(시사매거진 235호 _ 주성진 기자) 보이스 피싱은 전화를 통해 불법적으로 개인 정보(주민 등록 번호, 신용 카드 번호, 은행 계좌 번호 등)를 빼내 범죄에 사용하는 신종 전화 사기 수법. 음성(voice), 개인 정보(private data) 및 낚시(fishing)를 합성한 신조어이다. 기존의 피싱은 이메일을 통해 중요 정보를 입력하게 하는 소극적인 방법인 데 반해, 보이스 피싱은 범행 대상자에게 전화를 걸어 송금을 요구하거나 개인 정보를 수집하는 적극적인 방법을 쓰며 이제 그 수법이 날로 믿기 힘든 세상으로 들어 가고 있다.

'세금 환급해 드려요'

‘세금을 환급 때문에 연락드렸습니다’ ‘카드대금·전화요금이 연체되었습니다’ ‘개인정보가 노출되었다’ ‘예금보호를 위해 안전한 계좌로 이체해야 한다’ ‘검찰·법원에 출석하지 않았다’, ‘택배나 우편물이 반송되었다’는 식으로 보이스 피싱 수법이 진화하고 있다. 피해자를 심리적으로 불안하게 만들어 9번이나 0번을 눌러 상담을 하도록 유도하고, 곧바로 경찰·검찰·금융기관·우체국 등 직원을 사칭한 전화를 걸어 피해자들에게 신뢰감을 준 후, 결국에는 카드와 휴대전화를 가지고 현금인출기로 가도록 유도하여, 현금인출기에 도착한 피해자의 휴대전화로 전화를 걸어 카드를 넣고 인증번호(=범죄계좌 번호), 보안코드(=입금액수) 등을 입력하라고 속여 피해자의 계좌에서 범인계좌로 예금이 이체되도록 하는 지능형으로 발전하고 있다.

최근 악성코드 유포, 전화번호 변작 및 가상화폐 악용 등 첨단 수법을 동원한 신종 보이스피싱 피해사례가 발생하고 있어 특히, 스마트폰을 이용하는 금융소비자의 각별한 주의가 요망되며 금융감독원 최근 피해(상담)접수 현황을 보면 7월~9월20일 기간 중 악성코드 설치에 따른 금감원 전화(☎1332) 사칭 상담건수가 총 18건이었으며, 1월∼8월 기간 중 보이스피싱 전화번호 1,652건 중 48%가 발신번호 변작 등 불법이용이었다. 또 7월~8월 가상화폐를 악용하여 피해금이 인출된 사례가 총 50건에 피해금액만 35억원이나 되었으며 금감원에 따르면 신종 보이스피싱 수법은 금융회사를 사칭하며 대출을 해줄 것처럼 속인 뒤 돈을 편취하는 사기방식은 기존과 동일하나, 사기과정 및 피해금 인출과정에서 첨단 수법을 사용하고 있다.

사기범은 택배 배송 등을 사칭하며 악성코드 URL이 포함된 문자메시지를 불특정 다수에게 발송하여, 택배 문자로 오인한 피해자가 URL를 클릭하면 스마트폰에 악성코드가 설치되고 피해자의 휴대폰 번호가 사기범에게 전송되도록 했다.

보이스피싱 시도 단계 ⇒ 전화번호 변작(임의대로 변경) 사기범은 전화번호를 확보한 피해자의 스마트폰에 금감원 콜센터번호(☎1332) 및금융회사 대표전화가 표시되게끔 발신 전화번호를 변작하여 전화하고, 악성코드 감염으로 인해 피해자가 ‘1332’ 및 금융회사 대표번호로 전화(Return Call)하여도 사기범에게 연결되도록 하여 금감원 직원 등을 사칭하며 보이스피싱을 시도했다.

