E D R , A S I H C RSS

전기통신금융사기

경고 : 이것은 대한민국에서 불법입니다.

이 문서는 대한민국 내에서 현행법상 불법으로 지정되어 금고 이상의 형에 처해지는 범죄를 다룹니다. 대다수의 이러한 범죄 행위는 자기 자신, 타인의 신체적, 정신적, 금전적 피해를 끼칠 가능성이 있습니다.

대한민국에서 불법인 사항은 해외에서도 불법일 가능성이 매우 높으며, 특정 행위가 해당 국가에서 불법이 아니더라도 대한민국 국적자는 속인주의 원칙에 의하여 귀국시 대한민국의 형법에 의해 처벌받을 수 있습니다. 또한 대한민국 국적자가 대한민국에서 범죄를 저지르고 해외로 도피했다면, 범죄인 인도조약에 의하여 해외에서 체포될 수 있으며, 대한민국으로 송환되어 대한민국에서 처벌받을 수 있습니다.

또한 이 문서 내용을 따라할 시에는 모방범죄가 되어 해당 법률에 의해 처벌 받을 수 있습니다. 대한민국 정부와 리그베다 위키에서는 이로 인해 발생하는 작성자 또는 열람자 개인의 모든 법적 문제에 대해 어떠한 책임도 지지 않습니다. 따라서 본 문서에서 서술하는 내용은 절대로 따라해서는 안 됩니다.

본 문서에서 해당 범죄 행위에 대한 내용을 편집할 때에는 범죄에 대한 반면교사가 될 수 있는 해설의 의미로서 올려주시기 바랍니다. 자세한 범죄에 대한 묘사나 자세한 범죄 방법 등의 서술은 모방범죄의 우려가 있으므로 절대적으로 금지됩니다. 이러한 행위는 형법 제31조 및 제32조에 의거, 대한민국 경찰 또는 검찰에 의하여 범죄 교사 및 방조로 판단되어 처벌 받을 수 있으므로 절대로 기재하여서는 아니됩니다. 리그베다 위키는 이로 인해 발생하는 작성자 개인의 모든 법적 문제에 대해 어떠한 책임도 지지 않습니다.

간혹 금고 이상의 범죄 중 본 틀이 없기도 하나, 이는 해당 행위를 개별적으로 규정한 조항이 없다는 의미일 뿐, 해당 행위가 범죄가 아님을 의미하지 않습니다. 이 경우 문서 상단의 '상위 문서'나 본문 내의 '처벌' 등의 문단을 참조하여 주십시오.

형법 제347조 (사기) ①사람을 기망하여 재물의 교부를 받거나 재산상의 이익을 취득한 자는 10년이하의 징역 또는 2천만원이하의 벌금에 처한다.<개정 1995.12.29>
②전항의 방법으로 제삼자로 하여금 재물의 교부를 받게 하거나 재산상의 이익을 취득하게 한 때에도 전항의 형과 같다.
제351조(상습범) 상습으로 제347조 내지 전조의 죄를 범한 자는 그 죄에 정한 형의 2분의 1까지 가중한다.
제352조(미수범) 제347조 내지 제348조의2, 제350조와 제351조의 미수범은 처벌한다.
제353조(자격정지의 병과) 본장의 죄에는 10년 이하의 자격정지를 병과할 수 있다.
제354조 (친족간의 범행, 동력) 제328조와 제346조의 규정은 본장의 죄에 준용한다.


yotsuba.jpg
[JPG image (64.26 KB)]


nigerian-prince.jpg
[JPG image (73.94 KB)]


"얘야, 이 나이지리아 왕자[1]가 도움이 필요하다는구나. 게다가 이걸로 돈도 좀 벌 수 있을 것 같아"

남녀노소를 가리지 않습니다.


스마트폰, 일반전화, PC 등의 통신매체를 이용한 금융사기. 보통은 상황에 따라 보이스 피싱, 스미싱등으로 불리지만 이 항목에선 이 모든 것을 통칭하는 법적 용어인 '전기통신금융사기'로 부르기로 하자.

컴퓨터사용사기죄와는 헷갈리지 말자. 컴퓨터사용사기죄는 컴퓨터등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력·변경하여 정보처리를 하게 함으로써 재산상의 이익을 취득하는 범죄이다.

Contents

1. 보이스 피싱
1.1. 알려진 유형들
1.1.1. 기본 레퍼토리
1.1.2. 전후 맥락까지 활용하는 지능형
1.2. 남은 이야기
1.3. 방문 피싱
2. 메신저 피싱
3. SMS 피싱
4. 파밍
5. 메모리 해킹, 그리고 끝없는 진화
6. 스미싱

1. 보이스 피싱

Voice Phishing. 외국에서는 두 단어를 합쳐서 Vishing이라고 부른다.

한국에선 장난삼아 Boys Fishing이라고 부르기도 하는데, 재밌는건 실제로 phishing이란 단어는 fishing의 f를 발음이 같은 ph로 바꿔서 만든 말이라는 것.[2]철자부터가 낚시

2006년 6월 이후 한국에서 급증한 범죄로 불특정 다수에게 전화를 걸어 당황하게 만든 다음에 계좌이체를 유도하는 사기범죄이다. 이 방식으로 돈을 입금해 생활비나 등록금 등 중요한 돈을 사기당한 노인과 대학생이 자살하는 사건까지 있었을 정도로 사회적 여파는 심각하다.
공권력은 이렇게까지 피해가 심해지는데도 별 수가 없다고 팔짱놓고 있고 개인정보는 계속해서 마구털리고 개인정보를 노출한 기업들은 솜방망이 처벌만 받고있다. 그야말로 헬게이트이다.
경험많은 법의 전문가(모 지방법원 법원장)도 보이스 피싱에 피해를 입었다.

