전문가칼럼

[ICT법 바로알기] 전자금융거래의 위기 : 피싱, 파밍, 스미싱

김경환 변호사
[법률사무소 민후 김경환 변호사] 디지털 인식을 기초로 하는 IT 기술의 발전은 금융 거래 분야에도 변혁을 가져왔기에, 이제는 직접 은행에 줄서서 거래하기보다는 PC나 모바일을 이용해 클릭 하나로 모든 것을 해결하고 있다.

처음 전자금융거래가 나왔을 때는, 클릭 하나로 거액의 돈이 빠져나가는 현상을 걱정하는 사람들이 많았으나, 이제는 그런 사람들을 찾아보기가 어렵다. 이런 현상에 많이 익숙해지고 적응하게 된 것이다. 정말 편한 세상에 살고 있는 것이다.

그러나 전자금융거래는 신원 확인 과정이 원격적으로 이루어지고, 진정거래 여부도 원격으로 이루어지기 때문에 ‘본질적으로’ 금융사기에 취약할 수밖에 없는 구조를 가지고 있다.

온라인 거래가 오프라인 거래보다는, A 아닌 B가 A라고 사칭하기도 쉽다는 의미이다. 실제로 오프라인 거래에서는 B가 A 대신에 거래하기는 어렵지만, 온라인 거래는 상당 부분 명의자 아닌 사람에 의해 이루어지고 있다. 공인인증서만 있다면 남편 대신에 아내가, 아버지 대신에 아들이, 동생 대신에 형이 온라인 거래를 하기도 한다.

온라인 거래의 이러한 약점은 금융사기범에게는 호재(好材)가 될 수밖에 없다. 2000년도 중반부터 시작된 피싱(Phishing), 최근 우리나라에서 문제가 되고 있는 파밍(Pharming), 스미싱(Smishing) 등이 모두 전자금융거래의 신원 확인상의 허구성을 악용한 것이다.

피싱의 역사는 오래됐다. 피싱이란 개인정보(private data)를 낚는다(fishing)는 의미인데, 1995년도 미국에서 AOL(America Online)의 직원을 가장한 범인이 이용자들에게 계정확인이나 결제정보확인을 위해 비밀번호가 급하게 필요하다는 메시지를 보낸 사건이 최초로 기록된다. 우리나라에서는 2006년도부터의 피해통계가 존재한다.

피싱의 기법은 여러 가지이지만, 우리나라에서는 전화 등을 통해 개인정보·금융정보를 알아내거나 가짜사이트에 접속을 유도한 후 그 가짜사이트에 개인정보·금융정보를 입력하게 하고 이 정보를 이용해 돈을 인출해 가는 보이스피싱(voice phishing) 기법이 가장 문제가 됐다.

보이스피싱으로 인해 한 해 1000억 이상의 피해가 발생했고, 누적 피해금액은 4000억 원을 넘고 있다. 그나마 2011년 하반기부터 ‘전기통신금융사기 피해금 환급에 관한 특별법’이 제정돼 보이스피싱으로 인한 피해보상에 노력을 보였지만, 이미 범인이 대포통장으로부터 돈을 인출해 간 이후에는 도움이 되지 않는다.

2012년부터 보이스피싱에 의한 피해사례는 줄어들어 잠시 위안을 삼고 있었지만, 새롭고 훨씬 더 강력한 금융사기 기법인 파밍이나 스미싱의 등장으로 전 국민이 또 한 번 홍역을 치루고 있다.

① 해커가 악성코드를 배포하면 ② 이에 감염된 PC 이용자가 금융기관의 정상적인 홈페이지 주소로 접속을 하더라도 해커가 만든 가짜사이트로 이동하게 되며, ③ 해커는 이 가짜사이트에서 이용자에게 보안등급상승 등의 이유로 개인정보와 금융정보를 입력하게 하고, ④ 이후 해커는 이렇게 얻은 정보를 이용해 돈을 빼내가는 수법이 바로 파밍이다. 파밍의 핵심은 악성코드의 배포와 가짜사이트를 이용한 개인정보 및 금융정보의 탈취이다.

스미싱은 문자 SMS와 피싱의 합성어로서, SMS을 이용해 개인정보를 빼내간다는 뜻이다. 우선 가해자가 스마트폰으로 보낸 이벤트, 무료쿠폰, 대출, 사진송부 등의 메시지를 피해자가 클릭하는 순간 악성코드가 피해자의 스마트폰에 설치되고, 가해자는 이 악성코드를 이용해서 피해자의 인증정보를 알아낸 다음 피해자 몰래 소액결제를 하는 기법을 말한다.

