“예의바른 전화가 이틀 연속 내게… 왜?”

230
2021년에 나온 영화 ‘보이스(Voice)’의 한 장면

최근 뉴질랜드 주재 한국대사관은 웹사이트 등 자체 온라인망을 통해 교민들에게 ‘경찰 사칭 스캠 전화’를 주의하라는 안내를 내보냈다.
대사관 측은, “주재국 경찰 당국은 최근 경찰을 사칭한 스캠으로 오클랜드 지역 내 최소 2명이 금전적인 피해를 입었다며 주의를 당부하였습니다. 스캠 형식은 유선전화로 경찰을(가짜 신분증, 경찰 번호) 사칭해 위조지폐 또는 신용카드 복제 등을 수사하고 있다며 접근하는 방식입니다. 경찰 관계자는 특히 노령의 가족 구성원이 이러한 상황을 인지하는 것이 중요하다고 강조했습니다”라고 전했다.
갈수록 일상생활이 스마트폰 및 인터넷과 떨어져서는 살 수 없게 되는 세상으로 변하면서 보이스 피싱을 비롯해 이러한 온라인 기기를 통한 갖가지 사기도 빈발하는 가운데 그 수법도 점점 더 정교해지고 있다.

2021년에 나온 영화 ‘보이스(Voice)’의 한 장면

<이틀 연속 걸려온 똑같은 내용의 전화>
최근 국내 한 언론에서는 전화 사기와 관련한 사례를 하나 소개했다.
보도한 내용을 보면, 한 사람이 주말인 금요일 밤에 한 영국인으로부터 아주 예의바른 전화를 받으면서 이번 사건이 시작됐다.
휴대폰으로 전화를 건 이는 자기가 그가 가진 ‘은행 신용카드사의 사기팀(bank’s credit card fraud team)’ 소속이라고 말하면서, 전화번호는 물론 성을 포함한 정확한 이름뿐만 아니라 신용카드의 뒷자리 네 자리까지 알고 있었다. 또한 그의 신용카드에 온라인 여행사에 6,000달러가 넘는 의심스러운 청구가 있었다고 침착하게 설명하면서, 그에게 휴가에서 큰 돈을 썼는지 물었다.
하지만 전화를 받았던 사람은 고급 호텔에서 수천 달러를 쓴 적도 없었기 때문에 즉시 은행의 앱을 확인했고, 누구도 그런 비용을 청구하지 않은 사실을 발견했다.
이후 그 남성에게 믿을 수 없다고 말하고 전화를 끊은 후 은행에 전화해 재차 이를 확인했다.
그런데 이튿날 예의바른 또 다른 영국인으로부터 똑같은 전화를 받았는데, 그는 이내 사기범 조직이 이미 전화했던 사람에 대한 정보를 공유하지 않는다는 사실을 눈치챘다.
두 번째 사기범이 말한 시나리오 역시 전날 밤에 전화했던 첫 번째 사기범과 똑같이 온라인 여행사에서 6,000달러가 넘는 비용이 청구됐다는 내용이었다.
그가 짐짓 매우 걱정하는 투로 대답하자 사기범은, 최근에 예상치 못한 이메일이나 문자 메시지에서 링크를 클릭한 적이 있는지, 그리고 신용카드 정보를 친구나 가족과 공유한 적이 있는지 물었다.
그가 “난 바보가 아닙니다”라고 말하자. 사기범은 “당신을 바보라고 생각하지 않는다”라고 그를 안심시키면서, 자기에게 다시 읽어줘야 하는 코드가 담긴 문자 메시지를 곧 받게 될 것이라고 말했다.
하지만 그가 “나한테 코드가 있다”라고 말하자 이때쯤 들켰다는 사실을 눈치 챈 사기꾼은 갑자기 태도가 돌변해 그의 집 주소를 읽더니 “난 네가 어디 사는지 알아, 개자식아(I know where you live, b***h”)”라고 외치고는 전화를 끊었다.

