[구재천의 증권이야기] 전자금융범죄 - 피싱, 파밍, 스미싱, 해킹
[구재천의 증권이야기] 전자금융범죄 - 피싱, 파밍, 스미싱, 해킹
  • 구재천 변호사(신한금융투자)
  • 승인 2017.10.23 09:00
  • 댓글 0
이 기사를 공유합니다

구재천 변호사(신한금융투자) / 뉴스티앤티

인터넷, 휴대전화 등 전기통신장치를 이용한 전자금융의 발달과 더불어 전자금융범죄(피싱, 스미싱, 파밍, 해킹)가 빈번하게 발생하고 있고, 그 수법은 일반인이 예측할 수 없을 정도로 나날이 진화하고 있다. 이에 따라 엄격한 전자금융범죄 처벌과 전자금융범죄 피해자 구제방안이 사회적으로 주목 받을 수밖에 없는 상황이 되었다. 여기에서는 전자금융범죄의 유형, 처벌 및 전자금융범죄 피해자의 대응방법을 살펴본다.

□ 전자금융범죄의 유형

① 피싱(phishing) – 보이스피싱과 메신저피싱

보이스피싱(voice phishing)은 음성(voice)+개인정보(private data)+낚시(fishing)를 합성한 신조어로 피해자를 기망 또는 협박하여 개인정보와 금융거래정보를 요구하거나 금전을 이체하도록 하여 피해자의 재산을 가로채는 사기 범죄로 2,000년대 초반 대만에서 시작되어 중국, 일본, 우리나라 등 주로 아시아 지역으로 확산되었다. 보이스피싱은 혼자서 저지르는 단독 범죄가 아니라 대개 전화 유인팀, 인출팀, 환전∙송금팀, 계좌 모집팀 등의 네트워크를 이루어 움직이는 조직형 범죄다.

보이스피싱에는 다양한 유형이 있지만 크게 정부기관 사칭형과 대출빙자형으로 구분한다.

정부기관 사칭형은 경찰, 검찰, 금융감독원 등 정부기관 직원을 사칭하여 ‘피해자의 개인정보가 유출되었다’거나 ‘금융범죄 피해를 입었다’는 등의 명목으로 금융거래정보를 요구하거나 대포통장으로 송금을 유도하는 방식이고, 대출빙자형은 금융회사 직원을 사칭하여 대출을 받게 해 주겠다고 속여 대출 진행을 위한 대출수수료, 보증료, 신용등급 상향비 명목으로 돈을 편취하거나, 고금리대출을 먼저 받으면 저금리대출로 전환해주겠다고 속이고 고금리대출을 먼저 받게 하고 그 돈을 가로채는 방식이다.

금융감독원의 보도자료에 따르면, 2016년 발생한 보이스피싱 피해건수는 45,748건이고, 피해금액은 1,919억원이라고 한다. 최근 보이스피싱의 특징은 검찰, 경찰, 금융감독원 등 정부기관을 사칭하는 수법에 국민들의 경각심이 강화되어 고전적인 정부기관 사칭형 범죄가 줄고 대출빙자형 범죄의 비중이 늘어났다는 점이다. 보이스피싱의 유형별 구체적인 피해 현황은 다음과 같다.

<보이스피싱 피해 현황>

(단위: 억원, 건)

구 분

2015년

2016년

건수/금액

비중

건수/금액

비중

피해건수

정부기관 사칭형

20,890

36.2%

8,643

18.9%

대출빙자형

36,805

63.8%

37,105

81.1%

합 계

57,695

100%

45,748

100%

피해금액

정부기관 사칭형

1,399

57.3%

579

30.2%

대출빙자형

1,045

42.7%

1,340

69.8%

합 계

2,444

100.0%

1,919

100%

출처 : 금융감독원 2017. 2. 17.자 보도자료“2016년 보이스피싱 및 대포통장 큰 폭 감소”

메신저피싱은 다른 사람의 인터넷 메신저, SNS의 아이디와 비밀번호를 도용하여 로그인 후 등록된 가족, 친구에게 대화나 쪽지를 통해 치료비, 교통사고 합의금 등 긴급자금을 요청하고, 이러한 요청에 속아 보내온 돈을 가로채는 사기 범죄다.

