파밍·메신저 피싱·영상통화 사기 고도화…적응에 진화까지 한 '그놈들' [데이터링]

[아이뉴스24 김혜경 기자] "최근 파밍(pharming) 수법이 정교해지고 있다. 과거에는 특정 사이트 한 곳으로만 연결해 개인정보를 탈취했다면 최근에는 정상사이트와 가짜사이트를 섞어 피해자가 구별하지 못하도록 만든다. 보안카드 번호 전체를 요구하거나 일회성 비밀번호(OTP)를 여러 번 입력하도록 만드는데 각별한 주의가 필요하다."

28일 오후 국회도서관에서 열린 '제13회 시큐어 코리아 2022'에서 신충근 경찰청 팀장은 파밍 등 최신 사이버범죄 유형에 대해 설명하며 이 같이 강조했다.

파밍은 PC에 악성코드를 감염시켜 이용자가 정상적인 홈페이지를 방문했을 때 가짜 피싱 사이트로 유도하는 범죄 수법이다. 범죄자는 비밀번호 등 금융정보를 빼돌려 금전을 갈취한다.

가짜 사이트 접속을 유도한다는 점에서는 피싱(Phishing)과 유사하다. 다만 악성코드 감염으로 정상 홈페이지에 접속하더라도 범행 사이트로 연결된다는 점에서 피싱보다 피해가 발생할 가능성이 더 크다. 피싱의 진화 버전인 셈이다. 이날 신 팀장이 파밍 피해사례로 언급한 한 금융사 홈페이지의 경우 정상 사이트와 가짜 사이트의 주소가 한 글자만 제외하고 동일했다.

신 팀장은 "은행 등 금융 관련 사이트가 아니더라도 포털 접속 시 보안 강화를 빌미로 팝업창을 띄워 금융정보 입력을 요구한다"며 "백신프로그램으로 충분히 예방 가능하므로 최신버전을 유지하고 공동인증서는 하드디스크가 아닌 USB에 별도로 보관해야 한다"고 말했다.

메신저 피싱은 외부에 유출된 개인정보를 이용해 피해자의 지인 등을 사칭, 메신저로 금전을 탈취하는 수법이다. 범죄자는 피해자가 사용하는 포털 주소록을 해킹한 후 범행에 이용할 메신저 계정을 만든다. 피해자의 연락처 정보를 등록해 친구를 추가한 후 피해자를 사칭해 지인들에게 금전을 요구하는 방식이다.

신 팀장은 "메신저로 송금을 요구하는 경우 반드시 전화로 확인하고 출처를 알 수 없는 애플리케이션은 설치하면 안 된다"며 "주소록 2중 인증을 설정하고 금융소비자 정보포털(파인)에 접속해 개인정보 노출 사고 예방 등록 조치를 하는 것도 방법"이라고 설명했다.

최근 신고 건수가 급증한 사이버범죄 유형으로는 성착취 영상통화 사기가 꼽혔다. 범죄자는 채팅앱을 통해 피해자에게 영상통화를 요구한 후 피해자 스마트폰에 악성코드를 설치한다. 이후 성적 행위 촬영 영상을 빌미로 협박, 금전을 갈취하는 수법이다. 범죄자의 금전 요구에 응하지 말고 조기에 경찰에 신고하는 것이 추가 피해를 막을 수 있다고 신 팀장은 강조했다.

그는 "인터넷 거래 시 일반적으로 계좌번호를 이용하는데 상대방에 넘어간 계좌번호가 피싱 공격에 악용될 수도 있다"며 "계좌번호를 이용한 거래 방식은 사실 생각보다 위험하다. 현금 거래가 가장 안전하다"고 말했다.