Phishing: the Digital Financial Crime That Fishes You

디지털 금융범죄, 뻔하지만 낚이는 피싱사기 

Mom, it’s me. I lost my phone and I need some money.

My mother received a phishing message from someone impersonating me. This “messenger phishing”, which I once thought it would never happen to me, has come to my family.

Without any doubt, my mother clicked the link to do this tiresome work of her son who sometimes asked for an e-transfer even with the pictures of my ID card and credit card. It was not until she sent the password and certificate that she realized something was wrong and called me.

“Gosh!” Even I, a lawyer, didn’t know what to do. I was literally shocked by the well-calculated strategy of using my photo as the profile photo of the computer messenger. No money was lost thanks to my mother’s prompt response (though my personal information might be found somewhere I would never imagine), but I’d like to think about the systemic defects and proper measures to avoid digital financial crimes.

엄마 나 민석인데 핸드폰을 잃어버려서, 결제 좀 대신 해줘. 일주일 전 필자를 사칭한 피싱 문자를 어머니께서 받으셨다. 주변에서만 일어나는 줄 알았던 “메신저 피싱”이 드디어 내 가족에게도 일어난 것이다.

정말 아들인 줄로만 알았던 어머니께서는, 가끔씩 계좌이체를 부탁하던 아들이 또 귀찮은 부탁을 하는 줄만 알고, 결제를 해달라며 보내 준 사이트 링크를 눌렀고, 이 후 주민등록증과 신용카드 사진까지 보냈다. 그리고 계좌번호의 비밀번호와 공인인증서까지 보낸 뒤에서야 이상한 낌새를 느끼시곤, 나에게 전화를 하셨다. 

“아차 싶었다” 변호사인 나도 무엇부터 어떻게 해야할지 당혹스럽기만 했다. 핸드폰을 잃어버려 피씨 카톡으로 연락한다며, 내 사진을 프로필로 설정해놓은 그 치밀함이 참으로 무서웠다. 다행히 어머니께서 빠른 대처를 한 덕분에, 큰 피해는 발생하지 않았지만(내가 모르는 곳에서 개인정보가 떠돌긴 하겠지만), 이 사건을 통해 알게 된 시스템의 미비점들을 고민해보고, 디지털 금융범죄에 대한 대처법을 널리 알리고자 한다.

Digital crimes mean money transfer or micro payment by collecting and misusing personal or financial information through INS. There are many categories depending on the method: 1) voice phishing 2) messenger phishing 3) pharming 4) SMiShing 5) spy cam 6) phishing mail, etc. Those categories largely fall into one of the three types: phishing, pharming and SMiShing. “Phishing” is leading the victim to get on a false website impersonating an investigative agency, government branch, or banking institution through phone or email. “Pharming” is infecting a computer with a malignant code to lead the user to a false website and extract their financial information, etc. My mother was a victim of “messenger phishing”, asking for financial information and money impersonating the victim’s friends (co-worker) or family through their personal messenger(KakaoTalk), by using the ID and password collected from leaked information.

What can we do as victims of such phishing? If we can catch the criminal, we can get some compensation by criminal punishment for fraud, violation of the Electronic Financial Transaction Act, Information Network Law, Special Act on the Prevention of Loss Caused by Telecommunication-based Financial Fraud and Refund for Loss, etc. but it is very difficult to arrest the criminal due to the characteristics of digital crimes. It is most important therefore to prevent the crime in advance. Be suspicious even of your family members if you are asked for an account number, credit card number, ID, or certificate and give them what they need only when you have spoken to them on the phone, or face to face. If you’re already suffering from a financial loss, you need to take the following measures.