보이스피싱이 전화를 이용하는 금융사기인 반면 메신저피싱은 네이트, 카카오톡 등 메신저, SNS를 이용하는 금융사기라는 점에서 차이가 있다.

② 파밍

파밍(pharming)은 피싱(phishing)과 조작(farming)의 합성어로 사기범이 피해자의 컴퓨터를 악성코드에 감염시켜 피해자가 즐겨찾기나 포털사이트 검색을 통해 금융회사, 쇼핑몰에 접속을 시도하면 사기범이 미리 만들어 놓은 가짜 금융회사, 쇼핑몰 사이트인 피싱사이트로 연결되도록 조작한 후 피싱사이트에서 피해자가 입력한 금융거래정보를 가로채는 사기 범죄다.

파밍은 피싱사이트 화면이나 팝업 창을 통해 금융사기 범죄에 긴장감과 공포감을 조성하여 현금 인출에 필요한 아이디, 비밀번호는 물론 보안카드번호 전체를 입력하도록 요구하는 등 과도한 금융거래정보를 요구하는 것이 특징이다.

③ 스미싱

스미싱(smishing)은 문자메시지(SMS)와 피싱(phishing)의 합성어로 휴대전화 문자메시지를 이용한 전자금융범죄다. 피해자에게 문자메시지를 보내 악성 앱이나 악성코드를 피해자의 휴대전화에 유포한 후 휴대전화 소액결제 정보를 가로채 게임 아이템을 구매하는 형태가 전형적인 스미싱 수법이다.

스미싱과 유사한 큐싱(QR+phishing)도 종종 발생하는 전자금융범죄의 유형이다. 큐싱은 문자메시지 대신 QR코드를 통해 악성 링크로 접속을 유도하거나 직접 악성 코드를 심는 방식이다.

④ 해킹

전자금융범죄로서 해킹은 첨단 기법을 동원하여 취약한 네트워크 보안망에 불법적으로 접근하여 피해자의 컴퓨터, 휴대전화에 저장된 금융거래정보를 가로채거나, 피해자의 컴퓨터, 휴대전화에 악성코드, 악성프로그램을 이식하여 금융거래정보를 가로챈 후 피해자의 자금을 탈취하는 범죄행위다.

해킹은 컴퓨터 운영체계(OS)의 취약점을 공격하여 컴퓨터에 저장된 금융거래정보를 직접 탈취하는 컴퓨터 해킹, 전자 우편 등으로 악성코드, 악성프로그램을 컴퓨터 메모리에 주입해 메모리상의 데이터를 위조, 변조해 금융거래정보를 탈취하거나 임의로 금융거래를 조작하여 금전을 인출하는 메모리 해킹, 모바일 기기의 운영체계(OS)나 앱의 보안 취약점을 공격하여 모바일에 저장된 금융거래정보를 탈취하는 모바일 해킹 등으로 구분된다. 메모리해킹 금융피해 사례를 살펴보면 다음과 같다.

< 메모리해킹 금융피해 사례 >

① 사용자 PC가 악성프로그램에 감염됨

② 금융거래정보 유출

③, ④ 정상적인 인터넷 뱅킹

⑤ 사용자 PC 메모리에 상주한 악성프로그램이 은행을 상대로 허위∙위장 거래 요청

⑥ 은행사이트에서는 정상 요청으로 오인하고 다시 보안카드번호 추가 요청

⑦ 악성프로그램 작동으로 피해자 PC에서 보안카드번호 입력 요구(계속된 오류표시 창 또는 보안강화 팝업창 이용)

⑧, ⑨ 보안카드번호 탈취 후 예금 부당 인출

최근에는 해킹을 통해 금융거래정보를 탈취거나 임의로 금전을 인출하는 전통적인 방식과 달리 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레드시트, 그림파일 등을 암호화 해 열지 못하도록 만든 후 해독용 프로그램을 전송해 주는 대가로 금품을 요구하는 랜섬웨어(Ransom ware)가 유행하고 있다.

