[편집자주] 본지는 우리사회에서 4050세대가 비대면 시대에 소외되지 않도록 맞춤형 기사와 정보를 제공하는 ‘to4050’ 시리즈를 지속적으로 게재합니다.
[투데이e코노믹 = 이지혜 기자] 모바일뱅킹을 이용한 보이스피싱 범죄 피해가 늘어나는 가운데 은행권은 ‘악성 애플리케이션(앱)’을 자동으로 탐지하는 기술을 도입하고 있다.
금융감독원이 지난 15일 발표한 2020년 보이스피싱 현황 분석에 따르면, 지난해 피해금액은 2353억 원, 피해건수는 2만 5859건에 달한다.
보이스피싱의 주요 타깃은 40·50대와 60대 이상의 중장년층이다. 대출빙자형 사기의 경우 40·50대 피해자가 65%에 달했다. 메신저피싱을 포함한 사칭형 사기의 경우 40·50대 피해가 41.7%였으며, 60대 이상도 48.3%에 달했다.
피해금 이체 채널별 비중을 살펴보면 모바일·인터넷뱅킹이 75.2%로 대부분을 차지했다. 이 비중은 2016년 42.1%에서 2018년 66.3%, 2019년 71.7%로 지속적으로 증가해왔다.
보이스피싱 범죄 조직은 시중 금융회사·정부기관·자녀·지인을 사칭한 메시지를 통해 피해자들에게 악성 앱 설치를 요구하는 수법을 쓰고 있다. 이들 앱은 정상적인 은행 앱과 같은 이름, 아이콘을 가지고 있어 쉽게 구분하기 어렵다.
KT모바일 ‘후후(whowho)’가 지난해 10월 밝힌 것에 따르면, 이 회사가 탐지한 일 평균 악성 앱은 130건에 이른다. 또 국회 정무위원회 소속 고용진 더불어민주당 의원이 금융보안원에서 받은 자료에 따르면, 금융보안원은 2019년 1월~8월 동안 월평균 3619건의 악성 앱을 탐지한 것으로 나타났다.
‘전화 가로채기’ 앱, 피해 10배 이상 키운다
전화 가로채기를 통해 이용자는 보이스피싱을 의심하지 못하고 속수무책으로 당하게 된다. 때문에 악성앱을 통한 평균 피해금액은 전체 보이스피싱 평균 피해금액보다 10배 이상 크다.
감사원이 지난 7월 발표한 ‘전기통신 금융사기 방지 대책 추진 실태’ 감사보고서에 따르면, 2019년 전체 1인당 보이스피싱 평균 피해금액은 1334만 원 수준인데 비해 2018년 11월~2019년 9월 원격제어형 악성 앱으로 인한 피해 금액은 건당 1억 4500만 원에 달한다.
피해자의 휴대폰을 통제하는 ‘전화 가로채기’ 앱은 최근 가장 유행하는 방식으로, 대표적인 수법은 다음과 같다.
대출 홍보를 빙자한 문자 등을 발송 후, 반응을 보이는 사람들에게 악성 앱을 다운받도록 한다. 확장자 ‘apk’ 파일을 전달하거나, 시중 금융사와 비슷하게 꾸며진 모바일 피싱 사이트에서 앱을 다운로드하게 만드는 식이다.
이 앱이 설치되면 해킹 프로그램을 작동, 피해자의 휴대폰을 범죄자가 통제한다. 피해자가 의심이 들어 은행이나 경찰, 금융감독원 등 정부기관으로 전화를 하면 악성 앱이 해당 기관의 안내음 파일을 자동 재생한 뒤 보이스피싱 조직이 미리 마련한 가짜 콜센터로 전화를 가로챈다.
이밖에도 문자를 가로채거나 마음대로 삭제해 피싱 위험 알림을 받지 못하게 할 수도 있다. 위치정보를 가져가거나 마이크, 카메라를 몰래 작동시키기도 한다.