호주 기업 Medibank를 협박한 해커 그룹의 문자 메시지

<갈수록 정교해지는 사기꾼들의 각본>
뉴질랜드 사이버 보안기관인 ‘CERT NZ’의 전문가는 이들 사기꾼 조직은 몇 가지 방법으로 주소와 전화번호 등의 세부 정보를 모을 수 있으며, 그중 가장 쉬운 방법은 데이터 유출로 발생한 대량의 자료를 돈을 주고 사거나 다운로드하는 것이라고 설명했다.
그는 이러한 데이터가 유출되면 장기적인 영향이 있기 때문에 기업이 정보를 보호하는 게 정말 중요하다고 강조했다.
실제로 몇 년 전부터 호주에서는 보험이나 통신 등 여러 분야 기업체에서 엄청난 양의 개인정보가 여러 차례 대량으로 유출돼 커다란 사회 문제로 비화한 상태이다.
그중 2022년에 러시아에 기반을 둔 해커 집단에게 970만 명의 전,현 고객 정보를 탈취당한 호주 최대 건강보험 회사인 ‘메디뱅크(Medibank)’는, 970만 US달러에 달하는 몸값 요구는 거절했지만 이후 개인 정보가 실제로 공개되기 시작한 가운데 정부로부터 한화로 최대 2경원이라는 전대미문의 벌금을 물 수도 있다는 보도가 얼마 전에 나온 바 있다.
전문가는 또한 사기꾼은 100명에게 사기를 시도해 한 명만 걸려도 성공이라면서, 위 사례에서 사기꾼이 문자 메시지를 보내려고 했던 것은 은행 직원처럼 보이도록 해 ‘2단계 보안 인증(two-factor authentication, 2FA)’을 복제해 뚫고자 했을 가능성이 높다고 덧붙여 설명했다.
사기꾼이 이렇게 하는 이유는 현재 2단계 보안 인증이 범죄 방지에 아주 잘 작동하고 있기 때문인데, 전화 내용을 믿은 피해자로부터 정보를 넘겨받거나 또는 휴대폰에 악성 코드를 설치하는 항목을 클릭하게 만들 수 있다.
전문가는 이처럼 사기가 의심되는 경우에는 일단 전화를 끊고 직접 은행에 문의하는 게 가장 좋은 방법이라고 강조했다.
나아가 최근에는 사기꾼 조직이, 사기임을 금방 알 수 있는 전화를 먼저 한 번 건 다음에 그 며칠 뒤에 진짜 은행이나 통신사 직원인 것처럼 위장하면서 다시 전화로, “당신이 사기를 당했거나 누군가가 당신에게 연락을 시도했다는 소식을 들었다”라고 말하면서 재차 사기를 치려고 시도하는 사례도 발생하고 있다고 보안 전문가는 말했다.

CERT NZ에 보고된 분기별 사이버 범죄 변동(2022.~2024)