□ 전자금융범죄 처벌

① 피싱(phishing) – 보이스피싱과 메신저피싱

가족, 친구를 사칭하여 교통사고 합의금을 요구하는 등 피해자를 기망하여 금전을 이체하도록 하는 행위는 형법상 사기죄로, “자녀를 납치했다”거나 “개인정보가 유출됐다”는 등의 말로 피해자에게 공포를 느끼게 하여 개인정보와 금융거래정보를 요구하거나 금전을 이체하도록 하는 행위는 형법상 공갈죄로 처벌된다. 형법상 사기죄와 공갈죄는 모두 10년 이하의 징역 또는 2천만원 이하의 벌금으로 처벌되고, 범죄 이득액이 5억원 이상일 때에는 3년 이상의 유기징역 및 이득액 이하에 상당하는 벌금을 병과할 수 있다.

앞에서 본 바와 같이 대개 피싱은 조직적으로 이루어지는데, 실제 피싱 행위까지 나아가지 아니하였다 하더라도 피싱을 목적으로 하는 조직에 가입한 조직원은 형법상 범죄단체조직죄로 처벌될 수 있다. 범죄단체조직죄는 범죄를 목적으로 하는 단체 또는 집단을 조직하거나 이에 가입 또는 구성원으로 활동한 사람에게 적용되며 그 목적(예 : 피싱)한 죄에 정한 형으로 처벌된다.

또한 피싱을 위한 대포통장(현금카드 등 포함) 구입은 접근매체의 거래를 금지하는 전자금융거래법을 위반하는 행위로 3년 이하의 징역 또는 2천만원 이하의 벌금으로 처벌된다. 한편, 통장, 현금카드 등 접근매체가 피싱에 사용될 것을 알고도 통장, 현금카드 등을 양도한 경우에는 위 전자금융거래법 위반죄 및 형법상 사기 방조죄로 처벌된다.

② 파밍

파밍은 형법상 컴퓨터 등 사용 사기죄로 처벌할 수 있다. 컴퓨터 등 사용 사기죄는 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력∙변경하여 정보처리를 하게 함으로써 재산상의 이익을 취득하거나 제3자로 하여금 취득하게 하는 범죄다. 컴퓨터 등 사용 사기죄는 10년 이하의 징역 또는 2천만원 이하의 벌금으로 처벌된다.

또한 파밍은 『전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법』(이하 “전기통신금융사기 특별법”) 위반죄에도 해당한다. 전기통신금융사기 특별법은 전기통신금융사기를 목적으로 타인으로 하여금 컴퓨터 등 정보처리장치에 정보 또는 명령을 입력하게 하는 행위를 10년 이하의 징역 또는 1억원 이하의 벌금으로 처벌한다.

③ 스미싱

스미싱도 파밍과 같이 형법상 컴퓨터 등 사용 사기죄로 처벌할 수 있다.

또한 스미싱은 악성프로그램 유포를 금지하는 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 위반죄로도 처벌할 수 있다. 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』은 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램을 훼손∙멸실∙변경∙위조하거나 그 운용을 방해할 수 있는 프로그램을 전달 또는 유포하는 행위를 7년 이하의 징역 또는 7천만원 이하의 벌금으로 처벌한다.

④ 해킹

해킹을 통해 재산상 이익을 취하였다면 파밍이나 스미싱과 마찬가지로 형법상 컴퓨터 등 사용 사기죄로 처벌할 수 있다.

또한 해킹은 접근매체의 부정한 사용을 금지하는 『전자금융거래법』 위반죄로도 처벌할 수 있다. 『전자금융거래법』은 전자금융기반시설 또는 전자금융거래를 위한 전자적 장치에 침입하여 거짓이나 그 밖의 부정한 방법으로 접근매체를 획득하거나 획득한 접근매체를 이용하여 전자금융거래를 하는 것을 금지하고, 위반행위를 7년 이하의 징역 또는 5천만원 이하의 벌금으로 처벌한다.

한편, 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』은 해킹 등 접근권한 없는 정보통신망 침입을 금지하고, 위반행위를 5년 이하의 징역 또는 5천만원 이하의 벌금으로 처벌한다.

 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.