주의하세요! 은행원 사칭, 강력한 스푸핑(Spoofing) 사기 재등장

”안녕하세요, 귀하의 은행 상담원입니 다."… 스푸핑(Spoofing) 사기가 다시 등장했다. 군경찰(gendarmes) 당국에 따르면, " 전화 영업과 관련된 다수의 신고가 접수되고 있다."며 시민들에게 각별히 주의할 것을 당부했다. 물론, 이 사기 수법은 전혀 새로운 것이 아니다. 하지만, 여전히 "놀라울 정도로 효과적(diablement efficace)"이라고 관계 당국은 입을 모은다. 

며칠 전부터 피니스테르(Finistère) 지방을 비롯해 전국 각 지역 경찰청은 주민들로 부터 사기 전화로 의심되는 "은행원 전화 영업에 대한 다수의 신고가 계속해서 접수되고 있다"고 밝혔다. 이러한 "스푸핑(spoofing)" 사기 사건이 급증하자, 경찰청은 시민들에게 최대한 주의를 기울일 것을 신신당부한다.

이 유명한 "스푸핑« spoofing »"이란 정확히 무엇일까?  프랑스어에서 « spoof »라는 단어는 보통 ‘패러디’나 ‘장난스러운 속임수’를 의미한다. 하지만 치밀하고 정교하게 계획된 이 사기의 피해자들에게 물어보면, 전혀 웃을 일이 아니었다고 할 것이다. 이들은 전화 연락을 받고, 자신이 진짜 은행 상담원과 이야기하고 있다고 믿는다. 

군경찰들에 따르면, 사기범은 (믿기 어렵겠지만) ‘항상 똑같은 시나리오’를 사용한다. 그들은 피해자에게 "귀하의 (은행) 계정에서 의심스러운 활동이 감지 되었다"고 말한 뒤, 이 문제를 해결하는 것을 도와주겠다며 접근한다고 설명한다. 

전화번호를 조작하는 소프트웨어 

해커들의 강점은 바로, 그들이 종종 특정 소프트웨어를 사용해 피해자의 전화 화면에 ‘실제 은행 번호를 표시할 수 있다’는 것이다. 일부 사기범들은 같은 수법을 이용해 경찰이나 헌병대를 사칭하기도 한다. 이들은 "법률 수사 과정에서 조치를 취하는 중"이라는 핑계를 대며 접근한다. 정말 교묘하고 위험한 사기 수법이다. 이것이 사기인지 알아보는 방법은 (오히려) 간단하다. 

통화 중인 사람이 [당신]의 은 행 계좌 정보를 알고 싶어한다면, 수상한 점이 있는 것이다. 경찰은 "은행 상담원, 경찰, 또는 헌병대는 절대 전화로 은행 계좌 정보나 접근 코드를 요청하지 않는다"고 강조한다. 또, "어떤 은행(관계자)도 절대 먼저 고객에게 전화(자체를)하지 않는다"고 말한다. 

물론, 이메일을 통해서도 은행 정보, 개인 정보 및 기밀 정보 역시 ‘절대’ 요청하지 않는다. 일반적으로 사기범들은 긴박하고 불안감을 조성하는 어조를 사용하여, 피해자가 압박감을 느끼고 즉시 반응하도록 유도한다. 

구체적인 사기 기법 

결제 보안의 새로운 장치, 특히 금융 기관이 도입한 강력한 인증을 우회하기 위해, 사기범들은 은행 상담원이나 사기 방지 담당 직원인 척하면서 전화 연락을 더욱 빈번하게 시도하고 있다. 

미래의 피해자들을 속이고 실제로 자신의 은행과 연락하고 있다고 믿게 만들기 위해: 

 →사기범들은 인터넷에서 수집하거나 "다크 웹(Dark Web)"에서 구매한 개인 정보(이름, 주소) 또는 금융 정보(계좌번호, 신용카드 번호, 로그인 ID, 비밀번호 등)를 확인해 달라고 요구한다.

 *다크웹(Dark Web)은 일반적인 검색 엔 진(Google, Naver 등)으로 접근할 수 없는 인터넷의 숨겨진 영역이다. 보통 특수한 브라우저(예: Tor)를 사용해야만 접속할 수 있다. 쉽게 말하면, 다크웹은 인터넷의 숨겨진 부분으로, 보안이 강화된 특수한 네트워크에 서만 접근할 수 있는 곳이다. 

 →사기범들은 매우 자주 실제 전화번호가 아닌 도용된 은행의 번호가 표시되도록 하는 기술을 사용하기도 한다. 

 →안심시키면서도 신속한 대응을 유도하는 말에 속아 신뢰하게 된 피해자들은, 신용 카드나 송금 사기를 막고 있다고 생각한다. 그러면서 개인 식별번호와 SMS로 받은 보안 코드를 제공하거나, 실제로는 사기범이 시작한 결제 거래(신용카드 결제, 수취인 추가 및 송금 등)를 승인하기 위해 자신의 은행 앱의 보안 장치를 사용하게 된다. 

관계 당국은, 이런 사기를 당하게 되면, "한 가지만 기억해야 한다’고 조언한다. 먼저, 전화를 끊고 <cyber17> 플랫폼에 신고해야 한다. 또한, 문자나 이메일로 받은 링크를 절대 클릭하지 말고, 제공된 전화번호로 직접 연락하지 말 것을 거듭 강조한다. 

 <현 경 기자 dongsimjeong@gmail.com>