르는 순간 악성프로그램에 감염된 피해자 PC가 

피싱사이트로 유도, 보안카드번호 전체 및 계좌비밀번호 등 입력 

 이메일 첨부파일

신용카드 회사 명의로 된 이메일 명세서를 받고 첨부파일을 열람, 

악성프로그램에 감염됨에 따라 주민번호와 보안카드번호 전부 입력 

 가짜 대법원 사이트

악성프로그램에 감염된 피해자PC가 가짜 대법원사이트로 접속, 

ⅰ) 계좌번호·보안카드번호 입력 요구, ⅱ) 납부화면에서 대법원이 

사용하지 않는 방식인 계좌이체방식 사용, 또는 ⅱ) 가상계좌 이용 시 

대법원이 지정하지 않는 예금주의 가상계좌로 납부 요구 

→ 정상적인 대법원 가상계좌 예금주

▲ 출처 경찰청 보도자료, “‘파밍(Pharming)’등 신종금융사기 주의!”, 2013. 6. 참조

 

                 ▲ 파밍에 의해 유도된 피싱사이트       출처: 경찰청

 

정상적인 주소를 입력하였지만 가짜 사이트로 접속하여 금융거래정보 입력화면이 나타나는 전형적인 형태를 말한다과도한 개인정보를 요구시에는 직접 은행에 문의해 보는 것이 좋다.

 

지급정지 및 피해금 환급 신청


파밍 사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제3조에 따라,


1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후 

2. 해당 은행에 경찰이 발급한 '사건사고 사실확인원'을 제출하여 피해금 환급 신청을 한다.


※ 지급정지 피해신고


경찰청 국번없이 112 / 해양경찰청 112

금융회사 콜센터


※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 1332


3. 스미싱(Smishing)

 

문자메시지(SMS)와 피싱(Phishing)의 합성어로,‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일청첩장’ 등을 내용으로 하는 문자메시지에 포함된 인터넷 주소를 클릭하면 악성프로그램이 스마트폰에 설치되어 피해자가 모르는 사이에 소액결제가 이루어지는 금융사기기법을 말한다최근에는 피해자 스마트폰에 저장된 주소록 연락처사진(주민등록증·보안카드 사본), 공인인증서개인정보 등까지 탈취하여 더 큰 금융범죄로 이어지고 있다.

 

▲ 최근 필자가 받은 스미싱 관련 문자

 

스미싱(Smishing) 주요 피해사례

 

1) 대출금리비교 앱(App)을 사칭하여 돈을 송금하도록 한 사례

 

피해자는 캐피탈을 사칭한 자로부터 스마트폰에 특정 앱(App)을 설치하면 본인의 신원 확인 및 대출이 가능하다는 내용의 전화를 받은 뒤 해당 프로그램을 설치하였고앱을 실행하자 여러 금융기관의 전화번호 목록이 확인되었으며피해자가 대출을 이용 중인 대부업체에 상환방법을 문의하고자 전화통화를 시도(앱상 통화연결기능)하였으나피해자가 설치한 앱은 통화연결시 자동으로 특정번호(사기범)에게 전화가 연결되었고 사기범이 알려준 상환계좌로 돈을 송금하여 피해를 입은 사례(미래창조과학부 등 보도자료, “·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

 

2) 돌잔치 초대문자를 사칭하여 휴대폰에 입력된 개인정보를 유출한 사례

 

동료로부터 돌잔치에 초대한다는 내용이 담긴 문자메세지 한통을 받고 문자메세지에 링크된 주소를 무심코 눌렀는데본인도 모르게 전화번호부에 등록된 지인 전체에 돌잔치 초대문자가 발송된 사례(미래창조과학부 등 보도자료, “·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

 

3) 모바일 메신저 계정을 도용해 지인들에게 돈을 송금해달라고 속여 금품을 가로챈 사례

 

동생으로부터 모바일 메신저를 통해 친구가 급하게 80만원을 보내달라고 한다송금해주면 내일 바로 입금하겠다는 메시지를 받고 동생에게 전화를 걸었으나이미 해당 스마트폰에는 악성프로그램이 설치되어 전화 수신이 차단된 상태였고 동생과 통화가 되지 않아 걱정이 됐던 피해자는 돈을 송금하여 사기피해를 입은 사례

 

휴대폰 소액결제 피해 구제 방법

 

※ 스미싱으로 의심되는 문자를 받았다면?

 

경찰청 사이버테러대응센터(www.ctrc.go.kr / 182)로 신고하고해당 이동통신사의 고객센터(114)에 소액결제서비스 차단을 신청하여 본인도 모르게 소액결제가 되지 않도록 해야 합니다.

※ 소액결제 피해가 발생했다면?

