보이스피싱의 정의와 예방법

보이스피싱이란?

보이스피싱은 통신 수단을 이용하여 피해자들의 개인 정보를 낚아올린다는 데에서 파생한 말로, 개인 정보(Private Data)와 낚시(Fishing)라는 단어를 합쳐 만들어진 신조어입니다. 피해자들의 개인 정보나 금융 정보를 획득한 뒤 재산을 편취하는 사기 범죄인 보이스피싱은 엄격한 불법이자 기망행위로 전화 통화, 메시지와 같은 통신 수단을 통해 피해자들에게 비대면으로 접근함으로써 발생합니다. 이는 특수 사기 범죄이자 전기통신금융 사기에 속합니다.

보이스피싱은 전화 통화를 통해 피싱 공격을 수행하는 것을 뜻합니다. 유선 전화 통화는 오래전부터 많은 소비자들이 신뢰할 수 있는 서비스였습니다. 이는 통신 회사로 알려진 물리적인 위치에서 이루어지며, 직접적인 요금 납부자와 연결됩니다.

보이스피싱의 발생 과정

다음은 보이스피싱이 발생하는 과정입니다. 우선 해커는 신용불량자 및 노숙자에게 접근하여 보이스피싱에 이용할 계좌를 확보합니다. 그들의 명의로 대포통장을 개설하거나 매입, 또는 취업과 대출을 이유로 예금통장을 만드는 것입니다. 사기 이용 계좌를 획득한 해커는 피해자에게 전화를 걸거나 문자를 보냅니다. 보통 해커들의 본부는 중국을 비롯한 해외에 있기 때문에 피해자가 볼 수 있는 발신번호는 공공기관의 대표 전화번호로 조작하는 경우가 대부분입니다. (금융기관, 검찰, 경찰, 금융감독원 등등) 공공기관의 전화번호로 걸려와 이상하게 생각한 피해자가 전화를 받으면, 해커는 피해자에게 개인 정보가 유출되었거나 범죄 사건에 연루되었다고 하며 당황한 피해자의 개인 정보 및 금융거래 정보를 자연스럽게 획득합니다. 이렇게 정보를 획득한 해커는 피해자의 계좌를 보호하거나, 연루된 범죄 사건에서 제외시켜준다는 거짓 이유로 피해자가 사기 계좌로 이체를 하도록 유도합니다. 여기서 해커에게 개인 정보를 알려준 피해자는 해커에게 송금하거나 이체를 하고 때로는 피해자의 명의로 인증서를 재발급받은 해커가 직접 이체하는 경우도 있습니다. 현금 인출 및 송금을 마치면 마지막으로 할 일이 해외송금입니다. 해커의 현금 인출책이 해당 계좌로 입금을 완료하면 환치기 등과 같은 방법으로 해외 본부로 송금합니다.

보이스피싱의 수법 및 사례

다음은 보이스피싱의 수법 및 사례들입니다. 첫 번째로 자녀의 납치 및 사고를 빙자한 수법이 있습니다. 해커는 먼저 자녀와 부모의 전화번호를 미리 알아둡시다. 이후 자녀의 전화번호로 발신자 번호를 변조한 해커는 부모에게 전화하여 자녀가 납치 및 사고를 당했다고 가장하여 자금을 편취합니다. 두 번째는 메신저 앱에서 지인을 사칭하여 송금을 요구하는 수법입니다. 해커는 해킹한 사용자의 메신저 아이디와 비밀번호를 이용하여 로그인한 후, 피해자의 가족이나 친구 등 지인들에게 대화를 걸고 메시지를 보내며 긴급자금을 요청합니다. 대부분은 교통사고와 같은 급박한 상황이라고 가장하였고, 그렇게 해커는 피해자의 지인들에게 송금을 유도했습니다. 세 번째는 인터넷 뱅킹을 통한 카드론 대금 및 예금을 편취하는 수법입니다. 해커는 피해자의 명의가 도용되었거나 개인 정보가 유출되었다는 명목으로 소비자를 속인 뒤에 해커가 만든 피싱 사이트를 통해 신용카드 및 인터넷 뱅킹 정보를 입수합니다. 정보를 입수한 해커는 피해자 명의를 이용하여 카드론을 신청하거나, 카드론 대금을 사기 계좌로 송금합니다. 네 번째는 금융감독원을 빙자하여 피해자에게 공지사항을 가장한 문자를 발송하는 수법이 있습니다. 해커는 피해자를 피싱 사이트로 유도한 뒤, 개인 정보 및 금융거래 정보를 얻어 피해자 명의로 대출을 받았습니다.

