"엄마 나 민석인데 핸드폰을 잃어버려서, 결제 좀 대신에 해줘". 일주일 전 필자를 사칭한 피싱 문자를 어머니께서 받으셨다. 주변에서만 일어나는 줄 알았던 "메신저 피싱"이 드디어 내 가족에게도 일어난 것이다. 정말 아들인 줄로만 알았던 어머니께서는, 가끔 계좌이체를 부탁하던 아들이 또 귀찮은 부탁을 하는 줄만 알고, 결제해달라며 보내 준 사이트 링크를 눌렀고, 이후 주민등록증과 신용카드 사진까지 보냈다. 그리고 계좌번호의 비밀번호와 공인인증서까지 보낸 뒤에서야 이상한 낌새를 느끼시곤, 나에게 전화를 하셨다.

"아차 싶었다" 변호사인 나도 무엇부터 어떻게 해야 할지 당혹스럽기만 했다. 핸드폰을 잃어버려 PC 카톡으로 연락한다며, 내 사진을 프로필로 설정해놓은 그 치밀함이 참으로 무서웠다. 다행히 어머니께서 빠른 대처를 한 덕분에, 큰 피해는 발생하지 않았지만(내가 모르는 곳에서 개인정보가 떠돌긴 하겠지만), 이 사건을 통해 알게 된 시스템의 미비점들을 고민해보고, 디지털 금융 범죄에 대한 대처법을 널리 알리고자 한다.

디지털 금융 범죄는 정보통신망을 이용해서 피해자의 개인정보나 금융정보를 수집한 뒤 이를 악용하여 계좌로부터 자금을 이체받거나 소액결제가 되게 하는 범죄를 말한다. 그 수법도 굉장히 다양한데, 크게 피싱과 파밍, 스미싱으로 분류할 수 있다. '피싱'이란 전화 또는 이메일 등을 통해 수사기관, 정부 기관, 금융기관 등을 사칭해 가짜 사이트로 이용자의 접속을 유도한 후 금융정보 등을 탈취하는 수법을 말하고, '파밍'이란 이용자 PC를 악성코드에 감염 시켜 정상 사이트로 접속해도 이용자 모르게 가짜 사이트로 유도하여 금융정보 등을 탈취해가는 수법이다. 그리고 '스미싱'이란 악성 앱 주소가 포함된 핸드폰 문자를 대량으로 전송 후 이용자가 악성 앱을 설치하도록 유도해 금융정보 등을 탈취하는 사기 수법이다. 필자의 어머니께서 당한 수법은 개인정보 유출 등으로 얻은 개인 아이디와 비밀번호를 통해 친구나 가족처럼 메신저로 접근해 금융정보 및 금전을 요구하는 '메신저 피싱'에 해당한다.

피싱을 당했을 땐 어떻게 대처해야 할까? 사기범들이 잡힌다면 형법상 사기죄 및 전자금융거래법, 정보통신망법, 통신사기피해환급법 위반죄 등으로 형사 처벌함과 동시에 손해배상청구를 통해 피해 보전이 어느 정도 가능하겠지만, 디지털 금융 범죄의 특성상 사기범죄단을 검거하기란 매우 어려운 상황이라 한다. 따라서 예방과 그 대처가 무엇보다 중요한데, 아무리 가족이라도 계좌번호, 카드번호, 주민등록번호, 공인인증서 등을 요구한다면 의심부터 하고, 전화로 확인하거나 직접 대면한 상태에서 전달하는 것이 예방법이 될 것이다.

이미 메신저 피싱 등 피해를 본 상태라면 다음 조처를 해야 한다. 제일 먼저 경찰청 및 사이버수사대나 금융감독원에 피해 사실을 신고해야 한다. 그리고 수상한 인터넷 주소를 클릭해 의문의 프로그램이 설치됐다면 핸드폰에 대한 신뢰도가 떨어졌으므로 폰키퍼 또는 백신프로그램을 통해 악성코드 감염 여부를 확인하고, 핸드폰 통신사를 통해 공장 초기화를 진행하는 것이 좋다. 그 후 소액결제 내역을 확인 후 결제차단요청을 하고, 사기범에게 전달한 금융정보의 해당 카드회사와 은행사에 전화해 카드 정지 및 계좌 지급정지 신청을 해야 한다. 특히 100만원 이상 이체를 한 보이스피싱 피해의 경우 30분 안에 지급정지를 신청하면 피해를 막을 가능성이 높다고 한다.

공인인증서가 노출된 경우라면, 한국인터넷진흥원을 통해 공인인증서를 폐기해야 하고, 개인정보가 노출된 경우에는 금융감독원 소비자정보포털 '파인'에 접속해 개인정보 노출 등록을 해 추가피해 발생을 예방해야 한다. 또 소액결제 및 이체 피해가 발생한 경우에는 피해자는 통신사기피해환급법에 따라 경찰서로부터 사건사고사실확인원을 발급받은 후 금융회사에 전기통신금융사기의 피해구제를 신청할 수 있다.

한편, 필자의 가족이 피싱범죄를 겪으면서 예상치 못한 몇 가지 어려움이 있었는데 이에 대한 보완도 필요할 거 같다. 먼저, 피해를 당한 피해자의 입장에선 범죄피해에 놀란 나머지 바이러스가 깔린 핸드폰을 꺼버리거나 주변인에게 도움을 요청하기 마련인데 피해자 본인이 아니면 카드정지나 지급정지신청을 할 수 없었고, 유선상 본인 확인을 위해 핸드폰 인증 절차를 거쳐야 하는데 신뢰도가 떨어진 핸드폰으로 본인인증을 해도 괜찮은 것인지 수 없는 고뇌가 필요했었다. 또 경찰청의 경우에는 돈을 이체하는 등의 피해가 발생한 것이 아니면 사건 접수가 안 되므로 사이버수사대에 신고하라며 방관자적 태도를 보였고 이로 인해 피해자는 한국인터넷진흥원, 경찰청, 사이버수사대, 금융감독원에 전화할 때마다 피해 사실 경위와 본인 확인을 위해 같은 내용을 반복해야만 했다.

유출된 개인정보와 금융정보로 거액의 금액이 순식간에 이체될 수 있는 긴급한 상황에서 여러 기관에 대한 복잡한 신고와 구제 절차가 디지털 금융 범죄에 대한 피해를 더 키우는 것이 아닌가 하는 의문이 드는 대목이다. 하나의 창구로 일원화해 한 번 본인 확인이 되면 관련 금융회사와 통신사에 대한 조치부터 신고 절차까지 원스톱으로 가능하도록 시스템적 보완이 필요한 것 같다.

(법무법인 충정 고민석 변호사)

(서울=연합인포맥스)

(끝)

본 기사는 인포맥스 금융정보 단말기에서 13시 00분에 서비스된 기사입니다.
저작권자 © 연합인포맥스 무단전재 및 재배포 금지