 

1. 피해사실 신고하기


 경찰서에서 발급받은 사건사고 사실확인원을 이동통신사게임사결제대행사 등 관련 사업자에게 제출하고 피해사실을 신고해야 한다.

 

2. 피해금 환불받기


 해당 결제대행사의 고객센터미래창조과학부 CS센터(www.epeople.go.kr / 1335) 또는 휴대전화/ARS결제 중재센터(www.spayment.org / 1644-2367) 등에 결제취소·환불 등을 적극적으로 요구해야 한다.

 

3. 악성파일 삭제하기


 스마트폰 내 다운로드’ 앱을 실행하여

① 문자를 클릭한 시점 이후에 확장자명이 ‘apk’인 파일 저장여부를 확인하고,

② 해당 ‘apk’파일을 삭제합니다.

 

4.악성파일이 삭제되지 않는 경우에는

① 휴대전화 서비스센터에 방문하거나 ② 스마트폰을 초기화해야 한다..

<출처 사이버경찰청정보마당경찰자료실신종금융범죄스미싱 참조>

 

무엇보다 스마트폰 사용자가 증가하고 있어 대응책 마련이 필요하다이에 금융감독원에서 소비자 유의사항을 발표 하였다살펴보면 아래와 같다.

 

□ 명절을 전후하여 대출사기나 할인 이벤트 또는 택배 등을 사칭한 보이스피싱이 기승을 부릴 것으로 예상되므로 각별한 주의가 요망됨

 

개인정보유출, 택배 확인범죄사건 연루 등의 명목으로 비밀번호 등 금융거래정보를 묻는 경우 절대 응하지 말 것


보안강화 등을 명목으로 인터넷 또는 스마트폰 화면상 보안카드 정보 일체의 입력을 요구 하는 경우 피싱사이트이니 유의할 것

 

대출이 가능하다면서 대출받기 전에 먼저 수수료 등의 명목으로 금전을 요구하는 경우 100% 대출사기이니 절대 응하지 말 것


통장이나 금카드를 다른 사람에게 양도하는 것은 범죄행위이며 형사처벌 또는 민사상 손해배상책임을 질 수 있음

 

금감원 보도자료를(2014.09.05, “보이스피싱 피해 다시 증가”) 보면서 안타까움을 금할길이 없다얼마전 TV에서 금융사기를 당한 한 아주머니가 평생 모아온 돈 5000만원 이상을 하루 아침에 빼앗기고 스스로 자책하는 모습을 보면서 혹시나 필자 주위의 이웃들에게 같은 상황이 일어나지 않을까 우려한 적이 있었다.

 

믿고 사는 건정하고 건강한 사회가 되어야 하는데개인정보 유출등으로 이제는 누구도 믿을수 없는 믿지 못하는 사회가 되어서는 안된다내 정보는 내가 지켜야 하고 금융사기로부터 안전하려면 소비자가 더욱 똑똑해지고 보안에 관심을 기울일 수밖에 없다이 글을 읽는 여러분들은 모두 금융사기로부터 안전한 대처를 하길 바란다.


* 본포스팅은 부산시 블로그 "쿨부산"에 기고한 내용임을 알려드립니다.


경성대학교 컴공과 외래교수

11.12.13.14년 안전행정부지정 개인정보보호 전문강사

ISMS/PIMS/PIPL 인증심사원

 




신고
Posted by 엔시스


1. 방송출연 섭외


지난 서울출장중에 작가분에게서 섭외가 왔습니다. "금융사기" 관련하여 전문가의 도움이 필요하다고 다른분에게 추천받았는데 꼭 출연 할 수 있는지...처음엔 공중파 방송에 출연 한다는 것 자체가 부담이 되고, 두번째는 금융사기에 대한 인터뷰가 아니라 전문가의 의견을 듣는 대담형태의 약간 분위기가 무거운 시사 프로그램인 탓에 거절 하였습니다. 그러나 여러가지 우여곡절 끝에 출연이 확정이 되었습니다.


작가님이 대본을 주긴 하였지만, 방송 분량과 시간이 주어진터라 마냥 대본대로 할수도 없는 상황이었습니다. 그리고 작가님 한마디


" 방송 처음출연하시는 분들은 너무 대본만 보고 읽는 경우가 있는데, MC와 아이컨텍 하시면서 하시면 좋습니다."


이 한마디에 몇가지 안되는 질문에도 첫 방송출연이라 많은 생각으로 준비를 하였습니다. 짧은 시간에 답변을 할려니 쉬운것이 없더군요..