일본에서는 대한민국보다 앞선 시기인 2004년부터 "오레다 오레"(俺だ、俺 ; "나야 나.") 전화사기가 유행하여 사회문제가 되었던 적이 있다. 주로 노인들에게 전화를 걸어 "나야 나"라고 이야기를 꺼내서 마치 자식인 양 속인 다음 "사고를 일으켜 합의금이 필요하다", "뭔가를 구입하는데 급전이 필요하다"는 등의 이야기를 하여 지정된 계좌로 송금하게 만드는 방식이었다. 오레오레사기(オレオレ詐欺), 후리코메사기(振り込め詐欺) 등의 용어로 불린다. 청력이 좋지 않은 노인들의 경우 자녀의 목소리를 잘 분간못하는데다 충격적인 소식을 들었을 때 판단력이 극도로 나빠진다는 것을 악용한 사기이다.

이것이 국내 사정에 맞게 한글화로컬라이징을 거치면서 현재의 보이스 피싱이 된 것으로 추정하고 있지만 사실 이것도 하나의 가설에 불과하다. 어쨌든 초창기 보이스 피싱은 오레다 오레 전화사기와 유형이 거의 비슷했다.

원래 한국발 보이스피싱의 원조는 대만이다. 처음에 2004년 대만에서 등장하여 극성을 부렸으나, 대만 경찰의 강력한 단속으로 대만내 현지 활동이 힘들게 되자 2006년 6월 한국으로 옮겨왔다. 때문에 초창기 보이스피싱은 현재의 중국보다 대만과 엮이는 경우가 많았다. 대만 사법부에서 한국과 공동 소탕을 제의했으나 한국은 대만이 어디있는 나라임 하고 씹어버렸다. 사실 이는 한국과 대만이 수교국이 아니기 때문이다. 원래는 수교국이었지만 1992년 한국이 중국과 정식 수교를 맺게 되면서 2개의 중국을 인정하지 않는다는 방침 때문에 1993년에 수교가 끊어진 것.

초창기에는 소수 사람들끼리 벌이는 범죄에 가까웠으나, 이게 돈이 된다는 것이 널리 알려진 2007년 이후로는 바다 건너 대륙에 아예 사업장이 생겨버렸다. "한국말 할 줄 아는 사람들"[3]을 대거 고용하여 불특정 다수에게 전화를 건 다음 거액의 돈을 쓸어담는 상황까지 번졌다. 그리고 이런 사업장들은 대륙으로 건너간 한국인이 운영하며 현지인들을 고용하는 경우가 많다고 한다(...). 또 이체된 계좌는 대포통장인 경우가 수두룩했기 때문에 계좌를 추적해봤자 엉뚱한 사람만 잡는 꼴이었다. 실제 말단조직원들만 체포되었을 뿐, 중추조직은 제거하지 못하였다고 언론에서 허구한 날 까댔다. 게다가 사기를 통해 이체된 돈이라도 단순히 지급정지만 걸 수 있을 뿐 계좌 소유주와의 협의를 거치지 않고서는 돌려받는 방법이 없었기 때문에 수많은 사람들의 공분을 사기도 하였다.

이러한 범죄가 심각한 문제로 대두되어 정부와 언론, 사법당국에서 관심러시를 시전하며 대대적인 홍보를 시작하였고, 보이스 피싱이 노리는 허점들을 하나둘씩 뜯어고쳤다. 그리고 학습효과를 거친 사람들이 입소문을 통해 각종 유형들을 공유하면서 서서히 보이스 피싱으로 인한 피해는 줄어들고 있다지만… 글쎄.

실제 보이스 피싱 자체가 널리 알려진 이후로는 사람들이 사기치려는 사람들을 오히려 데리고 노는 경지에 올라 여러차례 인터넷 게시판에 올라오기도 하였다. 게다가 어눌한 말투나 한국에서는 쓰지 않는 어휘를 사용하면서 오히려 당하는 사람을 웃게 만들기도 했다. 이런 사람들에게 대포통장 발급하고 오히려 이체된 돈을 먼저 빼돌리는 범죄도 나왔다. 보이스 피싱을 하려는 사람에게 미트스핀 사이트에 개인정보가 있다며 속인 유머도 있다.# 사실이라면 은근히 통쾌하다(...) [4]여튼 점점 보이스 피싱으로 인한 수익이 떨어지면서 줄어들고 있다는 것이 중론이며, 그 영향으로 2009년부터는 메신저 피싱이 성행하고 있다.

1.1. 알려진 유형들

1.1.1. 기본 레퍼토리

  • 카드 또는 세금이 연체되었습니다.
    이젠 공과금도 노리는 모양이다. 요금이 미납되었다고 문자가 오더라도 주소를 클릭하거나 쓰여있는 전화번호로 전화하지 말고, 홈페이지를 검색해 들어가거나, 고객센터로 전화해 확인하자.
  • 국세청(또는 세무과)에서 세금을 환급해 드립니다.
    이 때문에 아무리 소액이라도 우편을 보내야 사람들이 응대를 하며, 실제 환급액이 있어도 안찾아가는 경우가 부지기수.
  • 이벤트에 당첨이 되어 상금을 지급합니다.
  • 은행인데 보안 승급을 위해 해당 계좌로 돈을 옮기세요. 혹은 비밀번호를 알려주세요.
    요즘에는 특정 사이트로 계좌 신상을 입력하라는 유형도 존재한다.
  • 은행인데 마이너스 통장을 만들고 싶으면 1번을 누르세요.
    통장을 개설할 땐 반드시 본인이 직접 찾아가야 한다는 걸 알고 있다면, 보이스피싱이라는 것을 바로 알 수 있다.
  • 검찰청 출두요청에 응하지 않았습니다.
  • 안녕하십니까? 우체국입니다. 귀하의 소포(주로 카드)가 반송되었습니다.
    이 보이스 피싱 때문에 우체국이 지출한 행정비용이 상당하다(...)
  • 당신의 계좌가 금융범죄에 노출되었습니다.
  • [도로공사] ○○○ 고객님의 차량이 단속적발 되었습니다 speedcheck 확인후 처리바랍니다
  • 당신의 이름이 도용되어 대포 통장이 만들어졌다.
  • 당신의 아들/딸이 심하게 다쳤다.
  • 당신의 아들/딸을 데리고 있다.
  • 군대에 있는 당신 아들이 다쳤다.
    이 경우는 군인의 개인정보를 이용했다는 점, 그리고 아들의 상태를 제대로 파악하기 어렵다는 점과 아들이 상대적으로 부상을 입기 쉽다고 생각하는 부모의 심리를 악용했다는 점에서 매우 악질 범죄이다. 피해를 보는 병사들이 늘어남에 따라 군에서도 관련교육을 꾸준히 하고 있으며, 현재는 많이 나아진 편.
  • '여보세요?', '나야', '누구시죠?', '나라고', '……혹시 XXX?', '그래 XXX', '무슨 일이야?', '급하게 돈이 필요해서 그런데(하략)'
  • '목소리 여:안녕하세요 XXO학교에 ㅁㅁ학생의 어머님이십니까? ㅁㅁ학생의 담임입니다. ㅁㅁ이 오늘 학교를 결석했더군요 어쩌구저쩌구...' (잠시후 다시 전화를 걸어) '목소리 남:ㅁㅁ는 내가 데리고있다. 살리고싶다면(하략)'