가장 대표적인 악성 앱은 ‘카이시’다. 안랩과 이스트시큐리티에 따르면 주로 대출 관련 보이스피싱과 연계된 공격자가 카이시 설치를 유도한다. 이 앱은 통화기록과 주소록 정보, SMS를 탈취할 뿐만 아니라 금융기관으로 전화하는 경우 발신 전화를 가로챈다. 금융사이트와 유사한 페이지 디자인을 가지고 있기 때문에 피해자가 인식하기 쉽지 않다.
단말기에 카이시를 설치하면 본 전화 앱을 변경하게 하고 통화기능·주소록·문자메시지 등에 대한 접근 권한을 요구한다. 이용자가 권한을 허용하면 카이시가 전화 수신 및 발신에 접근해 통화기록 등을 조작할 수 있게 된다. 또한 스마트폰 정보와 주소록, 메시지 등 개인정보를 유출한다.
은행업계, 자체 앱에 악성 앱 탐지 기능 실어
은행업계는 자체 모바일 앱에 악성 앱을 감지하는 기능을 포함하는 등 첨단 IT 기술을 동원해 피해를 방지하고 있다.
KB국민은행은 지난 12일부터 ‘KB스타뱅킹’를 통해 보이스피싱 악성 앱 탐지 서비스를 시작했다. 정식 앱마켓에 등록되지 않은 전화 가로채기 앱이나 사칭 앱, 원격제어 앱 등을 찾아낸다.
뿐만 아니라 고객 금융거래 패턴과 자금 흐름 등을 실시간으로 분석해 보이스피싱 징후를 탐지하는 ‘신모니터링 시스템’을 중심으로 IT 기법을 활용한 종합적인 보이스피싱 예방시스템을 구축하고 있다.
이같은 예방 대책을 통해 피해액을 2019년 대비 급감시켰다. 금융감독원에 따르면 국민은행의 지난해 보이스피싱 피해액은 293억 원으로, 전년 1039억 원 대비 약 71.8% 급감했다.
이상규 KB국민은행 홍보 담당자는 25일 본지에 “최근 보이스피싱이 점점 더 지능화되고 있는 가운데, AI 등 자체 모니터링 시스템을 고도화하고 있다”면서 “고객 자산을 선제적으로 보호하기 위해 최선을 다하겠다”고 말했다.
우리은행은 지난해 7월부터 ‘우리WON뱅킹’에서 보이스피싱 악성 앱 탐지 시스템에 차단서비스를 추가했다. 악성앱이 설치된 스마트폰으로 우리WON뱅킹을 실행하면 악성 앱의 설치, 활성화 여부를 자동으로 탐지하고 보이스피싱 위험을 안내한다. 정상거래를 하려면 스마트폰에 설치된 악성 앱을 삭제하거나 실행을 중단해야 한다.
하나은행은 지난해 11월 ‘하나원큐앱’에 보이스피싱 악성앱 탐지 기능을 탑재했다. 앱을 실행하면 자동적으로 악성 앱을 탐지하고, 확인되면 즉시 계좌를 정지한 뒤 피해자에게 안내 문자를 발송하는 시스템을 구축했다.
이를 통해 지난 3월초까지 네 달간 200억 원 이상의 보이스피싱 피해를 막는 성과를 거뒀다. 총 522명이 범죄자에게 보내려던 119억 원 규모의 송금을 막아냈을 뿐만 아니라 대출 신청 후 대기하던 2639명의 예비 피해자들도 보호했다.
신한은행은 지난 2월부터 ‘안티 피싱 플랫폼’을 고도화하고 악성 앱 설치 여부를 탐지하는 등 모니터링을 실시 중이다. 이를 통해 두 달여 만에 724명, 147억 원 규모의 피해를 예방했다.
BNK 부산은행은 올해 1월 V-FDS와 KT 모바일의 ‘후후’앱을 연결, 이달부터 본격적으로 운행 중이다. 핸드폰에서 수집되는 사기 정보를 수집·분석하고 모니터링한다.
한편 금융감독원과 은행권은 출처가 불분명하거나 의심되는 앱, 원격제어 앱은 절대 설치하면 안 되며 이미 설치한 경우에는 다른 사람의 휴대폰으로 경찰, 금융감독원, 은행 고객센터 등으로 전화해 도움을 요청해야 한다고 당부했다.