2. 방송준비 


방송에 그것도 50분짜리 방송에 대담 형태로 시사프로그램에 출연할려니 많은 부담이 되는 것은 사실이었습니다. 스튜디오를 상상하고 사회자 질문에 답변하는 것을 매일밤 준비하였습니다. 녹화방송이라고 하지만 NG를 내거나 다른분들에게 피해를 주면 안되니까...최대한 자연스럽게 답변 할 수 있는 방법은 질문에 수 없이 답변 연습을 하는 수 밖에는 없다고 생각했습니다.. 중간 중간에 시외로 교육이나 대구로 이동하는 차안에서도 암기, 그리고 리액션, 아이컨텍 , 대본 보고 또 보고,,생각만 해도 긴장이 되더군요...그렇게 흘러 1주일 시간이 지나고 녹화 당일이 왔습니다.



3. 녹화당일


녹화당일 분장실에 제일먼저 도착하여 분장을 하였습니다...분장 준비하시는 분들도 시간 맞추어 오니까 좋아하시더군요.또 대본 보고 또 보고,,, 1주일간 연습과 준비를 하였지만 긴장되는 것 마찬가지...사전에 제작진 국장님께서 말씀 하시길 ...


" 녹화 방송이지만 생방송처럼 한큐에 가겠습니다...녹화방송이라 하면 출연자분들이 NG를 내기 떄문이죠.." 

" 그러니 생방송이라 생각하시면 됩니다.."


리어설도 없고,,바로 들어가는데 잠시 인트로부분만 각자 조금씩 목소리를 다듬고 바로 녹화에 들어갔습니다. 뭐..녹화들어가니까 생각했던 대본의 글은 싹 사라지고 머리속이 하얗게 되더군요..최근 들어 심장이 이렇게 쫄깃하게 긴장되기는 처음이었습니다. 대중앞에 많이 서서 수많은 교육을 하였지만 긴장되지 않았는데, 카메라는 조금 긴장이 되더군요...그러나 그것도 잠시 주 카메라가 사라질때 심호흡으로 차분히 하다보니 제 정신으로 금방 다가오게 되더군요..


3분의 패널이 참여 하셨는데, 부산지방경찰청 사이버팀장님, 한국소비자원 부산지원 차장님, 저..각자 대본 분량이 있고 2분안에 질문에 대한 답변을 정리해야 시간 오버되지 않기 때문에 무엇보다 시간조절이 아주 중요하더군요..이러한것은 사회자분께서 아주 잘 컨트롤 해 주셨습니다.



4. 일요일 공중파  방송일


우선 TV에 나온다고 하니까 가족들이 가장 많이 좋아 했습니다. 그래도 얼굴이 화면에 비친다는 것은 자랑스럽다고 가족들은 여기겠지요..누구나 마찬가지로...사실 너무 버벅거린것 같아 대부분 알리지 않았는데 말이지요...방금 아침에 일어나서 방송되는 것을 모니터링 해 보았습니다. 나름 선방하였다고 생각이 되지만 아직도 약간 아쉬운 부분이 남긴 하네요...가족들이 많이 응원해 주고 잘 했다고 말하네요...지난 1주일간에 전쟁이 지나갔습니다..방송출연을 거절 하였다가 50분 방송에 출연하는 것도 인생에 있어서 참..좋은 기회라 생각이 들었고, 한번 도전해 보는 것도 좋다고 생각이 되어 출연결정을 하였던 것이었습니다. 무엇보다 우선은 지역 방송에서 관심을 가지고 보안에 대하여 언급한다는 데에는 출연료를 받지 않더라도 용기내어 한 목소리를  내고 싶었기 때문입니다..그런데 출연료도 준다네요..얼마일지는 모르지만..
























5. 방송 출연후 느낀점 


1. 무엇이든 처음이 어려운 것이지 한번 하고나니 처음보다는 잘 할 수 있겠다는 느낌이 든다.

2. 방송을 쉽게 보지만 방송전에는 많은 준비와 노력이 필요하다. 우리가 쉽게 보는것도 그 이면에는 많은 노력이 필요로 한다.

3. 지역방송 관계자분들 고민은 지역에 전문가가 없다는 것을 호소한다. 좋은 콘텐츠를 만들려해도 대부분 수도권 집집중화가 되어 있다고 한다. IT도 방송도 마찬가지라는 측면에서 동질감을 느꼈다.

4. 이에 전국중심의 보안에 대하여 조금 더 가치 있음에 한발짝 더 다가가게 되었다.



방송다시보기 링크   http://busan.kbs.co.kr/tv/tv_sunday_02.html   (월요일정도에 방송 올라올듯 합니다.)






신고
Posted by 엔시스


안전한 인터넷 뱅킹을 하려면 OTP를 사용하자.


인터넷 뱅킹이 일반화 되어 있는 가운데 금융거래시에 사용되는 2가지 중요한 것이 있었으니 그것은 바로 '공인인증서' 와 '보안카드' 이다.

