‘진화하는 해킹앱’ 금융사기 주의보

40대 직장인 박 모씨는 지난 9월 인터넷 블로그에서 카카오톡 등 ‘소셜네트워크서비스(SNS) 및 폰뱅킹 애플리케이션(앱) 업그레이드’라는 글을 읽었다. 블로그는 특정 앱을 스마트폰에 설치하면 각종 SNS·폰뱅킹 앱을 실행할 때 나타나는 광고가 사라져 편리하다고 소개했다.
박씨는 앱을 설치했고, ‘업그레이드가 끝났으니 은행 계좌번호·비밀번호를 재입력하라’는 안내문구에 따라 의심 없이 금융거래정보를 적었다. 수차례에 걸쳐 1000만원 넘는 돈이 빠져나간 사실을 인지한 건 3개월 가까이 지난 이달 초였다.
17일 금융권과 보안업계에 따르면 박씨처럼 특정 앱을 휴대전화에 설치했다가 금융사기를 당하는 일이 최근 빈번하게 발생하고 있다. 스마트폰 사용자는 각종 기능 향상, 혹은 모바일 청첩장을 사칭한 문자 등에 속아 앱을 내려받아 실행한다.
그러면 전화기에 설치된 모바일뱅킹 앱이 금융정보 탈취를 위한 앱으로 둔갑한다. 앱 모양은 물론 각종 뱅킹 화면까지 똑같이 만들었기 때문에 사용자는 은행에서 돈이 빠져나가고 나서야 금융사기를 당한 걸 깨닫기 십상이다. 보안업계 관계자는 “스마트폰을 공격하는 지능화된 신·변종 금융사기가 자주 포착된다”며 “스마트폰 환경에 익숙지 않은 40·50대 피해자가 가장 많다”고 설명했다. 금융감독원에 따르면 지난해 기준 스미싱 피해가 3만건에 달했으며, 파밍(1만5206건)과 보이스피싱(1만917건)이 뒤를 잇는다.
금융권이 골치를 썩는 또 다른 신종 사기 유형은 ‘스캠(Scam)’이다. 스캠은 이메일을 해킹해 가짜 메일을 보내는 방식의 사기다. 주 타깃은 상품 직거래를 하는 사람이다. 상품을 직접 사고팔 때는 보통 메일을 통해 계좌번호·입금자·수신자 등과 같은 금융정보를 주고받는다.
이때 이메일을 해킹한 다음 계좌번호를 바꿔치기해 돈을 가로챈다.
이메일 원본 내용·형식을 정교히 모방해 피해자가 금융사기를 당한 걸 알 때쯤이면 범인은 자취를 감춘 뒤다. 이처럼 사기 수법은 교묘해지는데 피해 인지는 어려워져 피해금을 환급받기도 어렵다.
■ <용어 설명>
▷ 스미싱 : 문자메시지(SMS)와 피싱(Phishing)의 합성어. 휴대폰을 통해 결제를 유도하거나 악성코드를 다운로드받도록 해 개인·금융정보를 빼가는 수법.
▷ 파밍 : 컴퓨터에 악성코드를 설치해 은행·카드사 인터넷 주소를 정확히 입력하더라도 ‘가짜 사이트’로 오게 만들어 개인·금융정보를 탈취하는 수법.
[이유섭 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]