1.1.2. 전후 맥락까지 활용하는 지능형

  • 당신의 아들/딸이 심하게 다쳤다. + 전화해도 연락 안 됨
    이 경우는 미리 자녀의 휴대폰 번호를 확보하여 열심히 스팸성 전화를 건 다음(…) 자녀가 휴대폰을 꺼 버린 것[5]을 확인하면 그 다음에 부모의 휴대폰으로 전화를 거는 방식이다. 부모가 의심하여 자녀에게 전화하더라도, 통화가 되지 않으므로 범죄자를 신뢰하게 된다.
 
  • 검찰청에 출두하기 바랍니다. + 실제 검찰 관계자 사칭 + 실제 유명 범죄자와의 개연성 확보
    이 경우는 미리 사전조사를 통해 실제 검찰 관계자의 이름 및 인적사항을 확인한 뒤, 실제로 수배중인 유명 금융사기범 등과 피해자를 결부시키는 형식이다. 예를 들어 부산에 살고 있는 피해자에게 "부산 출신의 금융사기범 홍길동 씨를 아십니까? 당신이 해당인과 관련이 있다는 첩보가 입수되어 수사중입니다. 협조 부탁드립니다." 와 같은 식으로 거짓말을 하는 방식이다. 피해자가 의심하여 인터넷에 관련 사항들을 조회하더라도 전부 실제 검찰에서 조사중인 사안으로 나오므로, 그리고 같은 고향 출신이라는 점 등이 마음에 걸리게 되므로 범죄자를 신뢰하게 된다. 심지어 《시사인》의 현직 사회부 기자조차 이 트릭에 간단히 속아넘어갔다! #[6]
 
  • 대출 가능하시니 개인정보 부탁드립니다. + 실제 대출기관 문의 경험자를 대상으로
    이 경우는 실제로 대출기관에 문의했던 고객들의 명단을 입수하여, 마치 뒤늦게 대출심사에 합격한 것처럼 위장하여 사기를 치는 형식이다. 실제 본인이 대출기관에 심사를 문의한 경험이 있고, 뒤늦게 합격을 알린다며 기쁨과 죄송함이 교차하는 목소리가 들려오므로 피해자는 범죄자를 신뢰하게 된다. 보이스피싱을 수사하던 전직 경찰관이 자신의 범죄에 고스란히 써먹은 수법. #
 
  • 당신의 계좌가 금융범죄에 노출되었습니다. + 정교하게 만든 가짜 사이트 유도
    이 경우는 단순히 거짓말을 하는 것 이상으로, 통화 중에 가짜 은행/관공서 사이트의 주소를 일러주면서 그쪽으로 접속하게 유도하는 방법이다. 가짜 사이트라고는 하지만 그야말로 깔끔하고 그럴듯하게 구성해 놓으므로 피해자는 범죄자를 신뢰하게 된다. 절대 허술한 웹 디자인에 명조체의 번역체 문장들이 있는 게 아니다! 오히려 직관적이고 연푸른색의 근사한 디자인이라서 더욱 믿을 만해 보인다.[7] 역시나 이 경우에도 보안카드 전체 번호를 입력하는 순간 피해자의 통장은 텅텅 비게 된다.

1.2. 남은 이야기

간혹 황당한 경우도 있는데, 아들이 군복무 잘 하고 있는데 아드님이 차사고가 나서 여기 쓰러져있다던지 당신의 아들을 데리고 있다! 하는 무뇌스러운 피싱전화가 오기도 한다. 제대로 병크. 덤으로, 명의는 부모님인데 부모님이 안써서 자식들이 휴대폰 대신 쓰는 경우에는 네 자식을 납치했다. 들으면 아주 판타지 스러운 느낌이다. 그리고 외동인 자식 집에서 컴퓨터 하고 있는데 이런 전화 왔다고도 하고.[8] 간혹 번호는 '국제전화입니다' 및 발신번호 표시 제한으로 뜨는데 관공서를 사칭하는 전화도 있다. 발신번호를 조작하는 경우도 있으니 주의할 것. #* 프록시 결국 방통위는 발신번호 조작을 차단한다고 한다.

경찰이나 은행, 검찰이 전화로 당신에게 계좌 정보를 요구할 일은 있을 수가 없다. 이 사실만 명심해도 99%의 보이스피싱은 방지할 수가 있다. 그리고 요즘에는 발신번호를 교묘하게 조작해서 관공서를 사칭하는 일도 있는데, 전화번호 믿지 말고 정 의심되면 은행 본사나 경찰청에 직접 전화해서 확인해 보자.