이 두가지가 없으면 인터넷에서 금융거래를 하지 못한다. 또한 한가지만 있어도 할 수가 없다. 여기서 말하는 '보안카드' 라는 것은 은행에서 계좌를 개설할때 인터넷뱅킹을 신청을 하게 되면 일정한 네자리수가 있는 번호가 적힌 카드를 받게 된다.

인터넷뱅킹시에 그중에서 앞이나 뒤에 2자리씩 이 카드에 있는 번호를 요구 하게 되는데 인터넷 뱅킹시에는 반드시 필요한 카드이기도 하다. 그래서 우리는 이를 '보안카드' 라 지칭을 한다.

이러한 보안카드는 분실이 되거나 일부 사용자가 관리상 번거로움으로 인하여 스캔을하여 이미지 파일로 하드디스크에 저장 하는 일들이 있는데 이것이 곧 보안사고로  빈번하게 발생을 한다.

그것도 그렇것이 인터넷뱅킹시마다 일일이 열어보고 확인하고 해 주어야 한다. 이런것 마져도 번거롭다고 여기는 사용자들이 있다. 그런데 이것이 잘못 관리를 하였을 경우 보안에 취약하고 또한 자주 사용하는 숫자의 경우 '키로거' 프로그램을 이용하여 해당 보안카드 숫자를 추출해 낼 수 있어 늘 보완이 필요했다.

그래서 필자는 오늘 기존에 쓰던 보안카드 보다 더 안전한 OTP (OneTime Password)라는 것을 신청하였다. OTP는 일회성 패스워드 임으로 한번만 사용할 수 있는 것이 장점이다.

혹시 모를 키로거 프로그램등으로 인하여 숫자가 노출이 되었다 하더라도 더 이상 사용 할 수 없는 것이다. 즉, 한번쓰고 버리는 것이다. 

거래은행인 우리은행에 OTP를 살펴 보자.



 

우리 은행에서 발급하는 <카드형 OTP>를 신청을 하였다.  신용카드 두께와 동일 하였으며 지갑에 넣어 다녀도 손색이 없다. 아래 사진의 오른쪽에 카드 그림에 전원 버튼을 힘껏 누르고 있으면 위 카드 창에 6개의 숫자가 나타난다. 이것을 인터넷 뱅킹시에 <보안카드> 대신에 숫자를 넣으면 되는 것이다. 

오늘 그 첫 거래를 해 보았는데 제법 안전할꺼 같다는 느낌이 들었다.  혹시 주거래 은행에서 발급하고 있는 OTP 가 있으면 지금 당장 발급하여 사용하길 권장한다. 그것이 안전한 인터넷 뱅킹을 위한 보안습관이 되겠다.




그럼 비용은 얼마이고 어떻게 OTP를 발급받지?



우선 주 거래은행에 가는데 필자는 국민은행과 우리은행을 거래하고 있어 두 곳에 사정만 알고 있어 이야기 해 보고자한다.

    • 국민은행 - 우수회원을 대상으로 하여 메일을 보냈다고 하고 있으며 메일을 받은 고객은 무료로 지급하고 있다.  하지만 그렇지 않은 고객은 5000원의 발급 수수료를 지불해야 함. 모양은 이런 카드형이 아니라 두께가 있는 모양을 지급해 준다.
    • 우리은행 - 우리은행은 마찬가지로  3000원짜리 OTP가 있었는데  필자의 경우 카드 포인트가 있어 3000원짜리 보다는 카드형 OTP를 포인트로 계산하여 발급을 받았다. 그냥 발급 받으면 카드형은 10,000원이다. 
    • 거래은행 한곳에서 발급을 받아 타 은행에 등록을 하고 같이 사용할 수 있다,. 그것은 공인인증서와 사용방법이 같다고 보면 되겠다.


우리은행 홈페이지 메인에 올라온 공지사항



기존에 '보안카드'로 얼마든지 인터넷 뱅킹을 사용하는데 무리가 없었지만 보안을 연구 하는 사람으로서 일반 시중에 OTP가 어떻게 이루어지고 있으며 또한 이러한 OTP에는 또 다른 보안 위험성이나 취약성은 없는지 알아 보기 위하여 실제 체험해 보고 경험해 보아야 알 수 있는 것이다. 모든 것이 완벽한 것은 없다. 

하지만 지금까지 나온 대안중에서 가장 안전하다 할수 있으니 인터넷 뱅킹을 사용하는 이용자들은 시중 은행에 방문이나 전화로 잘 알아 보고 안전한 인터넷 뱅킹을 위한 OTP 사용을 많이 이용을 했으면 하는 바램이다.  @엔시스.



신고
Posted by 엔시스