독일에서 SMS 피싱을 당하면 일어나는 일

피싱 당할뻔 했던 기록

금전을 노린 피싱이나 스캠은 한국에만 있는 것이 아니다.

내 기억이 맞다면 나는 독일에 온지 1년이 넘었을 시점부터 Hallo Mama, Hallo Papa 피싱 메세지를 종종 받고는 했었다. (엄마/아빠, 난데 핸드폰이 고장났어. XXX 번호로 왓츠앱 해줘- 이런 식이다.)

나는 30여 년간 한국에서 살면서 단 한 번도 피싱을 당한 적이 없었고, 그 기록은 이후 스페인에서 2년 반, 그리고 독일에 온지 21개월이 된 시점까지도 깨지지 않았....을 뻔 했는데 2월 5일에 제대로 당했다,

사건의 발단은?

나는 평소에 문자 메세지를 제대로 보는 편이 아니다. 그런데 이 날 따라 온라인으로 독일어 수업을 듣고 있었고, 수업을 듣던 중 집중력이 흐트러져서 핸드폰을 만지작 거리다가 문제의 이 문자를 보게 되었다.

그러다가 Commerzbank와 photoTAN이라는 키워드에 정신이 번쩍 들어버린 것.

코메르츠방크는 한국으로 치면 국민은행급의 1티어 상업은행이고, 내 주거래은행이다. 그리고 PhotoTAN은 코메르츠방크에서 사용하는 공인인증서의 개념. 문자를 해석하면, 내 공인인증서가 이틀 뒤에 만료되니, 해당 링크로 가서 인증서를 연장하라는 것이다.

독일에서 생활해본 사람이라면 알 것이다. 한국에서는 10분 컷인 행정절차가 독일에서는 수 주도 걸릴 수도 있다는 것을. 그리고 그게 비단 기다리기만 하면 되는 게 아니라 인터넷으로 예약을 잡고, 해당 관청/기관에 직접 방문을 하고, 우편을 기다리는 복잡한 프로세스의 합산이라는 것을.

지금까지 겪었던 모든 행정절차가 주마등처럼 스쳐지나가며, 나는 수업은 뒷전으로 하고 문자메세지에 써있는 웹사이트로 가서 모든 정보를 번개같이 업데이트 했다. 지금 보면 웹사이트 주소 자체가 사기인데, (commerzbank.de가 아니라서) 이미 눈이 돌아버려서 그런 디테일이 눈에 들어오지 않았다. 업데이트를 마친 후, 데드라인을 이틀 남기고 잘 해결했다고 안도의 한숨까지 쉬었다.

사건은 전개는?

2월 5일 저녁에 그렇게 피싱 사이트에 내 은행 정보를 통째로 갖다바친 후에도 나는 피싱을 당한지 몰랐다.

2월 6일 목요일 밤이 되어서야 알았다. 잔액을 확인하고 싶어서 코메르츠방크 앱에 들어가려는데 아무리 지문을 잘 갖다대고 비번을 정확히 입력해도 로그인이 안 되는 게 아닌가. 본능적으로 쎄함이 느껴지면서 내가 어제 큰 잘못을 했구나라는 느낌이 단박에 왔다.

거의 자정이 다 된 시각. 카드 뒷편에 써있는 24시간 콜센터에 전화를 10번 넘게 했는데 아무도 받지 않았다.

그렇다고 콜센터가 닫았다는 안내 멘트도 나오지 않았고, 통화 대기음만 무한반복되었다.
왠지 경찰에 물어봐야 할 것 같아서 전화를 하니, 온라인으로 사건 접수를 할 수 있다고 해서 온라인으로 사건 접수를 하고, 마지막으로는 남편과 함께 집 근처 ATM으로 갔다.

하필이면 Commerzbank의 ATM은 밤 10시까지만 운영을 해서 접근이 불가능했고, Berliner Sparkasse라는 타행 ATM만 쓸 수 있었다. 테스트로 일단 100유로만 뽑아봤는데, 돈이 뽑히는 게 아닌가? 더욱 혼란스러웠다.

남편과 내 가설은: 피싱을 당한 것이 99.99%로 확실한데, 어떻게 돈이 뽑힐 수가 있는가?였다.

