카드회사 사칭 스미싱의 덫에서
자신을 지키는 방법
발신 문자에 신용카드회사 안심마크와 공식 채널로 진위 확인.
카드회사를 사칭한 스미싱 문자가 빈번하다.
실제로 내가 사용하는 카드회사 이름으로 3월과 지난해 12월에 해외 결제와 카드 발급의 스미싱 문자를 3차례 받았다.
내가 받은 카드회사 사칭 스미싱 문자 3건(2024년 3월, 2023년 12월 2건)
카드사를 사칭한 스미싱 문자의 특징은 문자 내에 앱 설치를 유도하는 url 링크가 포함되어 있지 않다. 대신 ‘연락 달라’는 전화번호를 포함하는 방식이다.
카드회사 홈페이지 공지사항을 확인해 보니, 카드 접수 신청, 배송, 발급, 개설 확인을 내용으로 하는 카드사 사칭 문자메시지 사례를 알리고 있다. 해당카드사는 카드 신청ㆍ발급, 피해 신고 접수 등의 이유로 카드 앱 설치를 유도하거나 금융정보를 요구하지 않는다고 밝혔다. 사칭 문자메시지의 상담센터나 발신처로 회신하지 않도록 각별한 주의를 당부하고 있다.
최근 언론기사에 의하면 국외 번호로 오던 사기 문자가 이제는 실제 카드회사 고객센터와 유사한 번호로 온다고 보도하고 있다. 이런 사기 문자는 결국 악성 앱을 설치하도록 유도하고, 이로 인해 많은 사람들이 피해를 입는다.
스미싱이란 문자메시지(SMS) + 피싱(Phishing)의 합성어
악성앱 주소(url)가 포함된 휴대폰 문자(SMS)나 연락을 유도하는 휴대폰 문자를 대량 전송 후 이용자가 클릭하도록 유도하여 금융정보, 개인정보 등을 탈취하는 금융사기를 말한다.
언론 보도와 유튜브에서 경험담을 소개한 영상에서 피해 입는 과정을 보면,
문자메시지에 기재된 전화번호로 연락을 하면 명의 도용이나 범죄 연루 가능성을 언급하며 경찰에 신고해 주겠다고 제안한다.
잠시 후 금융감독원 직원, 경찰청, 검사, 수사관 등을 사칭한 사기범이 전화해 계좌가 범죄에 이용되었다며 원격조정 앱, 개인정보 탈취 프로그램 등 악성 앱 설치를 유도한다.
사기범은 휴대폰을 원격조정으로 신용카드 대출 실행과 이체를 확인 등의 명목으로 비밀번호 입력을 유도 후, 다른 계좌로 돈을 이체하게 한다.
악성앱 등으로 피해자의 개인정보 탈취해, 개인정보를 가지고 대포폰을 개설 후 비대면 계좌개설 및 비대면 대출로 금전을 편취하는 등 다양한 형태로 금융사기가 이루어 진다.
스미싱인지를 판단하려면
1. 안심마크가 있는지 확인한다. 안심마크 있는 문자로 스미싱 여부를 판단할 수 있다
카드회사는 문자메시지에 'RCS 안심마크(확인된 발신번호)'를 표시한다.
RCS 마크는 회사 공식 로고, 기업명 등이 포함되어 있다.
신용카드사 안내한 정상 문자와 스미싱 문자의 차이 (출처 : 삼성카드 홈페이지)신용카드사가 보낸 문자와 스미싱 문자를 비교해 보았다. 스미싱 문자에는 안심마크가 없다.
카드회사에서 보낸 안심마크(확인된 발신번호)가 표시된 정상 문자와 카드사를 사칭한 스미싱 문자의 비교RCS 안심마크
RCS(Rich Communication Suite) 안심마크는 문자메시지(SMS)를 업그레이드한 RCS 메시지에 부여되는 인증 마크다.
통신사와 KISA 같은 공인인증기관의 엄격한 검증을 통해 신뢰할 수 있는 기관에만 부여된다. 메시지 변조를 방지해 사용자 정보를 안전하게 보호한다. 주로 금융회사, 정부기관, 통신사 등이 이 마크를 사용한다. 안심마크는 RCS 기능을 지원하는 기기에서 자동으로 작동해 사용자에게 안전하고 편리한 메시징 환경을 제공한다.
2. 신용카드 회사 공식 채널로 확인한다.
신용카드 뒷면에는 기재된 고객센터 번호로 연락해 진위여부를 확인한다. 카드회사 공식 홈페이지나 앱을 통해 확인한다. 홈페이지 내 공지 내용도 살펴보고 주의하라는 공지가 있는지도 확인하는 것도 중요하다.
다만, 자사 카드를 사칭한 스미싱에 주의를 알리는 공지가 없는 카드 회사가 적지 않다.
또 카드회사 홈페이지와 앱은 각종 이벤트나 혜택 소개는 바로 알 수 있지만 공지사항은 찾기 어려워 소비자의 접근성이 떨어진다.
주의할 점과 대처 방법
1. 스미싱 의심 문자메시지나 메신저 대화를 받았을 때, 메시지 속에 웹 주소나 전화번호를 절대 클릭하지 않는다. 메시지를 삭제한다. 추가적인 피해를 방지하기 조치이다.
2. 출처가 불분명한 URL을 클릭해 개인정보가 노출되었다면 금융소비자포탈 ‘파인’ 홈페이지나 개인정보노출자 사고예방시스템(https://pd.fss.or.kr)에서 등록한다.
개인정보 노출자로 등록하면 신규 계좌개설, 신용카드 발급 등이 제한되어 추가적인 명의도용 피해 예방할 수 있다.
개인정보노출자 사고예방시스템 3. 신고한다
카드사 사칭한 스미싱 메시지를 받았다면, 해당 내용을 금융감독원, 경찰청, 카드회사에 신고한다. 스미싱 범죄의 확산을 막고 다른 사람들이 피해를 보는 것을 방지하는 데 도움이 된다.
금융범죄는 다양한 방법으로 진화하고 또 지능화되고 있다.
문자 내 악성앱 URL이 없애고 카드회사 고객센터나 대표전화처럼 보이는 발신번호로 조작해 보내는 것에서 인증마크를 도용하는 또 다른 수법이 발생할 수 있다.
내용을 잘 숙지하고 신속하게 대처한다.
* 금융거래 안심차단서비스 도입 추진
현재 보이스피싱 등 비대면 금융사고와 정보유출, 명의도용 등으로 자기도 모르는 사이 본인 명의의 대출 피해가 발생하고 있으나, 기존 대책은 사후조치 위주로 불충분한 상황이다.
이에 따라, 신용대출, 카드론 등 여신거래(대면, 비대면)를 소비자가 사전 차단(Opt-out)할 수 있는 시스템(가칭 ‘금융거래 안심차단 시스템’)을 구축할 예정이다. 소비자가 신청한 ‘금융거래 사전차단 정보’가 신용정보원을 통해 모든 금융권에 공유·활용될 수 있다.
신용정보업감독규정 개정과 인프라를 구축 후 금융감독원은 올 상반기안에 도입한다고 밝혔다.