또 이런 경우도 있는데, 서울지방경찰청을 사칭하여 무작위로 보이스피싱을 시도하던 범인이 실제 서울지방경찰청에 전화하는 경우도 있었다고 한다. 전화를 건 범인은 욕을 하면서(...)끊어버렸다고. 또 다른 사례로는 서울중앙지방검찰청 특수수사부(실제로 이런 곳은 없다) XXX 검사라고 이름을 대며 자연스럽게 전화를 걸었으나 전화를 받은 사람이 서울중앙지방검찰청(...)에 근무하는 검사. 그런데 막상 당하는 사람도 아는 사람인 줄 알고(...) 반갑게 인사했다고.[9] 다른 사례로는 중앙지법 형사 XX단독이라며 전화를 걸었는데 전화받는 사람이 마침 중앙지법 형사 XY단독(바로 옆에 있다) 근무자여서 바로 걸린 사례도 있다고.[10]

경검찰을 사칭하는 전화는 노인들이 가장 감당하기 힘들어 하는 보이스 피싱이기도 하다. 젊은 세대들은 덜하지만 군사정권 시절 막 나가던 경찰을 기억하는 노인들은 경찰에 아직도 공포심을 갖고 있어서 보이스 피싱에 대해 알더라도 막상 경찰을 사칭하는 전화를 받으면 긴기민가 하며 벌벌 떤다. 오죽하면 아들이 경찰을 사칭하는 보이스 피싱에 욕을 하며 끊자 "진짜 경찰이면 어쩌려고 그러냐" 하면서 다음 날 음식을 잔뜩 싸들고 인근 경찰서로 사과하러 찾아간 노인도 있었을 정도.

근래 들어서는 보이스 피싱을 하는 천하의 쌍것들이 보이스 피싱 시도 했다가 면박 당하거나 하면 대상자 개인정보를 가지고 피자나 웹쇼핑 같은 것을 대상자 주소로 주문해서 골탕 먹이는 참으로 천하의 개쌍놈스러운 짓거리까지 나오고 있다고 한다.#기사

훈련이 잘 된 한국인들이 낚이는 빈도가 줄어들자 한동안 뜸하던 문자피싱이 다시 등장하였다고 한다. 사람을 낚는 유형은 보이스 피싱과 유사하지만, 전화를 걸면 강제로 결제가 이루어지게 만드는 형태도 있다. 핸드폰 소액결제 참고.

두시탈출 컬투쇼의 화요일코너인 '기습기습기습 퀴즈'에서 청자이던 한 아들의 요청을 받아 시골에서 농사를 지으시던 그의 아버지에게 전화를 걸어 수 차례 퀴즈 참여를 요청한 적이 있으나, 이내 보이스 피싱으로 오해받고 갑작스레 연결이 뚝 끊겨서 컬투와 김범룡씨가 크게 당황한 적이 있다. 물론 상황이 웃겨서 빵 터졌다. 그렇게 서로 불신이 쌓여 가지. 씁쓸하구먼.

MBC 일요드라마극장에서는 보이스 피싱을 주제로한 단편 드라마 '나야, 할머니'가 방영된 적이 있다.

본격 사기꾼 잡는 만화 검은 사기에도 소개 된 적 있다. 뭐 웬만한 사기는 거의 다 소개되는 만화지만. 작가는 너무 저열한 사기 방법이라 소개하기 싫었을 정도였다고 한다. 범죄의 꽃[11]이라 불릴 정도인게 사기인데 뭣도 모르는 놈들이 간단하게 등쳐먹을려는 사기라 그렇다나. 여기서는 '아들이 사람을 다치게 했다. 피해자의 치료금/합의금이 필요하니 보내라'가 나왔는데 그 전에 아들의 신상을 파악해 미리 아들에게 쓸데없는 전화를 잔뜩 걸어 전화를 꺼놓게 하는 나름 진보된(?) 방법도 나왔다. 실제로도 사용되는 방법이라고.

위 만화에서 소개된 보이스피싱의 대처법으로는 관공서에서 걸려왔다는 전화 중 개인신상정보 요구하는것은 사기라고 보기, 위와 같은 가족 관련 같은것은 그냥 침착하게 행동하면 된다고 소개. 실제로 위와 같은 경우는 '직접 올라갈테니 기다려달라','병원이 어디냐 직접가겠다'등으로 대처하면 된다. 실제로 벌어진 일이라면 그 정도 못 기다려 주는 사람은 없다. 시간없으니 당장보내라 식으로 나오면 보이스 피싱이라고 봐도 무방하다고 한다. 그런 응급환자를 지금 돈을 못 받았다고 병원에서 죽게 내버려 두진 않을것이다.

사실 단순하게 생각을 한다면 뜬금없이 그런 전화가 왔을때 아예 상대를 안하는게 가장 좋은 방법이다. 그리고 나서 학교나 은행에 전화걸어 확인하면 된다.

어느 웹툰 만화가는 보이스 피싱을 받고 진지하게 예,예...답변하기에 이름을 묻자 "정우성인데요." 라고 하자, 어눌하게 말했던 조선족? 중국인이 "야! 나도 정우성은 안다! 어디서 거짓말하냐!"라고 화내면서 끊어버린 적이 있다고...

KBS 2TV의 주말 드라마 넝쿨째 굴러온 당신 52회(2012년 8월 19일 방송분)에서 보이스피싱 관련 에피소드를 다루었다.

개그 콘서트의 코너 황해의 주제가 이 것이다. 이 코너를 맡은 개그맨의 실화를 바탕으로 만들어 졌다고 한다.(...) 방송 이후 폭발적인 반응이 나타나자 코너 출연진들이 경찰청에 초청받았고, 경찰청 사이버테러대응센터에서 실제 사기사례를 제공해 주고 있다.