파밍이나 스미싱의 특징은 악성코드를 배포, 즉 ‘해킹’이라는 점이다. 피싱은 ‘사람’이 일을 하는 것이라면, 파밍이나 스미싱은 ‘악성프로그램’이 일을 하는 것이다. 피싱이 가내수공업이면, 파밍이나 스미싱은 산업혁명에 비유할 수 있다. 파밍이나 스미싱은 피싱의 진화된 모습인 것이며, 미국에서는 파밍의 피해 사례가 피싱보다 늦은 2005년도부터 보고됐다.

파밍이나 스미싱의 문제점은, 해킹 방법을 이용하고 있기 때문에 피해자가 의식하지 못한 채 개인정보나 금융정보가 빠져나간다는 것, 그리고 파밍의 가짜사이트 주소와 진짜사이트의 도메인 주소가 똑같아서 피해자가 고도의 주의를 하더라도 속아 넘어가기 쉽다는 것이다.

파밍의 경우, 우리나라에서는 작년 11월부터 올해 2월까지의 4개월 사이에 323건의 파밍 피해가 발생했고, 초기이지만 벌써 그 피해액은 약 21억 원에 달하고 있다. 급기야 금년 3월 4일에는 금융위, 경찰청, 금감원에서 파밍에 대한 합동 주의 경보를 발령하기도 했다. 스미싱의 경우도 작년 1월부터 1년 동안 접수된 스미싱 피해 건수는 모두 2500여건에 달한다고 한다.

전자금융 거래제도가 위기에 봉착한 것이다. 본인확인절차나 진정거래 여부를 담보할 수 있는 획기적인 방법이 나오지 않는 한 금융사기는 끊이지 않을 것이고, 앞으로는 빼낸 개인정보를 활용한 맞춤형 파밍 기법 등의 최첨단 사기 기법이 나올지도 모르는 일이다.

파밍이나 스미싱과 같은 해킹에 의한 금융 사고에 대한 대책이 나오긴 하지만 만족스럽지 못하다. 파밍이나 스미싱의 피해를 줄이기 위해서는 ‘백신프로그램 설치’ 등의 소비자의 철저한 보안이나 고도의 주의도 필요하고, 정부의 홍보나 계몽도 필수적이다.

그러나 그보다 먼저 고려돼야 하는 것으로서 가장 현실적인 방법은 ‘고객 중 피해자는 최초 한 사람이면 족하다’는 사고를 가지고, ① 해킹사고에 대해서는 ‘원칙적으로’ 금융기관이 책임을 부담한다는 ‘원칙’을 세우는 것과 ② 금융기관의 정보보안 역량을 보완하고 강화하는 것이 필요하다고 본다.

작년 7월 이러한 내용을 담은 ‘전자금융거래법’ 개정안이, 정부입법으로 국회에 제안된 적이 있지만 아직 국회를 통과하지 못하고 있다. 이 ‘전자금융거래법’ 개정안의 취지를 법률에 반영시키는 것이 시급하다고 생각한다.

권혁세 전 금융감독원장은 2011년 12월경 “비행기 엔진에 결함이 있을 때는 운항을 중단해야 한다”고 말한 적이 있다. 그 당시 한창 문제가 됐던 보이스피싱과 관련해 “금융회사가 고객 재산보호에 문제가 있다면 영업을 중단하고서라도 해결하겠다는 의지가 있어야 한다”고 표명한 것이다.

더불어 “특히 전자금융거래가 확대되는 상황에서 현재 시스템이 금융범죄에 악용될 소지가 없는지 꼼꼼히 살펴야 한다”고 말했다.

비행기 승객의 안전이 위협받고 잦은 사고로 승객이 극도로 불안해 있는 현재의 상황에서, 항공회사는 비행기에 결함이 없는지 엔진부터 다시 한 번 철저히 점검해야 할 때가 됐다. 그 어떤 승객도 비행기가 추락하는 것을 원하지 않는다.

<법률사무소 민후 김경환 변호사>hi@minwho.kr
<법률사무소 민후>www.minwho.kr

<기고와 칼럼은 본지 편집방향과 다를 수도 있습니다>

김경환 변호사
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널