[금감원과 함께하는 금융사고예방] 6. 피싱사이트와 파밍

#. P씨는 스마트폰으로 생일초대 문자메시지를 받았습니다. 문자메시지에 있는 생일파티 장소 안내 주소를 클릭했을 때에는 아무런 화면도 나타나지 않았고, P씨는 흔한 스팸문자려니 생각했으나 스마트폰은 이미 악성코드에 감염됐습니다.

이후 P씨가 은행 어플을 실행했을 때에는 계속하여 보안인증강화 화면이 나타났고 P씨가 비밀번호, 보안카드번호 등을 입력하자 사기범들은 이를 이용해 700만원을 인출 후 잠적했습니다.

위의 사례와 같이 파밍을 위한 문자메시지 등은 무료·할인쿠폰, 돌잔치·결혼 청첩장, 경찰 출석 요구서, 교통범칙금 조회, 국세청 연말정산 모바일앱, 건강보험공단 무료 암 검진, 카드대금 조회 등 그 유형이 매우 다양합니다. 또한, 문자 메시지의 인터넷 주소 역시 계속 변화하는 등 수법도 계속 교묘해지고 있습니다.

피싱사이트란 은행 등의 홈페이지와 매우 유사하게 만든 가짜사이트로 사기범들이 금융거래정보를 빼내기 위해 만든 사이트입니다. 사기범들은 이러한 가짜사이트에 금융거래정보의 입력을 유도하여 계좌비밀번호, 보안카드번호 등을 가로채는 방식으로 피해가 발생하게 됩니다.

또한 컴퓨터 또는 스마트폰 이용자들을 피싱사이트로 유도하기 위해 컴퓨터 등을 악성코드에 감염시키는 것을 파밍이라고 합니다. 모르는 이메일, 문자 메시지 등에 첨부된 인터넷 주소나 파일을 클릭하면 해당 컴퓨터나 스마트폰이 악성코드에 감염되게 되는데 휴대전화 문자 메시지를 통해 휴대전화를 악성코드를 감염시킨 후 소액결재 피해 등을 일으키는 스미싱과도 매우 유사합니다. 일단, 악성코드에 감염된 컴퓨터 또는 스마트폰에서 이용자들이 인터넷 즐겨찾기나 포털사이트 검색을 통해 금융회사 등 홈페이지에 접속하게되면 피싱사이트, 즉 사기범들이 미리 만들어놓은 가짜사이트에 연결되게 되며 이용자들이 이를 모르고 정보를 유출할 경우에는 큰 피해를 입게 됩니다.

이러한 피싱사이트는 정상적인 사이트와 매우 유사하게 만들어져 있어 속기 쉽습니다. 또한 파밍을 위한 악성코드는 문자메시지, 메신저, 이메일 등의 첨부파일 등 다양한 방식으로 유포되기 때문에 많은 피해가 발생하고 있습니다.

그렇다면 이러한 피싱사이트 및 파밍으로부터 피해 예방을 위해 컴퓨터 또는 스마트폰 이용자들이 어떠한 점을 유의해야 하는지 알려드리겠습니다.

먼저 출처가 불분명한 파일이나 이메일은 클릭하지 말고 바로 삭제하시기 바랍니다. 출처가 불분명한 파일, 이메일, 인터넷 주소 등을 클릭하면 해당 전자기기가 악성코드에 감염될 수 있습니다. 또한 평소 백신프로그램을 이용하여 악성코드를 탐지하고 제거하는 것도 큰 도움이 됩니다.

그리고 금융회사의 보안강화서비스를 적극 활용하시기 바랍니다. 금융거래시에는 OTP(일회성 비밀번호)나 보안토큰 사용을 적극 권장합니다. 또한, 금융회사 홈페이지를 통한 '전자금융사기 예방서비스(공인인증서 재발급 등을 통한 이체시 본인확인을 강화하는 서비스)'에 가입하거나 '신 입금계좌지정제(사전지정계좌 외의 이체한도를 제한하는 서비스, 일명 안심통장서비스)' 등에 가입하시는 것도 좋은 방법입니다.

마지막으로 금융감독원에서는 해킹사고 및 정보유출을 이유로 보안관련 인증철차를 진행하였거나 진행 중인 사실이 없습니다. 또한, 금융기관에서는 절대로 인터넷을 통해 보안카드번호 전체를 요구하지 않습니다. 이러한 점에 유의해 공공기관과 금융회사를 사칭하며 보안 인증·강화를 이유로 특정 사이트로 접속하도록 유도하거나, 보안카드번호 전체 등 과도한 금융거래정보 입력을 유도하는 경우 절대 응하지 않도록 주의하시기 바랍니다.

[금융감독원 대전지원 제공]

중도일보(www.joongdo.co.kr), 무단전재 및 수집, 재배포 금지