2013년도 AC 재팬 관서지역 광고에 의하면 보이스 피싱(오레오레 사기) 대책으로는 암호문을 만드는 것이 효과적이라고 한다. #[12][13]

2014년 1월 보이스 피싱을 받은 한 어머니가 "내 아들이면 프리큐어 37명의 이름을 전부 말해 봐라"는 파격적인 방법으로 보이스 피싱을 격퇴시켰다고 한다. 흠좀무. # 보이스 피싱 격퇴까지는 좋은데 아들까지 같이 공개처형

보이스피싱 전화가 어느새 관공서에까지 걸려오는 패기를 보이고 있다. 게다가 위에서 소개했듯 평생 보이스피싱을 수사한 전직 경찰관이 자신의 수사경험을 범죄에 악용하기도 하며 군대에까지 걸려온다.. 뭐야이거 무서워

1.3. 방문 피싱

금융감독원이라 적힌 위조신분증을 들고 가 자신들의 대포계좌를 안전계좌라고 속여 입금하도록 한 피싱사례가 발견되었다.관련 기사

2. 메신저 피싱

2009년부터 국내에서 갑작스럽게 급증한 범죄로, 다른 사람의 메신저 계정에 로그인하여 그 사람을 사칭하여 돈을 이체하도록 유도하는 사기범죄이다.

일단 과거에도 다른 사람의 계정 비밀번호를 따내서 그 사람인척 사칭하고 여러가지 범죄를 저지르는 적은 있었지만, 메신저를 이용한 피싱이 번지기 시작한 계기는 알 수가 없다. 일단 서서히 성공률이 떨어지고 있는 보이스 피싱에 비해서 아직까지 월척을 낚는 확률이 높기 때문에 달라붙은 것으로 보고 있다.

더불어 대한민국의 허술한 보안체계도 일정부분 기여하고 있는 것으로 평하고 있다. 일단 구글링만 해보면 주민등록번호가 수두룩하게 나온다는 점과 각종 사용자 계정 DB가 툭하면 누군가에게 털린다는 문제점이 있다. 게다가 사용자 계정 DB의 비밀번호부분이 암호화되어 있지 않다는 이야기가 공공연하게 떠돌고 있을 정도다. 비밀번호 찾기를 했을 때 임시 비밀번호를 발급해주지 않고, 현재 사용중인 비밀번호가 나올 경우 비밀번호가 암호화되지 않을 가능성이 100%다.[14]

여튼 메신저에 접속해서 등록된 사람들에게 오랜만에 만나서 반가운 척 접촉하였다가 "지금 급전이 필요하니 빌려주면 곧 갚겠다"라는 이야기를 꺼내서 계좌이체를 하도록 유도한다. 보통 다른사람 계좌번호가 올라와서 질문을 하면 "그 사람에게 주기로 되어있는 돈" 등으로 그럴싸하게 둘러대어 상대를 납득시키기도 한다. 더군다나 상대와 직접 만나든지 연락이 닿기 전까지는 사기 사실을 파악할 수 없기 때문에 보이스 피싱보다는 뒤늦게 자신이 당했다고 깨닫게 되는 유형이다. 여튼 사람의 친분과 신뢰관계를 이용한다는 점에서 꽤나 악질적이다.

다만 메신저만으로는 배경정보를 알 수가 없다보니 직장상사나 하늘같으신 선배에게 반말로 친한 척 이야기를 건네는 바람에 들통이 난다거나, 바로 옆에 원래 사용자가 있는데 사기를 치다가 들통이 나는 등의 리스크도 상당한 편이다.

역시 이체를 요구하는 계좌가 대포통장이고 프록시 서버를 이용하는 경우가 많기 때문에 범죄자 색출이 어렵다는 문제가 있다. 이로 인해 메신저에서 금전관련 단어가 나오거나 접속자 IP가 외국일 경우 메신저 피싱 경고 메시지가 뜨는 등의 조치를 취하고 있지만 별 효과는 없는 듯하다. 가끔 "스펠카드" "임신한 여친"와 같은 키워드를 입력해도 메신저 피싱 경고가 나오는 웃지못할 상황이 연출되기도 한다.

네이트온의 경우 사기가 의심될 경우 대화 상대방이 신청하면 공인된 본인인증(휴대폰으로 인증번호 보내기 등)을 할 수 있도록 지원해주고 확실히 상대방이 아닐경우 피싱신고를 하여 그 사람과 대화하는 모든 사람에게 피싱을 주의하라는 문구를 띄울수 있게 해준다.

메신저 피싱을 시도하는 상대에게 역피싱을 해서 돈을 입금받은 전설적인 사례가 기사화된 적이 있다.

일단 현재는 앞에서 누군가 사기치고 있어도 직접 돈을 송금하여 피해를 입지 않았으면 신고가 성립되지 않는다고 한다. 그래서 일단 명목상으로 10원을 송금한 뒤 사기 피해를 입었다며 고소했다는 이야기도 인터넷에 돈 적이 있다. 사실 돈을 송금하지 않아도 사기 미수가 성립하지만 신고를 해도 피해 금액이 없다고 경찰이 무시하는 것 뿐이다. 소액 사기 신고를 경찰이 받아주지 않는 것과 마찬가지. 일각에서는 본인인증을 도입하자는 이야기가 나오고 있는데, 그럼 그 개인정보를 관리할 누군가가 필요하다는 소리다. 오히려 상황을 악화시킬지도 모른다. 또한 이미 개인정보가 많이 유출된 상태라 인증을 악용할 가능성도 있고.

3. SMS 피싱

b0034881_4f8caa31d6175.jpg
[JPG image (232.56 KB)]


영어 : Phishing site
개인정보를 입력하는 순간 지는 거다. 하지만 같은 글자 또는 숫자만 연속으로 쓰면 어떨까? 일명 놀리기

GUIDE의 '선택하십'''쇼가 압권 쇼! 끝은 없는거야 지금 순간만 있는거야

유명 기업이나 국가기관의 웹사이트인 것처럼 위장해서 개인 정보를 탈취하려는 사이트. 페이지를 만드는 구조(소스)가 어느 정도 노출되어 있다는 점을 악용한 것이다.

해외의 경우 이메일을 통해서 "우리 보안 시스템을 업그레이드했으니 개인정보를 다시 입력해주세요" 등의 여러 가지 거짓말로 피싱 사이트로 접속하도록 유도하는 경우가 많은데, 최근 우리나라에서는 은행을 사칭해 '보안승급'하라는 문자메시지로 유도하고 있고, 높은 스마트폰 보급률로 피싱 사이트인 줄 모르고 메시지를 받자 마자 접속해 중요한 정보를 입력해서 피해를 보는 사례가 발생하고 있다.