피해금 인출 단계 ⇒ 가상화폐 악용 사기범은 가상화폐 매매에 필요한 거래소 가상계좌로 피해금을 입금토록 하거나,피해자가 대포통장으로 입금하면 사기범이 거래소 가상계좌로 입금하여 피해금으로 가상화폐를 구입하고 가상화폐 전자지갑을 이용하여 거액의 현금을 손쉽게 인출해 갔다. 휴대폰번호 및 e메일만으로 가상화폐 거래소 회원 가입이 가능하며, 인출한도에 제한이 없다. (금융회사 자동화기기는 일일 인출한도 600만원)

지난 9월 악성코드 URL이 포함된 문자메시지를 불특정 다수에게 발송 후 URL을 클릭한 본건 피해자의 핸드폰 번호를 입수하고 9월20일 ‘H캐피탈’ 직원을 사칭하며 피해자에게 전화하여 기존에 쓰고 있던 대출금을 저금리로 대환대출 해주겠다고 기망 피해자는 기존 대출회사인 P저축은행 대표번호(☎1599-07xx)로 전화했으나, 악성코드 감염으로 인해 동사 직원을 사칭한 사기범에게 연결되었고, 사기범이 안내하는 대출금 상환계좌(사실은 사기범이 확보한 대포통장)로 3900만원을 송금, 사기범은 대포통장에 입금된 3900만원을 가상화폐 거래소 가상계좌로 이체하여 비트코인을 구매한 후, 이를 본인의 전자지갑으로 보내 현금화 시켰으며 다음날, 사기범은 피해자로부터 추가적으로 자금을 편취할 목적으로 금감원 직원을 사칭하며 금감원 콜센터번호(☎1332)가 피해자의 스마트폰에 표시되게끔 발신번호를 변작하여 전화하여, 피해자가 송금한 계좌가 대출사기 사건에 연루된 계좌라며 무죄 소명을 위해서는 금감원 계좌로 2천만원을 보내야 한다고 기망했다. 피해자는 사실 확인을 위해 걸려온 금감원 전화번호(☎1332)로 전화(Return Call)하였으나 사기범에게 연결되었으며 9월22일 보이스피싱임을 의심한 피해자는 근처에 있는 금감원 지원을 방문하여 상담한 후 2차 피해를 예방할수 있었다.

금감원은 출처가 불분명하거나 잘 알지 못하는 앱 또는 문자메시지는 악성코드일 수 있으므로 보는 즉시 바로 삭제하도록하고, 특히, 택배 배송을 사칭하는 문자메시지에 유의하고, 악성코드 감염을 방지하기 위해 보안 앱을 이용할 것을 권장, 발신 전화번호는 변작되어 금감원과 금융회사 등의 전화번호로 허위 표시 될 수 있으므로, 이러한 전화를 받은 경우 악성코드 감염 우려가 없는 유선전화 등으로 해당 기관에 직접 전화하여 사실여부를 확인 할 것을 당부했다. 또 금감원 및 금융회사 등은 어떠한 경우에도 가상화폐 거래소 가상계좌로 금전을 송금·이체하도록 요구하지 않으며, 이를 요구하는 경우 보이스피싱 등 불법거래일 가능성이 높으므로 절대 응하지 말 것을 강조했다.

진화하는 “보이스피싱 범죄”, 비트코인 등 신종범죄수법

전화금융사기 이른바 보이스피싱 범죄의 수법이 나날이 진화하고 있다. 최근에는 비트코인 등 가상화폐 거래의 가상계좌를 공략하는 방식의 범죄수법도 새로이 이용되고 있다. 과거 가상화폐와 관련된 보이스피싱 범죄의 경우, 이미 가상화폐 거래를 하고 있는 사람들을 대상으로 하여 이루어지는 경우가 많았다. 그러나 최근에는 비트코인 등 가상화폐의 구매 및 거래 경험이 없는 사람 명의로 임의로 가상화폐거래소 계정을 만든 뒤 연동 계좌로 돈을 요구하는 수법이 늘고 있다. 이와 같은 경로로 가상화폐 계정을 생성하여 입금을 유도하는 보이스피싱 범죄의 경우, 기존의 은행계좌에서의 인출 사기와 달리, OTP 번호나 보안카드의 번호 등을 요구하지 않고 단순히 계좌생성을 위해 피해자의 핸드폰으로 전송된 인증문자정보만 요구하면 되기 때문에, 피해자로서는 자신의 이름으로 된 가상계좌에 입금을 하게 되어 별 다른 의심 없이 상당한 금액을 송금하고 피해를 보는 경우가 많다.

