[전자금융사기의 진화]해킹·피싱은 알겠는데… 파밍은 뭐지?

공식 도메인 중간서 탈취… 인터넷 주소 맞게 들어가도 사기당해

전자금융 범죄의 가장 전통적인 방법은 금융권 전산망을 해킹해 금융정보를 빼내는 방식이었다.

2011년 4월 현대캐피탈은 해킹에 의해 고객 정보가 대량 유출되는 초유의 사태를 겪었다. 확인된 피해 고객만 무려 43만명에 달했다. 당시 전체 고객(180만여명)의 25%에 달하는 규모다.

일부 고객들의 경우 단순 개인정보는 물론 신용등급과 비밀번호까지 모두 유출됐다. 이후 농협에서는 해킹 사고로 전산이 먹통이 되는 전산 대란이 발생하기도 했다.

하지만 전자금융 사기 범죄는 이후 개인의 금융정보를 빼내는 방향으로 집중됐다.

피싱(pishing)은 개인정보(private data)와 낚시(fishing)의 합성어로 금융기관 등의 웹사이트나 메일 등을 통해 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 수법이다.

또한 파밍은 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인네임시스템(DNS) 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법이다.

이같은 방법으로 확보한 개인정보는 보이스피싱으로 이어지기도 한다. 또 경찰, 국정원 등 공공기관이나 금융기관의 직원을 사칭해 개인정보를 빼내 개인정보로 공인인증서를 불법으로 만들어 예금을 인출한다. 현재는 직접적으로 현금을 송금해 달라는 방법으로 진화하고 있다. 사기수법은 세금 및 보험료 환급, 카드도용, 통신요금, 우체국 택배, 자녀납치 등의 다양한 형태를 띤다.

이메일을 통한 피싱 또한 금융기관이나 공공기관을 사칭해 보내는 메일에서부터 시작되는 수법이다. 고객의 개인정보가 유출되니 개인정보를 수정해 달라는 요청이 주를 이룬다.

또한 메일을 열었을 때 컴퓨터에 악성코드나 바이러스가 투입돼 개인정보를 빼내가는 방법과 오래된 거래처의 메일을 알아내어 은행계좌가 변경됐으니 바뀐 계좌로 송금해 달라는 메일을 보냄으로써 송금 받는 사기 방법도 있다.

파밍은 사이버 금융사기 수법에서 가장 진화한 형태로 금융기관 사이트가 공식적으로 운영하고 있는 도메인 자체를 중간에서 탈취하는 수법이다. 피싱은 사용자가 주의 깊게 보면 알수 있지만 파밍은 사용자가 아무리 도메인 주소나 URL 주소를 면밀히 살펴보더라도 속을 수밖에 없다.

따라서 파밍은 사기를 당하고도 인지하는데 상당한 시간과 어려움이 따른다. 개인정보가 유출됐다 해도 피싱 방지를 위해 도입한 지연이체 제도로 인해 실제 이체 전까지 자각하면 마지막 단계에서 피해를 막을 수 있는 피싱과 달리 파밍은 인터넷뱅킹을 통해 실시간 이뤄지기 때문에 피해 규모가 더 크다는 분석이다.

이밖에 최근에는 모바일뱅킹의 급증에 따라 위ㆍ변조 모바일뱅킹 애플리케이션이 퍼져 실제 거래에 사용되는 경우도 발생하고 있다. 특히 전문가들은 현재 3300만명에 달하는 모바일 뱅킹 이용 고객과 하루 1조원에 달하는 이용 금액을 고려할 때 향후 금융 사기의 양상은 모바일뱅킹을 중점으로 기승을 부릴 가능성이 높다고 분석하고 있다.