피싱범이 보내는 메시지는 이런 내용이다. 위 이미지는 국민은행 고객센터 전화번호 1588-9999로 발신번호를 조작해 정말로 국민은행에서 보낸 것처럼 꾸민 가짜 메시지이다.

피싱 사이트가 요구하는 대로 주민등록번호, 계좌번호, 이체 비밀번호, 보안카드 일련번호 등을 입력하면 유혈사태가 일어난다 범인의 손으로 돈을 넘겨주는 셈이다. 피해 사례가 증가하자 주요 은행이 인터넷을 통한 대출 서비스를 중단했다. 국민은행의 경우는 아예 사이트 디자인을 개편하고[15], EV SSL이란 강화된 보안 인증서를 도입했다. 신한은행의 경우 피싱 여부를 확인할 수 있게 로그인 상태창에 사용자가 임의로 입력한 문구가 나오게 하는 서비스를 제공하고 있다. 요즘 웹 브라우저에서는 EV SSL을 적용한 사이트에 접속할 때 주소창의 형태가 변하기 때문에 사용자가 진본임을 알아보기 쉽다.[16] 아래 이미지를 참조하자.


피싱 사이트는 가짜 신원으로 서버를 빌리고 진짜 사이트와 비슷한 도메인을 구입해서 짧게는 몇 시간, 길어야 하루 이틀 정도 운영하다 사이트를 폐쇄하고 잠적하기 때문에 추적이 어렵다.

심한 경우는 멀쩡한 사이트를 해킹해서 피싱 사이트를 만든다.
이런 일이 일어나서는 안 되겠지만 예를 들어 리그베다 위키가 해킹당한다고 하면,

rigvedawiki.net/banking.nonghyup.com/login.php
www.wooribank.com.ubi.ubi.main.jsp.rigvedawiki.net

이런 형태로 주소를 그럴듯하게 변조해서 피싱 사이트를 만들어낸다.

그러니 항상 중요한 정보를 입력할 때는 주소창을 확인하며, 기업의 사이트 주소가 확실하게 기억나지 않으면 구글이나 네이버에서 검색해서 접속하는 것이 안전하다. 물론 파밍이라는 예외가 있다.

그리고 피싱 사이트의 특징이 띄어쓰기가 틀린다거나 어색한 표현이 많이 사용된다는 것이다. 예를 들면 "보안카드번호를 차례대로 입력후 확인선택하십" (...) 이것만이 아니다. 어째 낚였던지 아니면 장난으로 입력하던지 해서[17] 완료(?) 되었다면 나오는 안내가 "보안카드 승급이 정상적으로 완료되습니다." (...) 참고.진짜 개인정보를 입력했다면 확실히 '엿'된 거긴 하겠지만...

최근에는 아예 스마트폰 사용자만을 노린 모바일 피싱 사이트가 발견됐다. 고만해 미친놈들아

한국인터넷진흥원에서는 피싱 사이트를 신고할 수 있는 창구를 운영하고 있다. 주소는 http://www.boho.or.kr/ 이며, 접수가 완료되면 신고자에게 확인 전화를 한다.[18] 여기선 국내는 물론 외국 사이트의 피싱 식별법도 알려주고 있으니,[19] 해외 사이트를 자주 이용한다면 알아두자.

관련항목 : SSL

4. 파밍

컴퓨터에 악성코드를 설치하게 한뒤 은행사이트 접속시 자신들이 개설해놓은 사이트로 강제로 접속하게 한뒤 보안카드 번호를 입력받아 돈을 빼가는 수법이다. 하지만 통장에 돈이 한 푼도 없다면 어떨까?

포털 사이트에서 은행의 주소를 검색해서 들어가거나 포털 사이트 홈 자체에서 금융감독원 창이 뜨거나[20] 직접 주소창에 올바른 주소를 입력해도 컴퓨터에 심어진 악성코드가 DNS변조, host파일 변조를 통해 자동으로 피싱사이트로 연결해 버린다.[21] 예방 방법으로는 보안패치를 하고 백신을 설치하며 컴퓨터 관리를 잘 하는것이다. 단, 이미 악성코드에 감염되었다면 V3, 알약 등은 백신 실행이 안 된다. etc파일 덮어쓰기나 마이크로소프트 Fix it로 호스트 값을 기본값으로 되돌려보고도 안 된다면 시스템 복원으로 감염 전 날짜로 돌려보는 걸 권한다.이 마저도 안 되거나 복원 날짜를 감염 이전으로 선택할 수 없으면 포맷하라는 하늘의 계시로 받아들이자

국민은행처럼 평상시에 자물쇠 모양과 함께 파란색으로 변하던 주소 표시줄이 평상시와 다르다면 100% 피싱사이트다. 아무것도 입력하면 안된다. 다른사이트도 EV SSL좀 쓰라고!! 진짜 사이트라면 공인인증서 로그인창이 뜬다. 거기서 자기 이름이 있는 공인인증서를 확인해야 한다. 이렇게 로그인하지 않는다면 100% 가짜다.

5. 메모리 해킹, 그리고 끝없는 진화

위 항목의 파밍보다 한단계 진일보한 수법. 2013년 7월경부터 피해가 보고되기 시작했다.

파밍이 가짜 은행 사이트를 만들어 접속을 가로채는 수법이라면, 메모리 해킹은 아예 악성코드를 피해자의 컴퓨터 메모리에 심어놓고, 진짜 은행 사이트에 접속하였을 때 메모리의 조작으로 보안카드 번호 입력에서 일부러 오류를 일으켜 피해자가 보안카드 번호 재입력을 반복하게 만든다. 이렇게 해서 보안카드 번호를 일정 부분 이상 탈취하게 되면 그 정보로 피해자의 계좌에서 돈을 인출해가는 수법#.

