메신저 피싱,
사기범들은 이렇게 접근합니다
사례를 통해 알아보는 피해 예방 요령
한때 유무선 전화에 국한되어 있던 한국인의 커뮤니케이션 수단은 PC 메신저를 거쳐 모바일 메신저와 소셜미디어까지 확장됐습니다. 사람들이 많은 곳에 ‘범죄자’도 몰리죠. 피싱(Phishing) 사기꾼들은 우리 삶에서 떼려야 뗄 수 없는 카카오톡을 통해 접근해 오기도 합니다. 번화가나 만원 버스에 소매치기가 출몰하는 것과 같은 이치죠.
[여기서 잠깐] ‘피싱(phishing)’이란? 어원은 ‘낚시(fishing)’와 같습니다. 90년대 후반 미국에서 등장한 해킹 기법으로 금융사 홈페이지를 모방한 사이트를 통해 개인의 금융정보를 갈취하는 범죄를 일컫는 말이었죠. 단어를 시작하는 F는 왜 Ph로 바뀌었을까요? 명문화된 해석은 없지만, '안티피싱 워킹 그룹’은 1960년대 말 미국에서 전화망을 조작해 공짜로 시외전화를 쓰던 일종의 해커를 일컫는 ‘Phone freak’의 영향을 받은 표기라고 해석합니다. 일각에서는 개인 정보(Private data)와 낚시(Fishing)의 합성어라는 이야기도 있어요.
현실에서 피싱(Phishing) 사기를 당한 사람들은 “손발이 덜덜 떨린다”라고 할 정도로 두려움과 자책감에 휩싸인다고 해요. 피해 사례를 전해 들었을 땐 ‘그렇게 뻔한 수법에 왜 넘어갈까?’라고 생각하지만, 당하는 사람이 계속 나오는 데는 이유가 있습니다.
사기범들은 불법적인 수단을 통해 대상자가 클라우드 등에 보관해 둔 주소록을 몽땅 해킹해 ‘상황을 장악’하고 있기 때문이죠. 주소록에 이름만 저장된 경우도 있겠지만, 관계까지 입력해 둔 경우에는 가족이나 친지, 친구인척 하며 접근하기 쉬운 조건인 겁니다. 조건을 살핀 사기범들은 범죄 대상자의 ‘심리를 추정’해 피싱을 시도하죠. 서로 간의 관계에서 거부하기 어려운 조건들을 제시하곤 하는데요. 가령 사랑하는 자녀나 조카가 급전이 필요하다며 큰 부담이 안 되는 금액을 요구할 때 냉정하게 의심부터 할 사람은 드물지 않을까요? 상황을 장악한 사기꾼들이 심리전 노하우까지 겸비하고 있으니 깜빡 속아 넘어갈 확률이 매우 높습니다.
지피지기면 백전백승. 백문이 불여일견! 실제 일어났던 메신저 피싱 사례를 카카오가 모아봤습니다. 사기꾼들의 습성을 함께 살펴보고 피해 예방 요령을 익혀볼까요?
[특징 1] 스마트폰 상태가 좋지 않아 컴퓨터로 접속했다고 합니다. 그런데 왜 친구로 등록된 사용자가 아니라고 뜰까요?
핸드폰 액정이 고장 나서 수리를 맡겼고, ‘급한 일’때문에 카카오톡 PC버전으로 접속해서 말을 건다. ‘급한 일’은 바로 송금 요청! 너무나 전형적인 사기꾼들의 접근 방법입니다. 스마트폰용 카카오톡에서 이미 친구사이라면 PC버전에서도 친구 사이일 수밖에 없죠.
[특징 2] 평소 관계에서 나올 수 없는 말투나 호칭을 사용합니다
늘 예의를 갖춰 서로 공손하게 대화하던 사돈이 갑자기 반말을? 이름과 전화번호는 해킹했지만, 서로의 관계를 알지 못하는 사기범은 호칭이나 말투에서 실수를 합니다. ‘보통 때 이 사람이 쓰던 말투나 호칭이 아닌데?’라고 의심이 간다면 금전 거래는 절대 금물입니다.
[특징 3] 모바일 유가 증권을 대신 결제해달라고도 하죠
선물용, 자가소비용 등 이용처가 다양한 모바일 상품권을 대신 결제해달라는 요청도 급증하고 있습니다. 유명 쇼핑몰이나 소셜커머스 홈페이지를 통해 유가증권 결제를 유도하죠. “직접 구매하는데 잠시 어려움이 생겨서 대신 결제해달라”는 말과 함께 “몇 시간 내로 대금을 부쳐주겠다”며 안심을 시킵니다. 여기에 더해 “문자로 전송되는 PIN번호를 알려달라”는 요구도 합니다. 만약 이 PIN번호를 알려주게 되면 사기범은 즉시 물품을 구입하는 등 환금 조치를 해버릴 거예요.