그래서 더 큰 금액을 뽑아보려고 하자, ATM 기계가 카드를 먹어버렸다.

사건의 마무리는?

결국 나는 2월 7일 금요일에 긴급 연차를 쓰고 (긴급 연차가 따로 있는 것이 아니라, 그냥 팀에 personal emergency가 있다고 쓰고 연차를 쓴 것) 아침에 은행 오픈런을 했다.

원래는 은행도 무작정 가면 안 되고 예약을 잡고 가야 하는데, 예약을 잡으려면 로그인을 해야 하는 시스템이라 선택의 여지가 없었다. 피싱을 당해서 더 이상 로그인이 안 되는데 어쩌겠는가?

다행히도 은행에서는 예약 유무 확인 절차 없이 오픈런 하러 온 사람들을 모두 들여보내주었고, 우리는 한 직원과 상담을 하게 되었다.

처음에는, 피싱을 당한 것 같다고 사건의 개요를 독일어로 일목요연하게 적어간 메세지를 보고도 "So, what can I do for you?"라고 드라이하게 말하길래 살짝 벙쪘었다. 챗지피티도 이렇게 직선적으로 소통하지는 않을 것이다. 그래서 새로운 계정을 파야 하는지, 잔액은 그대로 있는지, 날렸으면 보상을 받을 수 있는지 등등 몇 가지 follow up 질문들을 했더니 정말 친절하게 도와주기 시작했다.

결론은, 은행 쪽에서 이미 내가 피싱 사이트에 접근했다는 것을 알고 선제적으로 계좌를 동결했던 것이었다.

따라서 온라인 뱅킹 앱에 접근이 안 됐던 것도, 은행에서 내린 조치였다. (나뿐만 아니라 피싱 사이트를 만든 사람들도 접근할 수 없게끔) 잔액은 고스란히 남아있었고, 심지어 자동이체가 걸려있는 항목들도 그대로 나가고 있었다.

넥스트 스텝?

한 번 털린 온라인뱅킹 정보를 그대로 쓸 수는 없어서 새로 등록하는 과정을 거쳐야 한다고 했다.

어제 있었던 ATM 상황을 설명하니, EC카드도 새로 발급해주었다. (이건 피싱과는 별개의 스텝이다)

피싱 당했을 때 해야할 2장짜리 넥스트 스텝 안내장을 종이로 받고, 집에가서 그대로 따라하면 된다고 해서 일단 알겠다고 하고 나왔다.

집에 와서 안내장에 써있는 스텝을 하나하나 꼼꼼이 읽으며 따라하고, 이후 1주일간 집으로 오는 우편을 몇 번 기다렸다.

예정돼 있던 3박 4일짜리 여행을 다녀와서 이 우편들을 모아서 다시 photoTAN도 리뉴얼하고, 온라인 뱅킹 아이디와 비번을 세팅했더니, 새로운 온라인 뱅킹 환경이 세팅되었다!

테이크어웨이

1. 독일에도 피싱과 스캠은 아주 흔하다.

2. Call to action이 포함된 SMS를 볼 때는 정보를 두 번, 세 번 확인하자. (정 봐도 모르겠으면 공식 홈페이지도 가보고, 이메일도 확인해보고, 그래도 의문이 풀리지 않으면 해당 기관에 직접 가서 확인하자)

3. 독일에서 아주 중요한 정보가 SMS를 통해서 오는 경우는 거의 없다. 따라서 메세지를 무시한다고 해서 손해보는 일은 거의 없을 것 같다.

가장 크게 느낀 점은, 코메르츠방크가 이런 선제적인 시스템을 세팅할 때까지 얼마나 많은 사람들이 진짜로 피싱을 당했을까-였다. 실제로 이런 방식으로 피싱을 당한 고객들이 전국적으로 쌓인 후에, 은행에서 계좌를 동결하는 방안을 마련하고, 그 후에 나같은 케이스가 생긴 것일 터였다. 혹시라도 이 피싱을 초반에 당해서 아직 프로세스가 진행 중인 사람들이 있다면, 정말 죄송한 마음이다.

피싱하는 사람들이 모두 박멸되는 사회가 오기를.