전자금융사기 피해를 막기 위해 인터넷뱅킹과 관련해 추가 인증 절차를 거치도록 보안을 강화했는데, 오히려 이를 악용하는 피싱 수법이 새로 발견됐다. 피싱은 날로 진화하는 양상이다.
금융감독원은 일정 금액 이상 이체 시 필요한 추가 인증 정보를 가로채 금전적인 손해를 끼치는 신종 피싱이 최근 발견되고 있어 소비자 경보를 발령했다고 23일 밝혔다.
금감원에 따르면 지난해 9월부터 '전자금융사기 예방서비스'가 시행된 데 이어 올 초 카드 3사 정보유출 사고가 발생하면서 인터넷뱅킹 등으로 하루 누적 100만원 이상 이체 시 추가 인증이 필요하다.
최근 확인된 신종 피싱은 이런 제도 변경을 악용했다. 피해자 컴퓨터에 악성코드를 유포·감염시켜 피싱사이트로 유도하는 것까지는 지금까지 피싱 수법과 비슷하다. 하지만 이후 정상적인 추가 인증 절차를 거치는 것처럼 위장해 금융거래 정보를 빼내고 인터넷뱅킹으로 금전을 이체해 갔다. 특히 정보를 빼내는 데 실시간 채팅과 '자동응답(ARS)' 방식이 동원됐다. 은행이나 은행 직원인 것처럼 피싱사이트 내 실시간 채팅창을 이용하거나 금융회사 대표번호 등으로 발신번호를 조작해 'ARS 인증이 필요하다'며 추가 인증을 하게 한 다음 인증번호를 중간에 가로채 예금을 빼내간 것이다.
금감원은 "SMS로 발송된 인증 정보를 요구하는 행위는 100% 금융사기인 만큼 절대 응해서는 안 된다"며 추가 인증 정보를 절대 누설하지 말아야 한다고 강조했다. 아울러 금융회사별로 제공하는 보안서비스에 적극적으로 가입하고 악성코드 탐지 및 제거 등 PC 보안 점검을 생활화할 것을 당부했다. 또 피해 사실을 확인한 즉시 경찰청(112)이나 금감원(1332), 각 금융회사 콜센터에 지급 정지를 요청해야 피해를 줄일 수 있다고 덧붙였다.
이동현기자 nani@hk.co.kr
기사 URL이 복사되었습니다.
댓글0