디지털 금융범죄는 정보통신망을 이용해서 피해자의 개인 정보나 금융정보를 수집한 뒤 이를 악용하여 계좌로부터 자금을 이체받거나 소액결제가 되게 하는 범죄를 말한다. 그 수법도 굉장히 다양한데, 범죄 수법에 따라 이를 일컫는 말도 1) 보이스 피싱, 2) 메신저 피싱, 3) 파밍, 4) 스미싱, 5) 몸캠피싱, 6) 피싱메일 등으로 다양하다. 크게 피싱과 파밍, 스미싱으로 분류할 수 있는데, “피싱”이란 전화 또는 e-mail 등을 통해 수사기관, 정부기관, 금융기관 등을 사칭하여 가짜 사이트로 이용자의 접속을 유도한 후 금융정보 등을 탈취하는 수법을 말하고, “파밍”이란 이용자 PC를 악성코드에 감염시켜 정상사이트로 접속해도 이용자 모르게 가짜 사이트로 유도하여 금융정보 등을 탈취해가는 수법이다. 그리고, “스미싱”이란 악성 앱 주소가 포함된 핸드폰 문자를 대량으로 전송 후 이용자가 악성앱을 설치하도록 유도하여 금융정보 등을 탈취하는 사기 수법이다. 필자의 어머니께서 당한 수법은 개인정보 유출 등으로 얻은 개인 아이디와 비밀번호를 통해 친구(직장동료)나 가족처럼 메신저(카카오톡)로 접근하여 금융정보 및 금전을 요구하는 “메신저 피싱”에 해당한다.

피싱을 당했을 땐 어떻게 대처해야할까? 사기범들이 잡힌다면야, 형법상 사기죄 및 전자금융거래법, 정보통신망법, 통신사기피해환급법 위반죄 등으로 형사 처벌함과 동시에 손해배상청구를 통해 피해보전이 어느 정도 가능하겠지만, 디지털 금융범죄의 특성상 사기범죄단을 검거하기란 매우 어려운 상황이라 한다. 따라서 예방과 그 대처가 무엇보다 중요한데, 아무리 가족이라도 계좌번호, 카드번호, 주민등록번호, 공인인증서 등을 요구한다면 의심부터 하고, 전화로 확인하거나 직접 대면한 상태에서 전달하는 것이 예방법이 될 것이고, 이미 피해를 당한 상태라면 다음 조치를 취해야한다.

In cases of digital crimes like messenger phishing, (1) you have to make a report to the National Police Agency (112), the Cyber Police (182) or the Financial Supervisory Service (1332). (2) If you installed an unknown program by clicking a suspicious link, scan your phone for any malignant code using Phone Keeper or a vaccination program and go through a factory reset with your telecom. (3) Then you need to call Phone Call Center (114) to check any micro payment history and ask for cancellation. (4) Contact your card company, whose information you transferred to the criminal and ask for suspension of the card and payment (Interim measures and suspension available according to Article 2-5, 3, and 4 of 「Special Act on the Prevention of Loss Caused by Telecommunication-based Financial Fraud and Refund for Loss」). Loss is most likely prevented if you apply for the suspension within 30 minutes. (5) In case your certificate is open to someone else, you need to discard the certificate through Korea Internet and Security Agency (118). If your personal information is open, access ‘Fine’, the customer information portal of Financial Supervisory service and apply for ‘information revealed’ to prevent further damages. Finally, (6) in cases of micro payment and transfer frauds, get Confirmation of Matter and Criminal Case from a police office in accordance with Special Act on the Prevention of Loss Caused by lecommunication-based Financial Fraud and Refund for Loss and ask for remedies for damages (Article 3-1).

Meanwhile, I had to face some unexpected difficulties dealing with the phishing crime which I want to share with you. First of all, victims are too shocked and usually turn off their infected phone or ask for help, 1) but the victim must apply for card or payment suspension personally (I, as a victim who couldn’t trust my phone anymore, and asked my family to apply for the suspension, but it was only me who was qualified to do so, which was quite inconvenient). 2) I need to take extra care thinking about using a phone to identify myself before the application for suspension. 3) The National Police Agency (112) remained a bystander unless there was an actual financial loss and told us to report the incident to the Cyber Police (182). 4) As the victim, I had to repeat the same explanation with 114 call center, Korea Internet and Security Agency (118), the Police Agency (112), the Cyber Police (182), and the Financial Supervisory Service (1132). It leads to reasonable reservations that such a complicated reporting and refunding process could lead to even greater damage in this urgent situation when large amounts of money can be transferred using the leaked personal and financial information. I would suggest a one-stop system that could deal with the issue (from the measures for the financial and telecommunication companies to report making through only one identification process) so that only one identification process would report to the relevant financial companies, and the telecommunications companies.

