본문 바로가기

은행 홈피서 정상 이체했는데 … 금융사기 당했다

중앙일보 2013.08.21 00:41 종합 10면 지면보기
공인중개사 유모(38)씨는 지난달 31일 오후 고객에게 계좌 이체를 하기 위해 자신의 컴퓨터에 ‘즐겨찾기’ 등록된 주거래 은행 인터넷 사이트에 접속했다. 평상시처럼 보안카드 앞뒤 두 자리씩 입력하고 실행 버튼을 눌렀다. 그러나 웬일인지 먹통이었다. 다시 접속해 시도해 봤지만 마찬가지였다. 이상한 생각이 들어 계좌 잔액까지 확인했지만 별문제가 없어 다른 은행 계좌를 이용했다.


신종 '메모리 해킹' 주의보 … 악성코드 심어 목표 PC 장악

 하지만 이틀 뒤인 지난 2일 오전 4시30분쯤 297만1000~297만7000원씩 총 7회에 걸쳐 모르는 사람 명의 계좌로 총 2081만원이 빠져나갔다. 유씨는 “시중은행들이 300만원 단위로 모니터링한다는 점을 알고 금액을 1000원 단위로 바꿔가며 이체한 것 같다”고 말했다.





 자영업자 봉모(44)씨는 지난달 30일 오후 포털사이트 검색을 통해 주거래 은행 인터넷 사이트에 들어갔다. 200만원을 계좌 이체하자 팝업창이 하나 떴다. 보안강화 때문이겠지 싶어 계좌·공인인증서 비밀번호와 보안카드 앞뒤 두 자리 번호를 입력했다.



 이튿날 오전 1시54분 그는 휴대전화 문자메시지 소리에 잠에서 깼다. 새마을금고로 3600만원이 이체됐다는 날벼락 같은 내용이었다. 은행과 경찰에 바로 신고했지만 이미 현금인출기 한도인 600만원씩 6번 분산 이체된 뒤였다.



 신종 전자금융사기인 ‘메모리 해킹’ 피해가 곳곳에서 발생하고 있다. 메모리 해킹은 가짜 은행 사이트로 유도해 개인정보를 입력하게 하는 ‘파밍’과 달리 정상 사이트에 접속한 피해자들의 비밀번호·보안카드 번호 등을 빼내는 것이 특징이다. 피해자의 PC에 해킹을 위한 악성코드를 심어놓고 피해자들이 정상적인 금융 사이트에 접속했을 때 입력하는 개인정보를 노리는 수법이다.



 경찰청에 따르면 메모리 해킹 피해가 발생하기 시작한 시점은 6월이다. 6월에만 61건, 총 2억4000만원의 피해가 발생했다. 7월에는 27건으로 줄었으나 피해액은 3억1000만원으로 늘었다. 경찰청은 지난달 3일 메모리 해킹 주의보를 내렸다. 금감원도 19일 ‘신종 전자금융사기에 주의하라’며 소비자 경보를 발령했다.



 금융감독원 IT감독국 정기영 IT보안팀장은 “영화 다운로드 사이트나 e메일 등을 통해 설치된 악성코드가 은행 사이트를 이용할 때 작동하는 것”이라고 설명했다. 정 팀장은 “계좌 이체 도중 컴퓨터가 비정상적으로 종료될 경우 같은 보안카드 번호를 묻는 점을 악용한 범죄”라며 “이를 막기 위해 시중은행에 다른 컴퓨터에서 접속할 경우 새로운 번호를 요구하거나 악성코드를 치료할 수 있도록 백신 업데이트를 지시했다”고 밝혔다.



 계좌 이체 도중 컴퓨터가 멈추는 수법이 알려지자 정상 이체한 후 돈을 빼내가는 변형 수법도 나타났다. 정상적으로 계좌 이체가 끝나면 보안을 강화한다는 명목으로 다음 이체 시 사용할 보안카드 번호를 묻는 것이다. 유씨와 봉씨는 사건 당일 경찰에 신고하고 은행을 방문해 전자금융거래이의신청서를 제출했다. 이후 금융감독원에도 민원을 접수했지만 “은행에 자료 요청 중이다” “경찰 조사가 끝나야 보상이 가능하다”는 답변을 받았을 뿐 수사와 보상절차는 더디게 진행되고 있다.



 ◆보상 받을 길은 열려 있어=그러나 지난 5월 22일 공포된 전자금융거래법 개정안은 해킹사고로 인한 이용자 손해에 대한 금융회사의 1차적 책임을 명확히 하고 피해자에게 손해배상을 명시하고 있다. 보이스 피싱·스미싱 피해자 단체 소송을 진행해온 이준길 변호사는 “메모리 해킹의 경우 피해자가 중대한 과실을 저질렀다고 볼 수 없고 통상적인 계좌 이체 절차를 따랐기 때문에 은행에 보상 책임이 있다”고 강조했다.



 실제로 피해금액을 보상받은 사례도 있다. 지난 6월 21일 메모리 해킹 수법으로 210만원을 무단 인출당한 양모(31)씨는 은행 측에 피해를 호소했다가 “보상 책임이 없다”는 말만 들었다. 하지만 전자금융거래법을 꼼꼼히 찾아보고 문제를 제기한 끝에 지난 5일 은행으로부터 전액을 보상받았다. 은행들은 “케이스별로 책임 소재가 다르기 때문에 콜센터에 피해 신고가 접수되면 경찰 사이버수사대에 의뢰할 수밖에 없다” 고 밝혔다.



민경원 기자



◆피싱(Phishing)=‘개인정보(Private data)를 낚는다(fishing)’는 의미의 합성어. 우체국·검찰 등을 사칭해 개인정보 유출을 유도하는 전화금융사기를 ‘보이스 피싱’이라고 한다.



◆파밍(Pharming)=동영상 등을 통해 이용자 컴퓨터를 악성코드에 감염시켜 정상적인 금융사 홈페이지에 접속해도 가짜 사이트로 유도한다.





관련기사

▶ 20대 주부, 은행 홈피서 계좌이체 실패해 PC껐더니…
공유하기
광고 닫기