스팸·파밍·피싱·보이스피싱·스미싱 대처요령

AhnLab

‘김미영 팀장’은 우리나라 보이스피싱의 대명사격으로 알려진 가상의 인물이다. 670만 건의 대출 스팸 문자와 2800만 건의 음란 스팸 문자를 전송한 ‘스팸의 여왕’ 김미영 팀장은 지난 2011년 체포됐지만 우리는 지금도 또 다른 김미영 팀장으로부터 무수한 스팸 전화와 스팸 문자를 받고 있다. 비단 스팸뿐 아니다. 

스미싱(Smishing), 파밍(Pharming), 피싱(Phishing) 등 사이버 범죄는 날로 고도화된 방법으로 진화하고 있다. 잦은 개인정보 유출 사고는 우리 중 누구도 사이버 범죄에서 자유롭지 않음을 의미하기도 한다. ‘호랑이 굴에 잡혀가도 정신만 차리면 된다’고 하지 않던가? 언제 닥칠지 모를 사이버 범죄에 대처하는 현명한 방법을 알아보자.

스팸: 차단 서비스 및 앱을 사용해보자!

스팸 전화나 문자는 고전적인 사이버 범죄 수법으로 보이지만 여전히 많이 쓰이는 방법이기도 하다. 스팸이란 불특정다수에게 대량으로 발송되는 문자나 전화, 이메일로 무차별적인 정보 제공을 목적으로 한다. 처음에는 적은 비용으로 다수의 사람에게 광고할 목적으로 시작됐으나 지금은 스팸 메일이 악성코드 유포의 주범으로 여겨질 만큼 스팸을 활용한 사이버 범죄가 증가하고 있다.

Tip. 스팸 대처요령

스팸을 원천적으로 막는 건 사실 쉽지 않다. 다만, 스팸 수신 차단 앱 등의 도움을 받으면 한결 나아진다. 스팸 전화나 문자는 SKT, Ollech KT, LG U+ 등 대부분의 통신사마다 스팸 차단 서비스를 무료로 제공하고 있으니 이를 이용하는 것도 방법이다. 스팸 전화는 후스콜, 후후, 뭐야 이번호 등의 스팸 전화 차단 앱을 설치해 사용할 수도 있다. 안랩은 시큐리티레터 594호 ‘골치 아픈 스팸 전화를 차단하는 완벽한 방법’과 523호 ‘지긋 지긋한 스팸 문자를 차단하는 방법’을 통해 스팸 차단법에 대해 다룬 바 있다.

파밍: 신속히 금융기관에 “지급정지” 요청하기!

파밍은 사용자의 컴퓨터에 악성코드를 감염시킨 뒤 호스트(host) 파일 변조, 도메인 네임 시스템(DNS) 변조, 프록시(Proxy) 서버 주소 변조 등의 방법으로 사용자가 정상 금융회사 홈페이지에 접속해도 가짜 사이트가 접속되도록 해 금융정보를 탈취하는 사기 수법을 말한다. 화면에 보여지는 가짜 웹 사이트는 실제 은행 웹 사이트와 매우 유사하기 때문에 사용자가 파밍 사이트임을 알아채기가 쉽지 않다.

Tip, 파밍 대처요령

진짜 금융사 홈페이지에 접속할 경우 인터넷 주소창에 녹색 인증창이나 자물쇠 표시가 나타나므로 이를 확인하는 것이 안전하다. 또한 금융사에서는 보안강화 등을 목적으로 절대 계좌번호, 비밀번호, 보안카드 번호 전체를 요구하지 않으니 명심하자. 파밍 피해를 막기 위해서는 컴퓨터의 백신을 최신 상태로 유지하고 보안점검을 주기적으로 실시해야 한다. 백신뿐 아니라 운영체제와 주요 프로그램의 보안 상태도 최신 상태를 유지한다.

[그림 1] 금융사 홈페이지 접속시 나타나는 녹색 인증창과 자물쇠 표시

파밍으로 인해 금전적 피해가 발생한 경우 신속히 경찰서나 금융회사 콜센터에 신고해야 한다. 100만원 이상의 금액은 입금 뒤 30분이 지나야 현금자동입출금기에서 인출할 수 있도록 하는 지연인출제도가 현재 시행 중이다. 또 유출된 금융정보가 더 이상 악용되지 않도록 계좌와 카드의 이용정지를 신청한다. 악성코드에 감염된 컴퓨터는 백신 프로그램으로 치료해야 한다.

피싱: 출처가 불분명한 이메일 클릭 주의!

피싱은 금융기관을 가장한 이메일을 발송한 뒤 수신자가 이메일에서 안내하는 인터넷주소를 클릭하면 가짜 은행 사이트로 유도해 보안카드 번호 등을 요구하는 방법으로 금융정보를 탈취해 돈을 빼간다.

Tip. 피싱 대처요령

일단 피싱을 예방하기 위해서는 출처가 불분명한 이메일은 즉시 삭제하고 이메일에 첨부된 파일을 열어보는 것도 주의해야 한다. 금전적인 피해가 발생했을 경우 신속히 경찰서나 금융기관 콜센터에 신고한다. 금전적인 피해가 발생하지 않은 경우에도 입력한 금융정보는 해당 금융기관을 통해 변경하는 것이 좋다. 금융 거래시 보안카드보다는 일회용 비밀번호(OTP)나 보안토큰 등을 사용하는 것이 안전하다.