<지난해 NZ의 사이버 사기 피해액 2억 달러 육박>
국내 최대 금융기관 11곳의 자료를 보면 뉴질랜드인은 지난 2023년 9월까지 연간 1억 9,800만 달러나 되는 엄청난 돈을 각종 사이버 사기로 잃은 것으로 알려졌다.
또한 사이버 범죄 보안기관인 CERT NZ가 올해 1분기에 공식적으로 대응한 스캠을 포함한 사이버 범죄만 1,530건이었으며, 그중 가장 많은 것이 ‘피싱(phishing)’으로 699건이었고 ‘스캠’이 487건이었다.
그중 500 달러 미만의 피해가 53%였는데, 한편 1분기 직접적인 피해액은 공개된 것만 660만 달러로 지난해 4분기보다 84%나 늘었는데, 10만 달러 이상의 피해가 발생한 건이 10건이나 됐으며 이들이 전체 피해 금액의 70% 이상을 차지했다.
한편 이와 같은 상황에서 ‘뉴질랜드 소비자보호협회(Consumer NZ)’는 6월 중순부터 사기 범죄 증가에 대응해 정부가 나서서 은행이나 통신사 및 기타 디지털 플랫폼 기업이 사기꾼에 대해 더 많은 조치를 취하도록 요구하는 2만 명 목표의 청원을 시작했다.
이번 청원에는 ‘피해자의 전적인 과실(victim had been grossly negligent)이 없는 한’ 사기 피해자가 은행을 비롯한 이들 기관에 대해 피해액 환불을 요구할 수 있도록 했다.
협회는 청원서에서, 사기가 늘어 일상을 망치고 있고 지난 한 해 국내에서 백만 가구가 넘는 가정이 사기꾼 표적이 됐는데도 불구하고 사기 방지 측면에서 뉴질랜드는 호주나 영국, 싱가포르와 같은 국가에 뒤처져 있다고 지적했다.
이에 따라 피해자가 심각한 과실을 저지른 경우가 아니면 은행이 사기 피해액을 환불하고 은행, 통신사 및 디지털 플랫폼이 사기를 해결하기 위한 조치를 취하고, 또 의무를 이행하지 못할 경우 책임지도록 명시하도록 요구했다.
이에 앞서 올해 3월 초 앤드루 베일리(Andrew Bayly) 상업 및 소비자보호부 장관은 국내 은행들에게 서한을 보내, 소비자 보상 제도 개선에 대한 은행의 자발적 상환 제도를 점검해 주도록 요구했다.
베일리 장관은, 사기 수법이 더욱 교묘해져 점점 더 많은 국민에게 심각한 재정 및 정서적 피해를 주고 지난해 사기 피해액이 거의 2억 달러에 달한다면서, 이런 상황은 바뀌어야 한다고 강조했다.
이에 따라 국민을 더 보호하려면 은행 프로세스를 강화해야 하며 수취인 확인을 포함해 업계의 다양한 작업이 진행 중이지만 아직 해야 할 일이 많다면서, 소비자 보상에 대한 자발적 상환 제도를 점검해야 하며 이에 대한 정부 기대치를 전달했고 향후 몇 달간 진행 상황을 지켜보겠다고 밝혔다.
언론에서 베일리 장관에게 자발적인 계획을 마련하지 않으면 정부가 은행을 규제할 것인지 묻자 그는 “정부는 확실히 그들에게 보조를 맞춰줄 것을 요청하고 있다”고 답했다.
한편 소비자보호협회는 청원서에서, 싱가포르와 호주 정부가 운영하는 ’중앙 집중식 사기 방지 센터(centralised anti-scam centre)’ 설치도 요구했는데, 베일리 장관은 최근 이와 관련된 회의를 위해 싱가포르를 방문한 바 있다.
호주의 ‘ACCC(The Australian Competition and Consumer Commission)’가 운영하는 ‘국립 사기 방지 센터(The National Anti-Scam Centre)’는 자체 웹사이트에서, 정부와 법 집행기관 및 민간 전문가가 모여 사기 행위가 소비자에게 가기 전에 막는 게 목적이라고 밝히고 있다. 또한 이 기관은 공유하는 자료의 추세를 분석하고 그에 따른 조치를 취하며, 사기를 알아채고 막는 방법에 대한 소비자 인식을 높이는 활동과 함께 신고를 용이하게 하고 관련 기관 간의 협조도 강화하고 있다.

