온라인 뱅킹 서비스가 대중화되면서 온라인 뱅킹 사기 또한 증가했으며, 사실상 금융 피싱 사기는 인터넷에서 가장 흔한 범죄 유형 중 하나가 되었습니다. 사이버 범죄자들은 은행 계좌의 로그인 정보 탈취 외에도 자신의 금전적 이득을 위해 신용카드 및 직불카드 정보를 훔치기도 합니다. 그렇다면 이러한 사이버 범죄는 정확히 어떻게 이루어지며, 개인에게 어떤 영향을 미칠까요?
온라인 뱅킹 사기란?
온라인 뱅킹 사기는 기본적으로 사이버 범죄자가 개인이나 회사의 디지털 뱅킹 정보를 탈취하여 관련 은행 계좌 또는 신용 카드에 접근할 수 있는 경우에 발생합니다. 그런 다음에는 이를 이용하여 계좌에서 직접 돈을 빼내거나 다른 유형의 금융 사기를 저지르는 등의 이득을 취합니다. 법적으로 온라인 뱅킹 사기는 은행의 앱이나 웹사이트를 통해 이루어지는 모든 종류의 범죄 행위를 아우르는 것으로, 타인의 계좌에 불법적으로 접근하여 돈을 관리하거나 이체하는 행위도 온라인 뱅킹 사기에 포함됩니다..
오늘날 은행 업무의 고도로 디지털화된 특성은 사이버 공격자에게 이러한 범죄를 저지를 수 있는 다양한 기회를 제공합니다. 은행들은 디지털 서비스와 고객의 계좌를 보호하기 위해 점점 더 많은 조치를 취하고 있지만, 공격이 점점 정교해짐에 따라 이러한 사기가 언제 발생하는지 확인하기가 매우 까다로워지고, 예방도 어려워지고 있습니다.
금융 사기는 어떻게 이루어지나요?
사이버 범죄자들은 점점 더 정교한 수단을 사용하여 순진한 피해자가 실수로 은행 정보를 제공하도록 유인해 온라인 뱅킹 사기를 일으키고 있습니다. 이러한 공격은 다차원적이고 다양한 기법을 결합하여 사용하기 때문에 알아채기 어려운 경우가 많습니다. 따라서 모든 온라인 뱅킹 서비스 사용자가 이러한 공격을 이해하고, 이를 방지할 수 있도록 하는 것이 중요합니다. 온라인 뱅킹 사기의 두 가지 주요 사기 유형은 계정 탈취(ATO, Account Takeovers)와 자동 이체 시스템(ATS, Automatic Transfer Systems)입니다.
계정 탈취
ATO는 사이버 범죄자가 훔친 정보로 은행 계좌를 탈취하는 디지털 뱅킹 사기입니다. 이러한 공격에는 소셜 엔지니어링 기법이나 악성코드가 사용되는 경우가 많으며, 최근에는 이 두 가지가 모두 사용됩니다. 사이버 범죄자가 온라인 뱅킹 사기와 ATO를 저지르는 가장 흔한 방법은 다음과 같습니다.
- 피싱(Phishing): 은행 피싱 사기의 경우 피싱 범죄자가 피해자가 이용하는 합법적인 은행 기관을 사칭하여 로그인 자격 증명을 확인하라는 이메일을 보냅니다. 이러한 이메일에는 일반적으로 실제 은행 사이트를 모방한 사기성 웹사이트로 연결되는 링크가 포함되어 있으며, 해당 사이트에서 로그인 정보를 입력하면 피싱 범죄자가 로그인 정보를 탈취할 수 있습니다. 따라서 은행들은 고객에게 비밀번호나 개인식별번호(PIN)와 같은 민감한 정보를 절대 요구하지 않는다는 사실을 정기적으로 안내하고 있다. 피싱 이메일에는 사기 성공 가능성을 높이기 위해 '고객이 정보 확인 버튼을 클릭하지 않으면 은행 계좌가 지급 정지되거나 동결된다'는 내용이 명시되어 있는 경우가 많습니다.