보이스피싱: 계좌번호 등 개인정보 요구에 절대 답하지 않기!

전화로 수사기관, 정부기관, 금융기관 등을 사칭해 돈을 송금하게 하거나 개인 및 금융정보를 물어보는 보이스피싱도 주의해야 한다. 전화를 걸어 이름, 주민등록번호, 집 주소 등의 개인정보를 얘기하면서 개인정보가 유출됐다며 조치를 위해서는 특정 사이트에 접속해 금융정보 등을 입력하라고 요구하는 경우가 대표적이다. 대놓고 은행 계좌번호, 카드번호, 보안카드번호 등을 물어보는 경우도 있다.

Tip. 보이스피싱 대처요령

전화를 통해 개인정보 및 금융정보를 요구하는 어떠한 요구에도 응하지 않는 것이 중요하다. 공공기관이나 금융기관에서는 절대 전화 상으로 개인정보를 수집하지 않는다.

스미싱: 메시지 속 인터넷주소 클릭 금지!

스미싱은 돌잔치 초대장, 모바일 청첩장, 택배 배송 등의 내용으로 위장한 문자를 보낸 뒤 악성코드를 설치하도록 해 개인 및 금융정보를 빼내는 사기 수법을 말한다. 최근 스미싱 문자가 다소 주춤한 것 같이 보이지만 다른 사이버 공격과 마찬가지로 언제든 다시, 더 교묘한 형태로 나타날 수 있으므로 주의할 필요가 있다. 실제로 얼마 전에는 수신자의 이름이 들어간 정교한 형태까지 발견됐다. 스미싱에 이용된 악성코드는 소액결제 피해를 일으키는 것에 그치지 않고 피해자의 스마트폰에 저장된 연락처, 사진 등의 개인정보까지 탈취하기도 한다.

Tip. 스미싱 대처요령

공공기관이나 금융사, 이동통신사 등 믿을 수 있는 기관에서 보낸 문자라 하더라도 인터넷 주소가 포함된 경우에는 가능한 클릭하지 않는다. 필요한 경우에는 해당 기관에 직접 연락해 문자 발송여부를 확인하고 클릭하는 것이 안전하다. 문자에 포함된 인터넷 주소를 클릭했다고 해서 모두 악성 앱이 설치되는 것은 아니지만, 다운로드한 앱의 출처가 불분명하다고 생각될 경우에는 즉시 삭제하는 것이 좋다. 앱이 삭제되지 않을 경우 휴대전화 서비스센터에 방문해 처리해야 한다. 안랩의 무료 스미싱 탐지 앱 ‘안전한 문자’를 사용하면 보다 안전하게 스마트폰을 사용할 수 있다.

☞ 안전한 문자 다운로드

이 밖에도 경찰청 사이버안전국에서 생활 속 사이버 범죄 예방 수칙을 안내하고 있으니 이를 살펴보는 것도 바람직하겠다.

생활 속 사이버 범죄 예방 수칙 (* 출처: 경찰청 사이버안전국)

<이메일 이용 시 주의점>

1. 출처가 불분명한 이메일이나 첨부파일은 열지 말고 삭제한다.

2. 첨부파일 열람 및 저장 전에는 반드시 백신으로 검사한다.

3. 메일을 통해 개인정보제공을 요구하는 서비스의 경우 가급적 이용을 자제한다.

만약 이용할 경우 반드시 해당 업체 홈페이지에 직접 접속하여 꼼꼼히 확인한 후 이용한다.

4. 날마다 메일을 체크하고 중요하지 않은 메일은 즉시 지운다.

5. 이메일 프로그램 또는 이메일 제공서비스의 다양한 차단기능을 살펴보고 활용한다.

6. 인터넷 게시판 등에 이메일 주소를 남길 때 신중히 한다.

7. 인터넷 서비스 가입시 광고메일 수신 여부를 반드시 확인한다.

<온라인 금융거래 시 주의점>

1. 은행, 신용카드 등 금융기관 사이트는 즐겨찾기를 이용하거나, 주소를 정확하게 입력하고 이용한다.

2. 금융기관 등에서는 전화나 메일로 개인정보를 확인하는 경우는 없으므로 정보를 요청하는 메일은 일단 의심한다.

3. 공인인증서는 반드시 USB 등 이동식 저장장치에 보관한다.

4. 보안카드는 반드시 본인이 소지하고, 온라인 다른 곳에 기재해 두지 않는다.

5. 온라인 금융거래 이용 후, 이를 알려주는 휴대폰 문자서비스를 이용한다.

6. 시간이 걸리더라도 금융기관에서 제공하는 보안프로그램은 반드시 설치한다.

7. 금융기관 이용 비밀번호 등은 기타 다른 사이트의 비밀번호와는 다르게 설정한다.

8. 공공장소 PC는 보안에 취약하므로 온라인 금융거래 이용을 자제한다.