"친구 부모님이 아프다고 돈 빌려 달라는데, 내가 지금 자리를 비울 수 가 없거든. 네가 먼저 보내줄 수 있어? 이따 퇴근할 때 다시 보내줄게."
직장인 송모씨는 14일 N사의 인스턴트 메신저를 켜 놓고 일하다 대학교 선배로부터 이런 메시지를 받았다. 진짜 오랜만에 연락한 선배 같은 말투였지만, 대화를 하다 보니 요즘 유행하는 '메신저 피싱(금융사기)'이라는 것을 눈치챘다.
송씨는 사기범의 계좌번호를 신고해야겠다고 생각하고 경찰에 문의했지만, "실제 돈을 입금해 피해를 보지 않았으면 신고할 수 없다"는 대답이 돌아왔다.
지인 아이디로 로그인해 송금 요구
메신저 피싱이란 타인의 메신저 아이디를 도용해 로그인한 뒤 등록돼 있는 지인에게 메시지를 보내 돈을 요구하는 행위를 말한다. 전화를 이용한 '보이스 피싱'과 비슷하지만 보이스 피싱은 현금입출금기(ATM기)로 피해자를 유인해 돈을 이체하라고 하는 반면 메신저 피싱은 인터넷뱅킹을 통해 입금할 것을 요구한다는 점이 다르다.
보이스 피싱에 이은 신종 수법으로 메신저 피싱이 나타난 것은 연초부터. 최근 급속도로 피해 사례가 늘고 있다. 그러나 돈을 입금하기 전에 사기를 눈치챈 네티즌이 추가 범죄를 막기 위해 경찰에 신고할 경우, 직접적인 피해를 입지 않았다는 이유로 신고를 받지 않아 논란이 되고 있다. 실제 피해를 입었어도 관할 경찰서에 직접 방문해 서면으로 신고서를 작성해야 하므로 메신저 사기를 신고하기에는 불편하다.
물론 방법이 전혀 없는 것은 아니다. 금융감독원 관계자는 "보이스 피싱이 늘어나면서 은행마다 전담 검사역을 두고 있다"면서 "사기범이 알려준 계좌가 개설된 은행 콜센터에 전화를 걸어 금융사기 담당자와 통화하면 된다"고 설명했다. 다만 메신저 대화 내용을 캡쳐해 두는 등 증빙 자료가 있어야 계좌에 대한 지급정지를 할 수 있다고 덧붙였다.
그러나 일반인들이 사기사건을 겪었을 때 가장 먼저 떠오르는 방법은 경찰에 신고하는 것이다. 따라서 경찰이 직접 금융사기 신고를 전담하는 웹사이트나 전화를 개설하고, 실제 피해가 발생하지 않았더라도 사기를 시도한 충분한 정황이 있으면 해당 계좌에 대한 지급정지를 은행에 요청하는 등 적극적인 대책을 마련해야 한다는 목소리가 높다.
근본적인 정보보안 대책 마련해야
메신저 피싱을 예방하는 대책의 하나로 한 금융권 관계자는 "정부에서 메신저 회사를 통해 사용자들에게 비밀번호를 무조건 바꾸도록 강제할 필요가 있다"고 제안했다. 사기범들이 갖고 있는 비밀번호를 쓸모없게 만들자는 것이다.
하지만 보안업계 관계자는 "한번 다 바꾸면 일시적으로는 잠잠해질 수 있지만 해커들이 다시 개인정보를 수집하는 건 시간 문제"라고 말했다.
보안업계는 해커들이 메신저 피싱에 사용되는 아이디와 비밀번호를 일반 PC에 몰래 심어 놓은 악성코드를 통해 수집하는 것으로 보고 있다.
최근 디도스(DDoS : 분산서비스거부) 공격 사태를 유발한 원인 중 하나로도 지목됐듯, 우리나라는 '액티브X' 기술을 통한 악성코드 설치가 다른 나라에 비해 매우 쉽다. 해커들은 PC 사용자들이 저도 모르게 설치한 악성 코드를 통해 메신저 아이디와 비밀번호를 쉽게 빼낼 수 있다.
한 보안업계 관계자는 "보이스 피싱이나 메신저 피싱 등 각종 금융사기가 성행하는 근본원인은 개인정보 해킹이 너무 쉽기 때문"이라면서 "주민등록번호, 전화번호, 주소 입력은 물론 실명 인증까지 요구하는 인터넷 서비스 업체들의 태도와 '액티브X' 기술을 통한 프로그램 설치를 권장하는 공공기관, 금융기관의 정책이 근본적으로 바뀌어야 한다"고 주장했다.
● 메신저 피싱
타인의 메신저 아이디를 도용해 로그인한 뒤 등록돼있는 지인에게 메시지를 보내 돈을 요구하는 행위를 말한다. 전화를 이용한'보이스 피싱'과 비슷하지만 보이스 피싱은 현금입출금기(ATM기)로 피해자를 유인해 돈을 이체하라고 하는 반면 메신저피싱은 인터넷뱅킹을 통해 입금할 것을 요구한다는 점이 다르다.
최진주 기자 pariscom@hk.co.kr
기사 URL이 복사되었습니다.
댓글0