국내에서 시작되어 이젠 그 거점이 중국으로 넘어간 것을오 보이는 피싱사기 수법은 날로 진화하고 있다. 내 주변에도 경찰서를 사칭하거나 우체국을 사칭하는 전화를 받은 사람들이 꽤 많다. 그중에는 어찌나 정교하고 교활하던지 깜빡 속아 넘어갈 뻔한 사람도 있다. 결코 그리 어수룩한 사람이 아닌데도 말이다.
최근엔 인터넷을 이용한 피싱이 유행하고 있다. 최근 내게 날아온 피싱시도를 따라가면서 그 수법을 한번 살펴보았다.
SMS(문자메시지)를 이용한 피싱 (스미싱) 기법
1. 먼저 문자가 날아온다.
모모은행 혹은 모모카드에서 날아오는데… 보안등급을 승급(?)하라고 날아온다. 전화번호도 실제 모모은행의 콜센터 전화번호다. 이 문자메시지에는 피싱사이트의 URL이 포함되어 있다. 개인정보를 빼내기 위한 피싱 웹사이트의 주소다.
2. 피싱웹사이트 접속 유도.
음..그럴싸하다. 겉으로 보면 영락없는 모모은행 인터넷뱅킹 사이트다. 하지만 이 웹사이트는 분명 가짜다. 하지만 난 다 알고 있다. 그래도 모르는 척~~ 아래쪽의 보안승급 바로가기 버튼을 눌러보았다.
3. 주민번호확인 시도.
이제 본격적으로 개인정보를 빼내려한다. 이름과 주민등록번호를 입력하란다. 미친척하고 입력해봤다. 어차피 내 주민번호는 유출된지 오래일테니.. 이정도 희생도 없이.. 다음단계의 화면을 어찌 볼 수 있단 말인가..ㅋㅋ
4. 보안카드 정보 입력 요구.
아.. 이제 계좌번호에 비밀번호..그리고 보안카드 일련번호와 보안카드의 35개 번호까지 입력하란다. 음..이걸 입력하는 사람이 있다는게 신기하지만 100명중 한명만 입력해도 성공일테니 피싱사이트라는 그물을 쳐놓고 그물에 걸리는 사람을 끈질기게 기다리는 것일테다. 낚시(피싱)라는 말이 딱 어울리는 그런 수법이다.
피싱사이트 확인 방법
피싱사이트인지 아닌지를 식별하는 것은 그리 어렵지 않다. 피싱사이트는 개인정보를 빼내기 위한 가짜 사이트이기 때문에 해당 화면의 모든 메뉴를 실제 사이트와 똑같이 만들지는 않는다. 예를 들면 다음화면과 같은 경우다.
보안 승급하라고 문자가 왔는데 “안전승급”이라는 엉뚱한 말을 썼다. 게다가 “고객상담” 메뉴를 눌렀는데 “안정승급” 후 사용하란다. 고객 상담과 안전승급이 무슨 관계인가?? 게다가 다른 메뉴를 마구~눌러보면 계속 “안전승급”하란다. 아마도 모든 페이지를 똑같이 만드는게 너무 힘드니까 대충~~해놓은 것인가 보다.
또 다른 사례는…
위의 화면 처럼 이미지가 깨지는 등 에러가 본래의 웹사이트보다 훨씬 많다. 대부분의 금융 웹사이트는 철저한 관리와 테스트하에 만들어진다. 이미지 URL이 깨지는 등의 에러는 사실 용납되기 어렵다. 따라서 웹화면에서 여기저기 클릭해보고 에러가 있거나 조금이라도 어색한(?) 움직임의 메뉴가 있다면 피싱사이트로 의심하는 것이 좋다.
그리고 가장 중요한 구별법은 바로 URL과 에러 화면의 타국어 표시 여부다.
해당 피싱사이트를 여기저기 눌러 돌아다니다 보니 에러가 표시되는 화면이 있었다. 근데 뜬금없이 한자로된 에러 페이지가 나왔다. 국민은행이 언제 중국으로 이사갔었나..?? 이는 100% 피싱 사이트가 중국에 있다는 이야기다.
그리고 URL….
금융사들은 대부분 자신들만의 잘 알려진 URL을 사용한다. 그런데 kbuccard.net 과 같은 유사 .URL은 사용하지 않는다. 인터넷에서 “국민은행”을 검색하여 표시되는 URL과 다른 URL로의 접속을 유도한다면 이는 피싱사이트일 가능성이 높으므로 주의하여야 한다.
안타깝게도 이러한 피싱사이트에 접속하여 금융정보를 사기꾼들에게 탈취당한 피해자가 얼마나 되는지 경찰이나 금융사에서는 공개를 하지 않고 있다. 사실 꽤 많다는 것이 정설이고 이러한 방법이 통하기 때문에 문자가 날아오는 것일 것이다. 하지만 기술적으로 이러한 피싱사이트를 막는 것에는 한계가 있다.
그리고 피싱사이트에 낚여서 피해를 입었다 하더라도 100% 보상을 받을 수 있는 뾰족한 구제책이 없는 것이 현실이다. 개개인이 주의를 기울이는 방법이 가장 효과적인 방법이다.
금융기관은 어떠한 경우에도 비밀번호나 보안카드번호, OTP일련번호 심지어 주민번호를 온전하게 모두 요구하는 경우는 없다.는 것을 명심해야 한다.