[금융사기 잡설6] 보이스피싱 수법 대책

1. 이용 수법

    1) 앱을 깔아라 -> 해킹앱 -> 휴대폰 조종해서 계좌 돈 빼고 대출 내고 전화 다른 곳으로 걸기

    2) 신분증 사본을 보내줘 -> 휴대폰 무단 개통 -> 금융계좌 인증해서 전재산 탈취

    3) 돈을 뽑아서 잠깐만 맡기면 확인할게 -> 수금책이 받아감 -> 도망

    4) 소소한 본인인증을 위해 전화상으로 번호를 눌러주세요 -> 사실 대출 인증이었음 -> 대출금 편취하고 도망

 

2. 조종 수법

    1) 앱을 깔아라

    "빠른 진행을 위해 저희가 보낸 최신 은행 앱을 깔아주세요."

    "선생님은 범죄 혐의를 받고 계십니다. 정말로 결백함을 보이려면 수사의 원활한 진행을 위해 수사기관의 휴대폰 인증 앱을 깔아주세요."

    "고객님 명의로 해외 결제가 무단으로 되셨군요. 해외거래 취소를 위해 쇼핑몰 앱을 잠깐만 설치하셨다가 나중에 삭제하시면 됩니다."

 

    2) 신분증 사본을 보내줘

    "엄마, 나 딸인데 밖에서 휴대폰이 망가졌어, 어떡해?"

    "정부에서 지원해주는 초 저금리 대출이고, 일단 본인 확인을 위해 신분증 촬영해서 보내주세요."

 

     3) 돈을 뽑아서 잠깐만 맡기면 확인할게

    "귀하는 현재 전기통신금융사기에 가담한 용의자 상태입니다. 거래도 재판 기간 몇 년간 동결될 것이고요. 하지만 귀하가 수사에 협조하고 있다는 점을 보아서 동결되면 안 되는 금액은 안전계좌에 송금해두시면 동결에서 제외하도록 조처하겠습니다."

 

    4) 인증을 위해 전화상으로 번호를 눌러주세요

    "ㅇㅇ은행입니다. 초 저금리 정부 정책 대출 문의를 주셨는데, 일단 고객 정보 조회를 위해 생년월일을 입력하시고 저희 인증 문자가 가면 번호를 입력해주세요."

    "ㅁㅁ은행입니다. 김ㅇㅇ 고객님이 맞으시지요? 개인정보 노출자 신고를 해 주셨는데, 보이스피싱 우려 때문에 당황하신 상태이실 것 같아요. 저희는 금융사기 신속대응팀 소속입니다. 비대면으로 고객님의 계좌를 동결하는 절차를 진행해 드리고 있습니다. 본인 인증을 위해 생년월일을 입력해 주세요."

 

 

3. 분류

    1) 수사기관 사칭: 검찰 경찰 금융감독원. 피의자로 수사중이니 죄가 없으면 수사에 협조하라거나, 피해자가 되었으니 추가 피해 예방을 위해 협조하라는 식으로 보이스피싱 공격을 합니다. 가령 '금융감독원 인증 앱, 최신 은행 앱, 경찰 신분확인 앱' 등을 깔라고 하거나, 본인 확인을 위해 은행의 대출 기능이 작동하는지 확인해보라고 하거나 (그렇게 대출한 돈을 편취) 하죠. 사람 이름은 전화번호를 카톡에 추가하기만 해도 알 수 있다 보니 성의없이 수사기관 사칭 사기를 치기도 합니다. 여하튼 피의자로 수사중이라는 이야기 들으면 집 근처 경찰서 방문할 테니 관련 내용 해당 경찰서에 이첩해 놓으시라고 말씀하시고 끊으시면 됩니다. 아니면 주소 알려주지 마시고 자택으로 등기우편 보내라고 하시면 나약한 보이스피싱범들은 포기하기도 합니다.

    2) 쇼핑몰 무단 해외결제 사칭: 대개 실제 영업중인 쇼핑몰을 사칭합니다. 무단 해외결제 취소를 위해서는 신용카드 정보 입력, 회원 가입, 쇼핑몰 앱 설치를 해달라고 하는 식으로 보이스피싱 공격을 합니다. 해외결제 문자를 받으시면 카드사 대표번호로 상의하시고 절대 전화를 걸거나 링크를 누르시면 안 됩니다.