진짜 은행 사이트에 접속했고 보안카드 번호도 정상적으로 2개만 입력하게 되기 때문에 보안전문가가 아니라면 100% 당할 수밖에 없는 상황이다. 피해를 줄이기 위해서는, 보안카드 입력시 이상하게 오류가 발생한다면 두세 번 정도의 시도 후에 메모리 해킹을 의심해보고, 이후 따로 은행 측에 문의해 보는 수밖에 없을 듯.

또한 인터넷 뱅킹시 계좌번호를 변경하는 악성코드가 등장했다.# 이체금액이 송금되는 계좌번호를 공격자의 계좌번호로 이용자 몰래 바꿔 버리는 수법이다. 게다가 이용자의 잔액이 공격자가 설정한 기준에 미치지 못하면 이체금액도 그에 맞게 수정한다! 보안카드가 털리지는 않는다는 점에서 다행이라면 다행이겠지만, 오히려 이 때문에 금융기관에서는 정상적인 이체 사례라고 생각하게 된다. 이것도 보안전문가가 아니라면 100% 당하는 수밖에 없는 수법이며, 일반인들은 애초에 악성코드의 유입 자체를 원천적으로 "철저하게" 차단하는 수밖에는 없다.

하여간 사람들이 나쁜 쪽으로는 무지막지 똑똑하다. 그러라고 보낸 대학교가 아닐 텐데?

6. 스미싱

Smishing-android.jpg
[JPG image (147.88 KB)]


안드로이드 기반 스마트폰에 악성앱을 깔게 한뒤 소액결제 인증번호를 빼돌리는 수법이다. 한국 뿐만 아니라 전세계적으로 이슈가 되고 있는 문제지만, 유독 안드로이드 사용률이 높은 한국에서 피해 사례가 더 속출하고 있다.

카카오톡 등의 어플 개발자를 사칭하여 어플 업데이트라며 거짓 문자를 보낸 뒤 링크를 클릭하면 악성코드가 심어져 소액결제가 되는 일이 있다. 실제로 어플을 업데이트 해야한다면 대부분 업데이트 알림이 뜨기 때문에 어플 개발자는 굳이 문자 메시지로 업데이트를 고지해야 할 이유가 없다. 따라서 어플 업데이트 문자가 날아왔다면 스미싱으로 의심해봐야 한다.

다른 유형으로는 지인을 사칭하여 문자를 보내고 돌잔치, 청첩장같은 앱으로 위장하여 악성코드 설치를 유도한다. 일단 설치되면 본인도 모르게 전화번호부에 있는 모든사람에게 스미싱 문자를 발송한다. 이러한 유형의 스미싱은 아는사람의 번호로 오기때문에 사기 당하기 쉽다. 따라서 추가적인 확인이 필요하다.

그 외의 몇 가지 스미싱 유형. URL은 이해를 돕기 위해 리그베다 위키의 URL을 사용하였기 때문에 실제로는 클릭해봐야 아무것도 안 나오니 오해하지 말자.

그 외에도 무수히 많다. 위의 사례들은 대표적인 몇 가지 사례들일 뿐이다. 이런 문자들에 있는 URL은 문자사기일 가능성이 높다. 즉, 위의 문자들에 있는 http://rigvedawiki.net/r1/wiki.php/어쩌구저쩌구 ←이걸 클릭하면 악성코드에 걸린다는 것.

또한, 불분명한 발신자의 문자에 담긴 URL 역시 문자사기일 가능성이 높다.

이것을 막기 위해서는 폰의 환경설정으로 들어가서 보안 항목에 있는 "알 수 없는 출처"에 체크된 옵션을 해제하면 된다. 이 방법을 사용하면 구글 플레이 스토어를 통해서만 앱 설치가 되기 때문에, 위의 링크를 눌러도 앱 설치가 되지 않는다. 단, 이 방법을 사용하면 일부 서드파티 앱스토어는 쓸 수 없고, 웹을 통한 apk 파일 설치도 안 된다. 즉, 안드로이드의 장점으로 여겨졌던 부분을 죄다 포기해야만 안전해질 수 있다. 다른 방법으로는 구글 플레이에서 스미싱 차단용 앱, 백신 등을 설치하는 것이다. 그 앱들이 안전한지는... 묻지 말자 그리고 스미싱 앱이 그 앱으로 위장하겠지
이 문제는 안드로이드에서만 발생하는 문제로, iOS에서는 발생하지 않는다. iOS 특성상 앱이 설치되는 경로는 애플에서 제공하는 앱스토어 단 한 군데 뿐으로, 문자메시지나 카톡 링크 같은 다른 경로를 통해 앱을 설치하는 것이 원천적으로 봉쇄되어 있다. 물론 iOS 또한 탈옥버전 이라면 이러한 수법에 당할 수 있다. 하지만 아이폰의 탈옥앱들 또한 마개조를 하지 않은 이상 시디아를 거쳐야 하고, 무엇보다 안드로이드는 루팅 안한 순정상태에서도 당한다. 즉 iOS를 사용하는 아이폰 유저는 정말 작정하고 걸려들지 않는 이상은 이 문제에서 자유롭다. 스미싱 문제는 정확히 말하면 해킹급도 못되고이라기 보다는 여러 경로로 앱을 설치할 수 있는 안드로이드의 개방적인 환경을 악용하는 것이다. 따라서 보다 폐쇄적인 블랙베리iOS 기기에선 당하고 싶어도 어렵다.