최근 비트코인 등 가상화폐거래계좌와 연동된 입금계좌로 입금을 유도하는 보이스피싱 범죄의 경우, 빗썸 등 국내의 대표적인 가상화폐 거래소에서는 첫 거래 시 72시간 동안 출금을 유예하도록 규정하고 있지만 이마저도 피해자가 입금한 금원으로 바로 가상화폐를 구입한 후 보이스피싱 조직의 계좌로 화폐를 이전해버리면 적발이 힘들어져 각별한 유의가 필요하며 기존의 보이스피싱 범죄는 범죄에 가담할 의사 없이 통장을 대여해주는 경우 전자금융거래법위반 등으로 처벌되었지만, 이러한 신종 수법의 보이스피싱 범죄의 경우 대포통장 등을 사용하지 않고서도 범죄를 저지를 수 있어 더욱 주의가 필요하다. 이와 같이 보이스피싱 사건, 보험사기 사건 등을 포함하여 각종 사기사건이나 조직경제범죄에 대하여 풍부한 경험과 성공사례를 축적하고 있는 이승재 대표변호사, 장철영 변호사, 엄민지 변호사 등으로 구성된 법무법인 리앤파트너스의 형사사건 법률자문팀은 보이스피싱 범죄의 수법이 정교화되는 만큼 당국의 처벌 의지 및 실체 처벌의 수위 역시 갈수록 높아지는 추세인바, 관련 혐의로 수사를 받게 되는 경우 수사 초기 단계에서부터 관련 분야에 경험이 많은 법률 전문가의 체계적인 조력을 받아 적극적으로 대처하는 것이 반드시 필요하다고 조언한다.

스미싱과 보이스피싱의 종류와 예방법

스미싱(SMishing)

피싱(Phishing)의 합성어로 문자메시지를 이용한 새로운 휴대폰 해킹 기법이다.

스미싱은 휴대폰 사용자에게 악성코드가 깔린 웹사이트의 링크가 적힌 문자메시지를 보내 사용자가 접속하도록 유도하거니 스마트폰 어플을 다운받게 한다. 이후 사용자들이 그 악성코드 웹사이트에 접속하는 순간 트로이목마( 컴퓨터 사용자의 정보를 빼가는 악성 프로그램 )를 주입해 휴대폰을 통제하며 개인정보를 유출하는 신종 사기범죄이다.

스미싱 종류

휴대폰 문자로 인터넷 사이버 머니가 결제됐다며 39만원이 결제될 것이라는 문자 메시지를 온다. 피해자는 즉시 메시지 발신번호로 전화를 걸어 결제한 사실이 없다며 따지며 취소를 요청한다. 전화를 받은 여성은 "잘못 발송된 것 같다"며 자신이 일러준 애플리케이션을 설치하고, 승인번호를 입력하면 자동으로 결제가 취소될 것이라고 말한다. 피해자는 여성이 시킨 대로 승인번호를 불러준 뒤 전화를 끊었다. 하지만 모 게임 사이트를 통해 진짜 자동결제 승인이 이뤄진 사실을 한 달 뒤 휴대폰 요금 고지서를 받고서야 알게 된다.

피싱 특징메일을 이용해서 신뢰할 수 있는 메일 주소로 가장한다. 피싱 메일은 대부분 송신자를 사칭 하고 있다. 예를 들어 사기꾼이 시티은행인 것으로 속인다면, 이 경우는 「info＠citi.com」와 같이 정상적인 메일 주소로 가장해서 무작위로 보낸다. 신용카드 번호나 패스워드 입력을 요구한다. 피싱 사기꾼의 최종 목적이다. 이러한 정보를 입력해서는 절대로 안 된다. 유명은행, 카드사 등을 사칭하며 계좌번호, 카드번호, 비밀번호 등의 확인 또는 갱신을 유도하거나 이러한 조치를 취하지 않을 경우 거래가 중지된다는 식의 소란을 일으키거나 자극적인 문구로 메시지가 온다. 포털사이트나 쇼핑몰 등을 사칭해 경품당첨 안내나 이벤트 참가 등을 문자메시지로 유도하며 주민번호, 핸드폰번호 등의 개인정보를 입력하도록 유도한다.

