▲ 사이버수사대장 경감 류근실

충남 서산에 거주하는 오 씨는 평소와 같이 모 처에 돈을 송금하기 위하여 A은행의 인터넷 뱅킹에 접속하였다.

컴퓨터 화면은 오 씨가 접속하려 하였던 A은행 홈페이지였다. 평소와 다른 점이 있다면 금융감독원을 자처하며 “보안관련 인증절차를 진행하라”는 팝업창이 나타났을 뿐이다.

오 씨는 아무런 의심 없이 금융감독원 팝업창에서 입력 요구 하는 대로 자신의 주민등록번호 등 개인정보와 계좌번호, 보안카드 번호 등 금융정보를 전부 입력하였다. 하지만 더 이상 인터넷뱅킹 절차가 진행되지 않아 인터넷 접속을 끊었다.

이후 사기범은 오 씨 명의로 공인인증서를 재발급 받아 인터넷 뱅킹으로 오 씨 계좌에서 3천만 원을 빼내갔다. 오 씨는 이른바 ‘파밍“사기를 당한 것이다. 이러한 ‘파밍’ 사기는 2015년 충남·세종 지역에서 460건이나 발생하였다.

이와 같은 가짜사이트 접속 유도(파밍) 사기는 기본적으로 사용자의 컴퓨터에 악성코드가 감염되어 있었음을 의미한다.

사용자의 컴퓨터에 숨어있던 악성코드가 인터넷 뱅킹을 시도하는 순간 작동하여 가짜 금융 기관 사이트로 연결시켜 위 사례와 같이 “보안관련 인증절차”등의 사유로 사용자의 개인정보와 금융정보를 알아내고, 이를 이용하여 사용자 명의로 공인인증서를 재발급 받아 계좌에 있는 금원을 범행 계좌로 빼내가는 수법이다.

이러한 피해를 당하지 않기 위해서 가장 중요한 것은 보안카드 번호 전부를 절대 입력하여서는 아니 된다. 아울러 사용자의 컴퓨터에 악성코드가 감염되지 않도록 출처불명의 파일이나 이메일 등을 함부로 내려 받거나 열어보지 않아야 하며, OTP(일회용 비밀번호 생성기), 보안토큰(비밀정보 복사방지) 사용을 일상화 하여야 한다.