- 비싱(Vishing): 피싱과 유사하지만 이메일이 아닌 전화를 통해 공격이 이루어집니다. 공격자는 피해자가 이용하는 은행을 사칭하여 전화 통화를 통해 계좌 정보와 로그인을 알려주도록 속이고, 이를 통해 계좌에 접근하고 통제할 수 있는 모든 권한을 갖게 됩니다. 경우에 따라 공격자는 향후 온라인 뱅킹 사기 계획에 사용될 수 있는 특정 개인 정보를 얻으려고 하거나, 피해자가 직접 돈을 송금하도록 유도하기도 합니다.
- 키로거(keyloggers): 키로거는 컴퓨터 키보드 사용을 모니터링하는 유형의 악성 소프트웨어인 트로이 목마입니다. 미리 설정된 목록에 있는 은행 웹사이트에 사용자가 액세스하는 것이 감지되면 키보드 입력을 추적, 기록하여 은행 계좌의 로그인 정보를 효과적으로 탈취함으로써 나중에 공격자가 해당 계좌에 접근하여 자금을 빼낼 수 있습니다.
- 악성코드(Malware): 사이버 범죄자들은 필요한 정보를 훔치기 위해 다양한 악성 소프트웨어를 사용합니다. 이러한 유형의 범죄는 피해자가 바이러스에 감염된 첨부 파일을 기기에 다운로드하도록 유도하는 은행 전자 메일 사기로 시작되는 경우가 많습니다. 이후 악성코드는 실제 은행 거래 절차처럼 모방하여 피해자가 세부 정보를 입력하도록 유도한 다음 공격자가 이를 탈취하여 사기를 저지릅니다. 온라인 은행 사기에 가장 많이 사용되는 악성코드로는 공격자가 기기를 원격으로 제어할 수 있도록 하는 원격 액세스 트로이 목마(Remote Access Trojans, RAT), 브라우저와 은행 앱 간의 데이터를 중간에 가로채는 맨 인 더 브라우저(MiTB, Man in the Browser), 웹사이트나 앱을 통해 민감한 정보를 탈취하는 오버레이(overlay) 공격, OTP용 문자 메시지를 모니터링하는 문자 메시지 스니핑(SMS sniffing) 등이 있습니다.
- 비밀번호 도용: 경우에 따라 은행 로그인 사기는 무차별 대입 공격(brute force attack)이나 사전 공격(dictionary attack)을 통해서 이루어지기도 합니다. 올바른 비밀번호를 찾을 때까지 무작위로 추측하는 방식으로, 공격자는 이렇게 알아낸 비밀번호를 사용하여 연결된 은행 계좌에 액세스하게 됩니다.
- Wi-Fi 네트워크 해킹: 대다수의 인터넷 연결은 사이버 범죄자의 해킹에 취약합니다. 특히 보안 장치가 거의 없는 안전이 보장되지 않은 공용 Wi-Fi 네트워크의 경우 더욱 그렇습니다. 공격자는 이러한 네트워크를 해킹하여 은행 정보를 비롯하여 전송되는 모든 정보를 탈취할 수 있습니다.
- 심 스와핑(Sim swapping): 소셜 엔지니어링 수법을 사용하여 피해자의 전화번호를 훔쳐 공격자가 소유하고 있는 SIM으로 복제하는 유형의 사이버 범죄입니다. 이를 통해 공격자는 해당 전화번호와 연결된 모든 것에 액세스할 수 있으며, 은행의 실제 다중 인증 프로세스의 일부로 일회용 암호를 수신하여 은행 계좌에 액세스하는 경우도 많습니다.