    3) 조건 좋은 대출 사칭: 정부 지원 정책 자금, 특판 등을 사칭해 '은행' 상담원과 통화하게 합니다. '최신 은행 앱, 신분확인용 금융 앱'을 설치하게 하거나, 대출을 위한 신분증 사진이나 대출 가능액 확인을 위한 주민등록번호를 요구합니다. 대출은 금융기관 대표 앱으로 직접 연락해서 받으시고 문자로 광고오는 건 무시하시기 바랍니다.

   4) 가족 사칭, 가족 납치 사칭

 

 

4. 예방책

    1) 휴대폰

         : 아이폰+차단 모드, 연결된 iCloud 계정의 암호는 매우 어렵게 설정할 것.

         : 사기 전화번호 조회 앱을 설치하세요. 

 

   : 안드로이드는 부득이한 이유가 없는 한 사용하지 마세요.

   그 부득이한 경우는 보통 직장에서 보안 앱 (MDM)을 깔라고 시키거나, 통화 녹음 보관 때문일 겁니다.

    이 경우 휴대폰 분리를 추천 드립니다.

        - 아이폰: 금융 업무는 아이폰에서만 처리.

        - 안드로이드: 유명 모바일 백신, 사기 전화번호 조회 앱을 설치. 회사에서 MDM 솔루션을 제공할 경우 설치.

        구글 플레이 스토어에서만 어플리케이션 설치. 사적인 앱은 직장에서 단체로 시킬 때만 설치하시고, 수사기관, 쇼핑몰이 시킬 경우 절대 설치하면 안 됩니다. 또 가족이나 직장상사가 비대면으로 시킬 경우에도 절대 설치하면 안 됩니다.

    안드로이드를 쓰지만 아이폰을 투폰으로 쓸 수 없는 경우 토스 앱을 설치하세요. 악성 앱을 일부 포착합니다.

 

    여러분은 조심하거나 주의깊게 살펴봄으로써 절대 모바일 보안을 확보할 수 없습니다. 이건 일반인의 능력을 벗어나는 일일 뿐입니다.

    - 수상한 웹사이트에 접속하지 마세요: 2023년 기술 수준으로는 구글 검색엔진을 들고 와도 수상한 웹사이트를 자동으로 걸러내지는 못 합니다.

    - 악성앱을 설치한 것으로 의심된다면 악성앱을 삭제하고 백신으로 기기를 검사하세요: 일단 통장에서 돈이 빠져나가기 전에 악성앱 설치 의심 자체가 힘듭니다. 또, 백신을 돌린다 해도 백신이 잡을 수 있는 수준으로 기존 악성코드를 많이 베낀 코드에 한해서 잡을 수 있을 겁니다.

 

    여러분이 할 수 있는 건 아이폰 쓰고 공용와이파이를 쓰지 않는 것 뿐입니다. 그리고 그것만으로도 많은 보호를 제공해 주죠...

 

 

    2) 통신사

        : 통신사 지점 방문해서 본인 인증 없는 휴대폰 개통 차단하세요.

        : 현대 금융권은 본인 명의 휴대폰을 통한 인증을 최우선으로 하기 때문에 비밀번호를 일일이 모르더라도 본인 명의 휴대폰, 이름, 주민번호 정도만 있으면 대부분의 자금을 탈취할 수 있습니다. 그래서 내 허락 없이 휴대폰을 개통하지 못 하게 하는 게 매우 중요합니다.

        : 지금 당장 가입 제한을 안 걸더라도, 문제가 생겼을 때 바로 걸 수 있도록 집 근처 통신사 지점 위치를 알아두어야 함.

    3) 보험사

        : 보이스피싱 손해보험 가입: 큰 보상 받을 수는 없지만 큰 손해 보지도 않는 구조 (연 피해 전국민 0.1%)

    4) 자녀와 부모님 간에 보이스피싱 예방 교육. 신분증, 계좌 비밀번호, 주민등록번호, 앱 설치 요구하지 않고 신분증에 적힌 개인 확인용 정보를 물어보지도 않을 것이며 인증 전화를 받으라고 요구하지도 않을 것이라는 점을 서로간에 분명히 해 두어야 함.

 

    5) 은행

        : 실물 OTP 발급. 실물 OTP 기계가 없고 내가 보이스피싱범에게 OTP 인증번호를 직접 말해주지 않는 한 계좌번호 알고 비밀번호 해킹해도 출금 불가능함.

        : 금융 거래는 가급적 통신사 아이피에 아이폰으로만 수행하세요.

             : 공용 와이파이 인터넷을 쓰지 마세요.