미국의 이베이 사이트 에서 '보안상의 위험으로 계정이 차단됐으니 재등록해야 한다"는 메일을 고객들이 수신하여 첨부된 링크를 클릭해 이베이 웹페이지로 가서 바로 재등록하라고 친절한 설명되어 있어 의심 없이 개인정보와 금융정보를 피셔에게 넘겨준다.

스미싱 피싱 사기의 예방법

1. 신용할 수 없는 메일의 링크를 클릭하지 않는다.

2. 의심스러운 점이 있으면 홈페이지를 검색해 직접 사이트를 방문한다.

3. 메일 헤더를 확인한다. 링크의 주소가 IP 주소인지 도메인인지 확인한다. IP일 경우 피싱 사이트일 가능성이 있다.

스미싱 피해를 예방하기 위해서는 ?

금융보안을 철저히 하기 - 스마트폰 이용자가 이용하는 모바일 뱅킹은 PC보다 보안이 취약하다고 하니 조심 또 조심하여야 한다. 또 모르는 사람이나 모르는 사이트에 신상정보를 해서는 안된다.

수상한 문자는 의심하기 - 금융 및 공공기관을 사칭해 계좌, 주민등록번호 등을 요구하면 해당기관에 연락해 확인하는 것은 필수이다. 돈을 빌려준다며 문자 메시지를 보내는 김미영 팀장 아시죠 ? 이 김미영 팀장이 보내는 메시지도 스미싱의 한 예 이다.

보이스피싱의 종류

1. 국세청 징세과를 사칭하며 무작위로 핸드폰에 - "국세청에서 세금환급을 해드립니다. 속히 징세과로 연락주세요 02)3394-4275, 4276"이라는 문자메시지 발송 및 02-1517-0114 이런전화번호로 전화가 온다. LG 유플러스 , 삼성 , KT 돌발퀴즈 뭐뭐 이렇게 시작해서 최신형스마트폰을 공짜로 바꿔준다느니 집전화기를 바꿔준다느니 하면서 나오는 멘트가 "일본이 자기네 땅이라고 우기는 곳이 독도라고 생각하시면 1번을 눌러주세요." 1번을 누르면 뚜..뚜..뚜.. 전화가 그냥 끊어진다. 그러면서 자동결제. 1588-2100 번호로 문자가 와서 NH농협이니 국민이니 해서 고객님 개인정보가 유출되였으니 보안승급 바랍니다. www.-----.com

2. 은행, 카드사 - 없는 카드, 대출을 만들어 연체됐다며 연체대금 입금하라고 함

3. 경찰청 - 없는 사건 만듬 - 본인 통장이 범죄 이용됐다며 안전한 곳으로 이체하라며 송금 유도

4.일반전화, 휴대폰 - 미납요금 내라고 함. 근데 번호 물어보면 지가 전화해 놓고도 모름 ㅋ

5.증권계좌 - 말도 안 되는 말로 이체유도

6.법원 - 출두 안 해서 큰일 난다고 협박

7.우체국 - 소포반송 전화를 걸도록 유도하여 통화료 착취( 001-12-000 )이렇게하면 눈치 채니까 0011-2000 이런 식으로 번호 불러줌

8.문자메시지를 받은 피해자가 위 번호로 전화를 하면 과장에게 전화하라면서 02)749-4766번을 알려주고

9.피해자가 위 번호로 전화를 하면 과장을 사칭하는 자가 소득세 환급금을 환급해 준다며 성명, 주민등록번호, 계좌번호 등을 물은 뒤, 전산에 문제가 있어 본인계좌 확인 후 입금시켜 준다며, 은행 ATM(CD)기 앞에서 다시 전화하게 함

10.은행 ATM(CD)기 앞에 가서 전화를 하면, 안내에 따라 하라면서 금융인증번호라며 자신들의 은행 계좌번호, 인출금액 숫자를 누르게 하고 비밀번호를 입력하게 하여 피해자의 계좌에서 자신들의 계좌로 돈을 이체시킨 후 즉시 인출해 감

보이스피싱 예방을 위한 10계명

1. 미니홈피, 블로그에 자신의 전화번호나 가족의 개인정보를 게시하지 않는다.