만약에 실수로 설치했다면, 안쓰는 문자가 다 소비됐으니 좋다고 생각하고 앱 관리를 둘러보자. 분명 원래 깔려있던 앱을 사칭하는 앱이 깔려있을것이다.[23] 원래 설치된 앱이랑 구분하는 방법은 들어갔을 때 '사용 중지' 가 뜨면 기본앱, '삭제' 가 뜨면 사칭앱이니 그 누구보다 빠르게 난 남들과는 다르게 제거하자. 제거가 안된다면 기기 관리자가 활성화 되어있을 확률이 높으니 해제하고 다시 삭제하면 해결된다! 복잡하면 그냥 백신을 돌리는것도 좋다.[24]어베스트가 스미싱을 잘 잡는다 카더라 공장초기화 하면서 전화번호랑 설치한 앱을 다 날리는거보다 훨씬 낫다

인터넷뱅킹, 스마트폰뱅킹, 폰뱅킹을 하지말자. 스마트폰 사두고 할 수 있는게 없잖아...
왜 없어? 지금 하고있잖아
은행창구 가서 직원과 두런두런 이야기를 나누며 은행을 이용해보자
그런데 은행은 오후 4시~7시면 문을 닫잖아? 윗분이 조퇴를 안시켜주니 우린 안될거야
그냥 피쳐폰 쓰자
----
  • [1] 자신을 나이지리아 연방공화국(...) 출신의 왕자라고 밝히며, 유전에 투자하는 걸 도와달라는 유명한 내용의 피싱 메일을 말하는 것이다.
  • [2] 비슷한 예로, 원거리 통신을 해킹해 무료 전화를 사용하는 행위를 phreaking이라고 한다. 역시 freaking의 변형 형태.
  • [3] 과거에는 보이스웨어나 조선족을 이용했는데 현재는 안먹히는 것을 알고 더 잘하는 사람을 고용한다고 한다. 특히 한국에서 범죄를 저지르고 중국으로 도망간 공무원들이 일명 시나리오 작업을 한다고한다.
  • [4] 단, 요즘은 범죄자 쪽에서도 익숙해져서 그런지 아니면 별의 별 싸이코 놈들까지 돈 벌려고 보이스 피싱에 뛰어들어서 그런지 이런 식으로 역관광을 시키면 나중에 진짜로 보복하는 경우도 있다! 그냥 무시하고 상대하지 않는 게 제일이다.
  • [5] 자녀가 학생일 경우 범인들은 계속 전화를 걸어서 수업시간에 전화벨이 울리도록 한다. 결국 자녀는 수업시간에 전화벨이 울려 휴대폰을 빼앗기는 상황을 방지하기 위해 전화를 끄게 된다.
  • [6] 다만 2014년 시점부터 일상에 여유를 잃은 사람들이 많아져서 경찰이라도 기사내용처럼 고압적으로 다그치면 " 말하는 투가 왜 그 모양이냐 당신이 직접 와서 물어봐라" 하고 화내면서 전화를 끊는 사람들이 많아졌다고.
  • [7] 이 경우는 허위백신의 경우와도 유사하다. 허위백신들은 피해자의 신뢰를 얻기 위해 은백색에서 파란색의 색조, 그리고 간명한 디자인을 적극적으로 활용하는 경우가 거의 대부분이다.
  • [8] 자식이 집에 있는것을 알고있음에도 불구하고 아들이 납치됐다는 전화를 받자 순간 당황하여 사기를 당할뻔한 사람도있다.
  • [9] 사실 중앙지검이 워낙 크다보니 같은 중앙지검에 근무해도 모르는 사람이 있을 수 밖에 없으니 일단 인사하는 게 당연하지만....
  • [10] 보통 단독재판부는 단독재판부끼리, 합의부는 합의부끼리 같은 사무실에서 파티션 나눠놓고 사용한다.
  • [11] 가장 지능적이고 계획적인데다가 잡기도 힘든 범죄니까
  • [12] 카피 - 사기꾼 : 여보세요. 내다. 타론데. / 어머니 : 타로가? / 사기꾼 : 곤란하게 됐네예. / 어머니 : 뭐라도 해줘야겠는데... 그 전에, 옛날에 키우던 개 이름은? 엄마가 좋아하는 개그는? / 사기꾼 : ? / 어머니 : 너, 타로 아니지? / 사기꾼 : 이크~ / NA : 관서에서 오레오레 사기(보이스피싱) 급증중! (약 8억 4500만엔; 무려 6배!) 부모와 자식이 정하는 비밀문구! / 어머니 : 엄마가 좋아하는 개그는 눈썹 펑!
  • [13] 이 광고에 등장하는 광대 복장의 캐릭터는 도톤보리 강 번화가에서 명물로 취급받는 "구이다오레 인형(食い倒れ人形)"이다.
  • [14] 보통 비밀번호 암호화는 암호화된 비밀번호를 원래의 비밀번호로 복원이 불가능한 암호를 사용한다.
  • [15] 물론 피싱범도 바보가 아니라서 새 사이트 디자인에 맞춰 피싱 사이트를 만들었다.
  • [16] 하지만 우리나라에서는 국민은행처럼 EV SSL을 도입한 곳이 드물고, 대부분 금융기관은 ActiveX로 대표되는 플러그인 위주의 보안 방식을 사용하고 있기 때문에 주소창의 모양이 바뀌지 않는다.
  • [17] 아무거나 입력해도 넘어가진다!
  • [18] 국내에서만 접속 차단을 하므로, 세계구를 대상으로 하는 사이트를 발견하면 구글 같은 곳에 신고하자.
  • [19] 아래 피싱 메일이나 게시글의 특징을 읽으며 된다.
  • [20] 로그인 창이나 실시간 검색 순위가 그림판에서 jpg 형식으로 저장한 것처럼 화질이 좋지 않고 닫기 창을 눌러도 닫히지 않는다.
  • [21] 포털 사이트의 경우 홈 화면만 그렇고 블로그나 카페 등 다른 서비스 주소에선 정상적인 이용이 가능하다.
  • [22] 실제 URL은 한글을 숫자로 바꾸면 된다. 그렇다고 직접 들어가보지는 말자. 특히나 안드로이드 기반 스마트폰일 경우에는 더더욱.
  • [23] 예를 들면 Chrome 이라던지...
  • [24] 물론 이때도 기기관리자를 수동으로 풀어줘야 하는 경우가... 낚시앱 찾아주는것만 해도 고맙지않나

Valid XHTML 1.0! Valid CSS! powered by MoniWiki
last modified 2015-04-05 04:21:53
Processing time 0.5932 sec