[특징 4] 보이스톡을 잠깐 걸었다가 끊어서 ‘흔적’을 남깁니다
여러 피해 사례들이 알려지면서 사람들은 피싱 예방을 위해 ‘목소리’ 확인을 하고 있습니다. 그러자 사기꾼들은 자기가 먼저 보이스톡을 시도한 흔적을 남기기 시작했죠. 그런 뒤 “안 들려?”, “컴퓨터라서 보이스톡이 잘 안되나 봐?”와 같은 말을 해 음성을 통한 추가적인 신분 확인 시도를 원천 차단합니다.
사기범들의 이런 특징들을 잘 파악해 피싱을 미연에 예방한 사례들도 보여드리겠습니다.
[사례 1] 신분에 맞지 않게 내뱉은 이야기를 간파한 경우
중학생 신분의 조카가 금융 거래상 본인 인증을 할 수 없다는 점을 빠르게 간파한 ‘이모님’의 사례입니다. 사기범에게 시원한 욕설로 일갈하지만, 차마 다 보여드릴 수 없어서 절반 가량 잘라내는 점, 양해 부탁드립니다. 프로필 하단에 1/3 정도로 자리한 과거 버전의 ‘글로브 시그널(Globe Signal. 해외 접속자일 경우 지구본 모양으로 경고하는 이미지)’이 눈에 띄네요.
[사례 2] 둘 사이에서 쉽게 맞출 수 있는 퀴즈를 낸 경우
대화 속 작은 아버지는 진짜 조카라면 모를 리 없는 내용의 퀴즈를 냅니다. 당황한 사기범은 어물쩍 대화를 마무리하려고 하네요.
[사례 3] 더 크고 선명해진 ‘글로브 시그널’에 주목한 사용자
여러 온라인 커뮤니티를 통해 '이역만리에서 온 동생의 카톡.jpg'이라는 제목으로 회자되는 사례입니다. 프로필 공간을 꽉 채운 크고 선명한 글로브 시그널과 대화창 상단의 “친구로 등록되지 않은 이란(+98) 사용자입니다”라는 문구가 눈에 띄네요. 동생이 그렇게 먼 나라에서 스마트폰 수리를 맡겼다는 사실도 우습지만, ‘현실 남매’ 사이에 누나라는 호칭이 잘 쓰이지 않는 점도 한몫했습니다.
사기범들의 특징과 모바일 메신저를 통한
피싱 예방책을 다시 한번 요약하자면 이렇습니다.
평소 관계에서 나올 수 없는 대화 주제라면 일단 의심한다.
평소 관계에서 나올 수 없는 호칭이라면 일단 의심한다.
대화 상대방의 신분을 다시 한번 생각해보라.
송금뿐만 아니라 상품권 등 유가증권을 대신 결제해달라는 수법도 흔하다.
금융에 관한 모든 정보는 메신저를 통해 주고받지 말라.
보이스톡이나 전화를 통해 상대방의 목소리를 확인하라. 페이스톡을 통해 얼굴과 음성을 동시에 확인해도 좋다. 특히 사기꾼이 보이스톡을 잠깐 걸었다가 끊어서 흔적을 통해 안심시키는 방법도 있으니 금전 거래를 앞두고는 무조건 육성 확인 정도는 해야 한다.
서로 간의 관계에서만 알 수 있는 간단한 퀴즈를 내는 것만으로도 사기범을 당황시킬 수 있다.
글로브 시그널을 확인하라. 원래 카카오톡 친구 사이일 경우 해외에서 채팅을 걸어오더라도 글로브 시그널은 뜨지 않는다. 큼직한 주황색 지구본이 프로필에 나타날 경우 높은 확률로 사기범이라고 단정할 수 있다.
글로브 시그널이 안 보인다고 무작정 안심할 순 없다. 피싱범들은 주로 해외 번호로 계정을 생성하지만, 한국 번호로도 범행을 시도한다. 누구든, 기존에 내가 등록한 친구가 아니라는 주의가 뜨면 신경을 곤두세워야 한다.
개인의 스마트폰이나 메신저 계정은 ‘제2의 나’로 부를 수 있을 만큼 많은 정보를 담고 있습니다. 우선 기기나 계정을 도용당하지 않도록 비밀번호 등을 철저히 관리하는 게 우선이겠고요. 메신저 상에서 비대면 상황이 흔히 발생하는 만큼 금전 거래를 할 때는 반드시 2중 3중의 확인 절차를 추가로 진행해야겠습니다.