메신저 피싱 등 피해를 당한 경우, 제일 먼저 (1) 경찰청(112) 및 사이버수사대(182)나 금융감독원(1332)에 피해 사실을 신고해야한다. 그리고 (2) 수상한 인터넷 주소를 클릭하여 의문의 프로그램이 설치되었다면, 핸드폰에 대한 신뢰도가 떨어졌으므로, 폰키퍼 또는 백신프로그램을 통해 악성코드 감염여부를 확인하고, 핸드폰 통신사를 통해 공장초기화를 진행하는 것이 좋다. 그 후 (3) 114 핸드폰 콜센터에 전화하여 소액결제 내역을 확인 후 결제차단요청을 하고, (4) 사기범에게 전달한 금융정보의 해당 카드회사와 은행사에 전화하여, 카드정지 및 계좌 지급정지 신청을 해야한다(「전기통신금융사기 피해방지 및 피해금 환급에 관한 특별법, 약칭: 통신사기피해환급법」 제2조의5 및 제3조, 제4조에 따라 임시조치 및 지급정지 가능). 특히 100만원 이상 이체를 한 보이스피싱 피해의 경우, 30분 안에 지급정지를 신청하면, 피해를 막을 가능성이 높다고 한다. (5) 공인인증서가 노출된 경우라면, 한국인터넷진흥원(118)을 통해 공인인증서를 폐기해야하고, 개인정보가 노출된 경우에는, 금융감독원 소비자정보포털 ‘파인’에 접속하여 ‘개인정보 노출 등록’을 하여 추가피해 발생을 예방해야한다. 또한, (6) 소액결제 및 이체 피해가 발생한 경우에는, 피해자는 「통신사기피해환급법」에 따라 경찰서로부터 사건사고사실 확인원을 발급받은 후, 금융회사에 전기통신금융사기의 피해 구제를 신청할 수 있다(제3조제1항).

한편, 필자의 가족이 피싱범죄를 겪으면서 예상치 못한 몇 가지 어려움들이 있었는데, 이에 대한 보완도 필요할 거 같다. 먼저, 피해를 당한 피해자의 입장에선, 범죄피해에 놀란 나머지 바이러스가 깔린 핸드폰을 꺼버리거나 주변인에게 도움을 요청하기 마련인데, 1) 피해자 본인이 아니면 카드정지나 지급 정지신청을 할 수 없었고(어쩌면 당연하지만, 신뢰도 떨어진 핸드폰을 사용하지 못하는 피해자 입장에선 가족에게 대처를 요청하였으나, 가족이 대신 처리할 수 없음에 매우 불편했을 것으로 보인다), 2) 유선상 본인 확인을 위해 핸드폰 인증 절차를 거쳐야하는데, 신뢰도가 떨어진 핸드폰으로 본인인증을 해도 괜찮은 것인지 수 없는 고뇌가 필요했었다. 3) 또한, 경찰청 (112)의 경우에는 돈을 이체하는 등의 피해가 발생한 것이 아니면, 사건 접수가 안되므로, 사이버수사대(182)에 신고하라며 방관자적 태도를 보였고(물론 필자의 사건에 한정한, 일선 청의 실수일 수도 있겠다), 4) 이로 인해 피해자는 114 핸드폰 콜센터부터 한국인터넷진흥원(118), 경찰청(112), 사이버수사대(182), 금융감독원(1132)에 전화할 때 마다, 피해 사실 경위와 본인 확인을 위해 같은 내용을 반복해야만 했다. 유출된 개인정보와 금융정보로 거액의 금액이 순식간에 이체될 수 있는 긴급한 상황에서, 여러 기관들에 대한 복잡한 신고와 구제절차가 디지털 금융범죄에 대한 피해를 더 키우는 것이 아닌가 하는 의문이 드는 대목이다. 하나의 창구로 일원화하여, 한번의 본인 확인이 되면, 관련 금융회사와 통신사에 대한 조치부터 신고절차까지 원스톱으로 가능토록 시스템적 보완이 필요한 것 같다.