미국에서도 문제가 제기되는 보이스피싱

최근에는 대한민국뿐만 아니라 미국에서도 보이스피싱 피해가 속출하고 있습니다. 사이버 인프라 보안국 CISA와 FBI는 코로나19가 유행하며 재택근무 및 원격근무가 증가하자, 이를 악용하는 보이스피싱에 대한 주의보를 발령하고 유의하도록 당부했습니다. 코로나19가 나아질 기세가 없자 많은 사람들이 재택근무를 하며 VPN을 이용하는 틈을 엿본 해커들은 상황을 악용한 범죄를 저지르고 있습니다. FBI는 “해커가 피해자와 전화 통화를 하던 중 직원들의 사용자 이름과 비밀번호를 캡처하기 위해 피싱 웹페이지에 로그인하도록 속였다”며”해커의 위치와 신원 역시 숨겨져 있었다”고 설명했습니다. 해커는 타겟이 된 회사가 사용하는 VPN 페이지와 매우 유사한 형태의 페이지를 만들었고, 여러 불법 행위를 하며 SNS 및 구직 사이트 등으로부터 직원들의 정보를 수집했습니다. 해커는 직원들의 이름, 주소, 전화번호, 직위 등 공개된 정보를 수집한 뒤, VoIP 전화번호를 이용하거나, 다른 회사의 전화번호로 조작하여 직원의 개인 번호로 통화를 시도했습니다. 해커는 IT 부서의 직원을 기망하여 피해자의 신뢰를 얻었고, VPN 페이지를 위장한 가짜 페이지 링크를 전송했습니다. 또한 SIM-Swap 공격까지 병행하며 2FA 및MFA 인증을 위한 OTP 코드까지 입수한 뒤 다양한 범죄를 저질렀습니다. 이와 같은 범죄를 예방하는 방법은 회사가 이용하는 VPN 사이트의 URL을 북마크에 추가하기, 발신자 신원을 다시 한번 확인하기, 가짜 페이지의 도메인 신고하기, SNS에 개인 정보를 게시하지 않기, 정기적인 보안 설정 검토 등등이 있습니다.

보이스피싱 예방법

다음은 보이스피싱의 예방법입니다. 아무리 신뢰할 수 있는 공공기관이라도 유선상으로 개인 정보가 유출되었거나 범죄 사건에 연루되었다는 이유로 은행 정보 및 개인 정보를 요청하거나 입력을 요구한다면 결코 응해서는 안 됩니다. 또한 세금 및 보험료를 환급해준다거나 계좌를 보호해준다는 명목으로 ATM 기기를 사용하여 입금을 유도하는 경우에도 절대 응하지 말아야 합니다. 자녀의 사고 및 납치를 빙자한 보이스피싱을 예방하기 위해서는 부모님들께서 미리 자녀의 친구들과 책임자 등의 연락처를 확보해놓는 것이 매우 중요합니다.

미리 보이스피싱 예방법을 숙지하고 대비하는 것이 좋지만 이미 보이스피싱으로 인해 피해를 입은 경우에는 신속히 보이스피싱을 신고해야 합니다. 예를 들어 경찰청 112 콜센터 및 금융회사 콜센터에 전화할 수 있습니다. 신속히 사기 계좌에 대한 지급정지를 신청해야 하며, 이미 금융거래 및 은행 정보가 유출된 적이 있다면 즉시 폐기하는 것이 좋습니다. 또한 타인에게 체크카드 및 통장을 양도하는 경우에는 훗날 범죄 사건에 악용될 가능성이 높기 때문에 어떤 경우에도 개인의 은행 정보를 양도해서는 안 되며, 이는 또한 전자금융거래법 위반으로 형사처벌까지 받을 수 있다는 점을 유념해야 합니다.

믿을 수 있는 서비스 NordVPN으로 보안과 프라이버시를 확보하세요. 30일 환불 보장 정책이 포함되어 있습니다.