2. 동창회, 종친회, 동호회 사이트에 주소록이나 비상연락처를 게시하지 않는다.

3. 가족에 대한 비상시 연락을 위해 친구나 교사 등의 연락처를 확보한다.

4. 전화를 이용하여 게좌번호, 카드번호, 주민번호 등을 요구하면 대응하지 않는다.

5. 현금지급기를 이용하여 세금 및 보험료 환금, 등록금 납부를 해준다는 것은 대응하지 않는다.

6. 동창회나 종친회라며 입금을 요구하면 반드시 사실관계를 확인한다.

7. 발신자 번호를 확인한다. ( 001, 008, 030, 086 등으로 시작하는 번호는 의심 )

8. 자동응답시스템(ARS)를 이용한 전화사기에 조심

9. 계좌이체, 신용카드 사용 등은 문자서비스와 연계하여 인출을 빠르게 확인

10. 전화 사기범들에게 속았다면, 그 즉시 관계기관에 신고한다.

보이스피싱 대처방법

1.현금지급기로 유도하는 전화는 100% 사기. - 그냥 끊는다.

2.전화를 통하여 연체 / 벌금 / 미납으로 인해 돈을 내라고 한다. 그리고 버튼을 누르라고 한다! ( 그때 절대 눌러서는 안 된다. 그냥 끊는다. )

3.요즘은 택배 사기가 많다. 택배 왔다는 문자이다. 경비실에 맏겨 두었거나. 아님 안내원으로 연결 하라는 메시지가 온다. ( 회사 이름까지 적는다. ) 그때 보통 사람이라면 그 번호로 전화를 하게 되어 있다. 절대 전화 하면 안 된다!!! 전화를 걸면 크게 낭패를 보게 된다. 거는 즉시 휴대폰 소액결제로 요금결제가 되며 전화 요금 폭탄을 맞을 수 있다.

4.그냥 전화 몇 번 울리고 끊긴다. - 확인 전화 걸면 안 된다.

5.집으로 전화와 아이가 다쳤다거나, 아이를 내가 보호 하고 있다. 고 하면 ~ 그러면 무조건 끊고 일단 아이 와 먼저 연락 하여 아이의 상태 & 위치를 확인한다. 사실이면 전화를 끊으면 어떻게 하냐 ? 정말 그런 범죄가 일어난다면 그 범인은 요구 하는 것이 있기 때문에 무조건 다시 전화 걸게 되어 있다.

6. 경품 당첨 어디어디 회사 경품에 당첨 되셨습니다. 그리고 주민번호, 또는 안내 멘트대로 번호를 누르세요 라고 하면 절대 누르지 말고 끊어라. 그리고 그 회사 전화번호를 114, 또는 인터넷을 통하여 전화번호 확인 후 직접 걸어라.

7.법원 출석 000 님 법원 출석해야 하는데 왜 안 나오셨습니까 ? 이런식으로 말 한다. 법원출석은 등기로 오기 때문에 무조건 전화를 끊고 해당법원에 확인하는 것이 좋다.

8.모르는 전화번호가 뜬다 국제전화 ( 003650000000 , 0000-0000 ) 번호는 안 받는 것이 좋다.

9.인적사항 까지 파악하고 덤비는 보이스피싱도 있다. 전화를 받는 사람은 더 떨리고 불안해 진다. ( 보통 누가 다쳤다. 합의금 등 ) 그럴 때는 당장 끊고 확인을 해 보는 것이 상책이다.

10.국세청, 국민건강공단, 연금관리공단, 신용카드, 수사 기관원 등 에서 전화 오면 신중히 듣고 돈이나 개인정보를 원하면 절대 말 하지 말고 전화를 끊고 내가 전화를 다시 하겠다고 한 후 직접 전화를 걸어라. ( 전화 번호 확인은 필수!) 국세청뿐만 아니라, 다른 어떠한 기관도 전화로 개인정보 등을 요구하는 경우는 절대 없으므로 이런 전화는 모두 사기전화 임을 의심하여 피해를 당하지 않도록 조심해야 한다.