             : PC windows로 금융권에 접속하지 마세요. 은행을 공격하기 어려우니 금융권 보안 프로그램을 대신 공격합니다. 아이폰보다 훨씬 위험합니다.

        : 은행이나 증권사가 비대면으로만 거래할 수 있거나 여러분이 사는 지역에 지점이 없다면 가급적 거래를 줄이세요. 문제가 생겼을 때 아무 조치도 취할 수 없기 때문입니다.

        : 은행 전화번호는 은행연합회 홈페이지에서 사기 여부를 조회 가능합니다. 전화가 올 경우 대개 1588 등 전국 단위 대표 국번으로 오고 02-1588-xxxx, 031-1588-xxxx 등 일반 국번으로 시작하는 경우 사칭일 가능성이 높으니 일단 끊는 게 중요합니다. 상황 설명을 들었으면 일단 끊으시고, 급한 건이면 대표번호로 '내가 걸어서' 처리하시고 덜 급한 건이면 다음날 대면으로 처리하시면 됩니다.

        : 송금 시 사기 여부가 약간이라도 우려되시면 토스 계좌를 사용하세요. 상대방이 토스는 이용할 수 없다고 하면 보이스피싱이니 연락을 중단하고 상황을 다시 조사하세요. 토스는 계좌 이체를 할 때 알고리즘을 통해 사기 의심 계좌면 송금자에게 경고를 합니다.

        : 보이스피싱 피해를 줄일 수 있는 분산투자 방법에 대해서는 글을 분리합니다. https://zipperdream.tistory.com/m/156

     6) 주요 계정 보안 강화

        : 이메일 비밀번호는 12자리 이상+대소문자 랜덤+특수문자 등 시스템이 허용하는 가장 고난이도로 설정. 가령 cwy790815는 쉽게 털 수 있어도 v34NkL&4hpQ?1은 털기 어렵습니다. 그리고 그 비밀번호는 종이에 적어두시고 휴대폰에는 남겨두지 마세요. 네이버, 카카오, 구글, 마이크로소프트 주 계정은 보안을 최대한 강화해 두셔야 합니다.

        : 카카오, 마이크로소프트, 구글 계정의 경우 잡다하고 사소한 인증만 담당하고 절대 결제를 할 수 없을 만한 계정을 하나 파두세요.

        : 아이폰이실 경우 일부 중요하지 않은 계정들은 저장해두셔도 괜찮으나, 중요하지 않은 계정들만 그렇게 처리하세요.

 

     7) 와이파이

         : WPA3 (암호 규격) 지원 공유기로 교체. 23년 초 기준 저가형 8만원 정도. TKIP은 2008년 이후, WPA2는 2018년부터 안전을 보장할 수 없기 때문입니다. WiFi 6 표준에서 WPA3를 요구하고, 802.11ax 규격을 지원하는 공유기 중에 WPA3 암호 규격을 지원하는 경우가 많습니다.

             : 아이폰의 경우 아이폰 11 (2019) 부터 WiFi 6 지원함.

             : 노트북의 무선 랜카드도 802.11ax 연결을 지원해야 합니다. 23년 초 기준 최저가 35,000원.

         : 공유기 교체에 대한 관심 필요

             : 대개 2년 정도면 공유기 제조사도 펌웨어 업데이트를 중단하기 때문입니다.

             : 한 번 털린 걸 확인하면 바로 교체하시는 게 좋습니다. 한 번만 털려도 백도어를 만들어서 계속 털 수 있으므로 암호 교체 정도로는 못 막습니다.

         : 공유기에 대한 관심 필요

            : 공유기가 털리면 거기 연결된 모든 휴대폰과 컴퓨터의 암호가 노출되는 것과 같습니다.

            : 공유기 펌웨어 업데이트를 자주 해주세요.

            : WiFi 암호와 관리자 암호는 최대한 어렵게 설정해주시고, 시스템이 허용하는 한 최대한 복잡하고 길게 해주세요.

         : 공용 와이파이 (카페, 음식점)에서 중요한 아이디 (SNS, 인증용 이메일, 금융) 로그인 금지

             : 상점 주인들에게 최신 암호 규격을 지원하는 공유기를 설치하고 주기적으로 펌웨어 업데이트 하기를 바라는 것은 불가능하기 때문

             : 피치못할 사정으로 공용 와이파이에서 중요한 아이디 로그인을 해야 했을 경우 안전한 인터넷이 확보되는 즉시 비밀번호를 교체할 것.

      8) PC

           : 공인인증서를 PC 하드디스크에 보관하지 마세요.