올해 1분기에 CERT NZ에 보고된 사이버 범죄 유형

<무역 거래에서 시작된 scam 사기>
‘스캠(scam)’은 사실 인터넷이 활성화하기 훨씬 전인 1980년 이전부터 나타났던 고전적인 사기 수법이었다.
특히 외국과 무역을 할 때 가짜 편지를 가지고 마치 거래 상대방인 것처럼 위장한 뒤 대금을 가로챘으며, 이후 시대가 변하면서 이메일을 해킹하는 방식으로 진화했다.
‘스캐머(scammer)’라고 불렸던 이들은 업체의 거래 상황을 계속 지켜보다가 돈이 오가는 결정적인 순간에 끼어 들어 계좌 정보 등을 바꿔치기 하는 수법으로 돈을 빼돌린다.
이런 범죄는 지금도 벌어져 실제로 지난 2016년 4월 한국의 한 대기업이 사우디아라비아의 국영 석유기업인 ‘아람코’의 자회사를 사칭한 사기꾼에게 속아 240억원이라는 거액을 날리기도 했다.
인터넷과 연결된 스마트폰과 특히 각종 소셜 미디어를 통해 일상생활이 영위되는 지금은 ‘로맨스 스캠(Romance scam)’이라는 신종 사기까지 등장해 가뜩이나 외로운 사람을 울리고 있는 실정이다.
또한 사기꾼들의 수법이 날로 정교해지고 악랄해진 데다가 범죄 조직이 기업화로 대형화되면서, 인터넷 환경에 취약한 노인을 비롯한 사회 취약 계층은 물론 심지어는 은행원이나 경찰, 변호사 등 이 방면에 대해서는 상당한 지식을 갖춘 전문가들까지 속절없이 당해 주변을 놀라게 만들기도 한다.
특히 한국에서는 피해자가 사기꾼이 전했던 내용을 직법 확인하기 위해 전화하면, 이를 중간에 가로채 마치 확인하고자 하는 기관이나 은행의 직원인 것처럼 위장하는 이른바 ‘전화번호 변화 중계기’까지 횡행하면서 더욱 많은 피해자가 나오고 있다.
더욱이 대부분의 사이버 사기는 국내가 아닌 치안도 안 좋은 동남아 국가나 중국 등 외국에 기반을 둔 사기꾼 조직이 인터넷이나 통신망을 통해 저지르기 때문에, 수사는 물론 피해 복구도 어렵고 설사 보상이 이뤄진다고 해도 그 절차가 복잡하고 시간도 많이 걸려 피해자로서는 이중 삼중의 어려움을 겪을 수밖에 없는 실정이다.

이스라엘 출신의 시몬 하유트(Shimon Hayut), 그는 여러 나라 여성을 상대로 로맨스 스캠을 벌여 130억원을 가로챘지만 단 5개월 징역형만 받았으며, 그의 이야기는 넷플릭스가 영화로 만들었다.

<은행은 절대 비밀번호 요구나 원격 접속 안 해>
이에 따라 정부는 물론 금융이나 보안기관, 소비자 보호 단체 등은 개인이 사전에 이를 막는 게 최선이라면서 기회가 날 때마다 여러 가지 요령을 홍보하고 있다.
특히 국내 주요 은행들은, 자기들이 비밀번호나 PIN, 그리고 2단계 보안 인증 번호도 절대 요구하지 않는다고 한목소리로 강조하고 있다.
또환 은행 직원이 전체 신용카드 번호나 CVV(카드 뒷면의 세 개 숫자)도 요구하지 않고, 고객에게 소프트웨어를 다운로드하도록 요청하지도 않으며 원격으로 장치에 접근하도록 허용하지도 않는다고 전하고 있다.
만약 알 수 없는 번호로 전화가 걸려오면 위험 신호이며 실제 은행 직원인지 확실하지 않으면 전화를 바로 끊고 정상적인 웹사이트에 나와 있는 전화번호로 전화하도록 당부하고 있다.
그리고 사기라고 생각하면 은행이나 Netsafe(https://report.netsafe.org.nz)에 신고하라면서, 특정한 사기가 아니더라도 CERT에 신고하면 모든 새로운 사기 유형을 모니터링하고 은행, 통신사, 보험회사, NZ Post를 비롯한 커뮤니티와 공유해 사기꾼에 맞서는 새 방법을 찾는 데 도움이 된다고 전하고 있다.
한국대사관도 이번 안내에서, 경찰은 절대로 은행 정보, 비밀번호 또는 PIN 번호를 물어보지 않고 상금도 제공하지 않으며, 은행에 가서 돈을 출금하라고 요청하지 않는다는 점을 강조했다.
또한 비슷한 내용의 전화를 받으면 전화를 건 사람의 신원 확인을 요구하고, 전화를 끊고 105번에 연락해 신원을 확인한 뒤 경찰관이 다시 연락하도록 요청하라고 당부하면서, 의심스러운 전화를 항상 주의하고 피해를 입었을 경우에는 경찰에 반드시 신고하도록 요청했다. [KR]