▲모바일 청첩장을 위장한 스미싱 사기 ⓒ 연합뉴스
지난 9월, A씨는 지인에게 161만 원을 송금하기 위해 인터넷뱅킹사이트에 접속해 계좌이체를 진행했다. 컴퓨터 화면이 잠시 깜박거렸지만 PC 문제라 생각하고 재로그인하여 이체를 완료했다. 그러나 나중에 통장을 확인해보니 입금계좌가 지인이 아닌 전혀 모르는 계좌번호로 바뀌어 있었고, 이체금액도 290만 원으로 바뀌어서 빠져나간 상태. '메모리 해킹'이란 신·변종 수법에 속수무책으로 당한 것이다.
전통적인 보이스피싱 수법을 넘어서 최근 인터넷 및 스마트폰을 기반으로 한 메모리해킹, 스미싱 등 전기통신 금융사기가 날로 교묘하게 진화하고 있다. 경찰청에 따르면 지난 6월부터 10월까지 A씨처럼 메모리해킹을 통한 신·변종 수법으로 피해를 입은 사례가 426건으로 피해금액은 25억7000만 원 규모인 것으로 밝혀졌다. 지난 1월부터 10월까지 스미싱 피해 현황은 2만8000여 건으로 54억5000만 원 규모의 피해가 발생했다.
이에 금융위원회(아래 금융위)와 미래창조과학부, 경찰청, 금감원 등 6개 기관이 전기통신 금융사기 피해방지 종합대책을 3일 내놓았다. 고승범 금융위 사무처장은 "최근 신·변종 사기수법은 기존 금융 분야 대책만으로는 한계가 있어 범정부 차원에서 총력 대응안을 만들었다"며 "특히 사기범죄조직이 주로 중국 등 해외에 거점이 있어 사법, 경찰분야의 국제공조가 중요하다"고 설명했다.
우선 한국인터넷진흥원(KISA)은 이달부터 이동통신사가 탐지한 스미싱 의심문자를 실시간 전송받아 스미싱 검증시스템을 통해 검증한다. 이때 유포되는 앱의 악성행위가 발견되면 이통사에 악성앱 다운로드 서버 차단 요청을 하게 된다. 지금까지는 스미싱 피해자가 신고를 한 후 악성 앱을 검증해 차단하는 사후조치 방식을 취해왔다. 실시간 스미싱 검증시스템으로 보다 빠른 선제대응이 이뤄질 전망이다.
"매일 신설되는 도메인 검사해 피싱·파밍사이트 걸러낼 것" 또한 내년 상반기부터 자신의 전화번호가 인터넷발송 문자의 발신번호로 전송되는 것을 차단해주는 '번호도용 피싱문자 차단서비스'를 기본 공공기관과 기업에서 개인까지 확대 시행한다. 문자를 대량으로 보내주는 발송업체는 사전에 등록된 전화번호가 아닌 다른 번호가 발신번호로 사용된 경우 인터넷 발송 문자(Web to Phone, 웹투폰)를 차단할 수 있도록 시스템을 고도화시킬 계획이다.
정상사이트를 사칭해 이용자를 속여 개인 금융정보를 빼가는 피싱·파밍사이트를 사전에 차단하는 시스템도 도입된다. 매일 신규로 생성되는 도메인 중 피싱사이트를 걸러낸다는 방침이다. 박재문 미래부 정보화전략국장은 "진짜 사이트와 착각을 일으킬 만큼 이름이 유사한 이름의 피싱·파밍사이트를 소프트웨어로 걸러내면 몇몇 사이트를 제외하곤 상당히 많은 피싱·파밍사이트를 걸러낼 수 있을 것"이라고 설명했다.
또한 기존 입금계좌지정제를 개선해 금융소비자의 이용을 확대해 전자금융사기 피해를 줄이겠다는 방침이다. 금융위는 사전에 지정한 입금계좌로는 기존대로 거래하고 미지정 입금계좌로는 소액이체만 가능하게 된다고 계획을 밝혔다. 고 처장은 "전기통신금융사기의 피해금은 피해자가 이체한 이력이 없는 대포통장계좌로 이체되고 있다"며 "이 제도가 활성화될 경우 사기 피해 확률이 줄고, 피해 금액도 낮출 수 있을 것"으로 기대된다고 말했다.
최근 정상적인 인터넷뱅킹 과정에서도 계좌를 임의로 변경하는 새로운 사기 수법인 '메모리해킹' 방지를 위해 금융회사들이 키보드 보안프로그램의 미비사항을 보완하기로 했다. 또한 인터넷뱅킹 도중 거래정보가 바뀐 것으로 의심되는 경우 SMS 등으로 추가인증을 거치도록 했다.
'메모리해킹' 계좌지급정지 가능... 환급받기는 여전히 어려워 이와 함께 보이스피싱에만 규정돼 있던 계좌 지급정지제도를 해킹에도 확대한다. 또 은행 외에 증권사나 저축은행, 우체국 등 제2금융권에도 지급정지 제도를 확대한다. 그러나 메모리해킹의 계좌지급정지는 가능해지지만 이미 피해를 받은 금액을 환급받는 절차는 여전히 까다롭다. 보이스피싱의 경우 특별법에 따라 피해금 환급절차를 따로 규정하고 있지만 해킹은 현행법상 전기통신 금융사기에 해당되지 않기 때문.
이러한 지적에 고 처장은 "메모리해킹은 법에 환급제도가 마련되어 있지 않아 별도의 소송절차를 밟아야 피해금액을 돌려받을 수 있는데, 과정이 복잡하고 시간이 오래 걸린다"며 "앞으로 이 과정을 신속하게 하기 위해 법 개선을 노력할 것"이라고 덧붙였다.
한편 전기통신 금융사기에 대한 처벌도 강화된다. 현행법상 실제로 대가를 주거나 받고 통장을 매매한 경우에만 처벌을 받았지만 앞으로는 실제 대가가 없었더라도 범죄를 목적으로 통장을 주고 받는 자를 모두 처벌하고 유통자까지 처벌한다.
또한 전기통신 금융사기 총책은 주로 중국 등 외국에 거점을 두고 있는 점을 고려해 한·중 수사협의체, 한·중 금융당국간 정보공유를 통해 중국과의 수사공조체계를 강화하고 인터폴과 해외 보안업체와의 정보교류도 확대하기로 했다.