           : windows는 가급적 11로 업그레이드 하세요. 2017년 이전에 생산된 구형 하드웨어는 Windows 10만 사용할 수 있는 경우도 있습니다. RETbleed 등 보안이 취약할 수 있으니 언제 누가 털어가도 상관없는 엔터테인먼트용으로만 써주시고, 절대 금융 거래나 이메일 접속을 하지 마세요.

       9) 기타

           : 가격에 큰 차이 없으면 보이스피싱 이슈가 있는 군소 해외결제 쇼핑몰을 가급적 이용하지 마세요. 해당 쇼핑몰을 이용하고 얼마 후 해당 쇼핑몰의 해외결제 보이스피싱 문자를 받는 경우를 보면 서버가 털린 상태에서 지속적으로 보이스피싱 먹잇감 공급을 하고 있는 것은 아닌지 의심스러울 때가 있습니다.

 

 

5. 보이스피싱을 당할 가능성이 높아졌다고 우려 시

    1) 거래하는 은행 중 가까운 은행 방문

         - 금융감독원 개인정보 노출자 등록, 전 금융권 대상

              : 단, 개인정보 노출자 등록 정보를 모아서 보이스피싱 시도하는 곳이 있으니 은행에서 전화오면 절대 시키는 대로 개인정보를 주거나 번호 누르지 말 것 (예: '은행 상담원'이 보이스피싱 예방 도와줄 테니 본인인증 하라고 사칭). 상황설명 들었으면 대면 방문해서 처리하겠다고 말하고 끊을 것. 또는 대표번호로 다시 걸 것.

              : 비대면 인터넷 은행/증권사의 경우 개인정보 노출자 등록되면 출금 제한되는 곳들 있음. 신청 전 자동이체를 대면 거래 가능한 가관으로 돌려 놓고 필수적이지 않은 금액도 대면 거래 가능한 기관에 보관하는 게 나음. 해당 은행에서 대출을 받거나 월급 계좌로 등록해놓는 등 거래 중단이 어려운 이슈가 있다면 고객센터에 문의해보고 결정할 것.

          - 당장 쓸 생활비를 현금으로 몇십만원 정도 뽑아 두도록 함.

    2) 신분증 촬영사진 노출 우려 있을 시 동사무소 방문해서 주민등록증 분실신고 및 재발급: 사진 찍는데 10분에 2만원, 재발급 민원에 10분에 5천원, 발급에 소요되는 기간이 2~4주.

    3) USIM 뽑고 휴대폰 아이폰+차단 모드로 교체: 이미 해당 휴대폰이 해킹당했다면 모든 금융기관/수사기관으로의 전화는 보이스피싱 콜센터로 연결되고 모든 입력내용은 해커에게 넘어가고 있을 가능성이 있음. 그리고 개인 이용자가 해당 휴대폰이 해킹당했는지 알 수 있는 방법은 없음.

    4) 공인인증서 폐기 및 재발급: PC에 저장해놓은 공인인증서 사본이 해커에게 넘어갈 경우 사전 대입 공격을 통해 암호를 알아낼 가능성 있음

 

6. 보이스피싱을 현재 당하고 있는 게 아닐 지 우려 시

     - 가까운 경찰서, 은행 등에 방문해서 경찰관이나 은행원에게 직접 문의한다. 보이스피싱을 당하고 있는지 의심스러워서 문의하는 사람을 내치지 않습니다.

     - 전화가 해킹당하고 있는 지 의심스러울 때 위 사람들에게 전화를 부탁하거나 빌려서 안전한 전화로 상황을 확인한다.

     - 경찰. 검찰, 금융감독원 등에서 '등기우편'이나 '대면출석'이 아닌 상황에서 수사를 시작하겠다거나 용의자로 조사하겠다는 말, 카톡으로 보낸 체포영장이나 수사관 명함 등은 겁먹지 마셔야 합니다.

     - 내가 한 적이 없는데 카드사에서 리볼빙이 되었다거나 쇼핑몰에서 거액의 해외결제가 되었다는 데 겁먹지 마셔야 합니다. 상대방이 주는 전화번호나 링크가 아니라 내가 찾은 대표번호로 문의하셔야 합니다.

 

7. 보이스피싱 피해 시 해결책

    - 경찰 신고, 전 금융권 거래 중지 신청

    - 보이스피싱범이 대출을 해서 도망갔을 경우 변호사와 상의해서 금융기관에 채무부존재 확인 소송을 걸어야 함.