자동 이체 시스템
기술이 발전하고, 사이버 보안 기능이 향상됨에 따라 계정 탈취(ATO)를 실행하기가 전보다 훨씬 더 어려워졌습니다. 사이버 범죄자들은 이러한 문제를 극복하고 계속해서 온라인 뱅킹 사기를 저지르기 위해 공격 효율성을 높이고, 신원 도용이 감지될 위험은 낮추는 새로운 자동화 기술을 개발했습니다. 자동 이체 시스템(ATM)이라고 불리는 이러한 기법을 사용하면 공격자가 은행 로그인 사기에 의존할 필요가 없어집니다. 대신 자동 시스템이 컴퓨터 사용자의 활동을 모니터링하다가 사용자가 은행 계좌에 로그인하면 악성코드가 합법적인 사이트에 스크립트를 삽입하여 자금 이체를 시작하게 되며, 사용자가 뒤늦게 알아차리기 전까지 계속 송금을 진행합니다. 이러한 방법을 쓰면 공격자가 사용자 정보를 수집하여 다중 인증 프로토콜을 통과할 필요가 없어집니다.
ATO와 ATS의 차이
ATO와 ATS는 서로 다른 온라인 은행 사기로, 자금을 탈취하고 금융 사기를 저지른다는 목표는 같지만 그 방식에는 상당한 차이가 있습니다.
- ATS 공격은 악성코드를 통해 자동으로 실행되는 반면, ATO 사기는 소셜 엔지니어링 기법을 사용하기 때문에 사이버 범죄자가 약간의 수고를 해야 합니다.
- ATS 악성코드는 세심한 보정이 필요하며 특정 은행 거래 앱에 맞게 조정되어야 하므로 훨씬 더 복잡하며 탐지하기도 어렵습니다.
- ATS 공격은 합법적인 은행 거래 앱과 웹사이트에서 이루어지므로 사용자가 로그인 자격 증명을 제공할 때까지 기다리기만 하면 되기 때문에 사기범이 해당 정보를 탈취하고, 다중 인증을 통과할 필요가 없습니다.
신원 도용이란?
은행 신원 도용은 사이버 범죄자가 금융 사기를 저지르기 위해 개인의 신원을 훔치는 것을 말합니다. 공격자는 이름, 생일, 주민등록번호와 같은 개인 정보를 입수하여 다양한 작업을 할 수 있습니다. 은행 계좌 명의 도용 및 보다 넓은 범위의 신원 도용은 이러한 공격의 피해자에게 다음과 같이 심각하고 장기적인 피해를 줄 수 있습니다.
- 기존 은행 계좌에서 자금 탈취
- 피해자의 명의로 새로운 은행 계좌를 개설하거나, 신용 카드를 발급받거나, 신규 대출 계약
- 의료 보험, 사회보장 연금, 실업 수당 등 주민등록번호와 연결된 사회 복지 혜택 이용
- 신용 평점을 하락시키는 행위
- 조세 범죄 교사 또는 세금 환급금 탈취
- 주택 담보 대출 등 은행 대출에 대한 채무 불이행 유발
- 이메일, 소셜 미디어 프로필을 포함한 모든 온라인 계정을 탈취하여 피해자를 사칭해 피해를 입히는 행위
- 피해자는 신원을 회복하고 누명을 벗기 위해 막대한 시간과 비용 소요
- 피해자의 개인 정보가 다크웹에 남게 됨
- 심각한 정서적, 재정적 스트레스 유발
온라인 뱅킹 사기가 개인에게 미치는 영향은 무엇인가요?
안타깝게도 은행 계좌 명의 도용은 이러한 공격의 표적이 된 개인이나 회사에 큰 영향을 미칠 수 있습니다. 물론 금전적인 피해도 심각한 문제이지만 그 밖에 다른 영향도 고려해야 합니다.
온라인 뱅킹 사기는 개인과 조직 모두에게 치명적인 금전적인 피해를 초래할 수 있습니다. 공격자는 훔친 정보를 이용하여 은행 계좌에서 자금을 빼내고, 새 계좌를 개설 및 해지하고, 신용 점수를 떨어뜨리고, 세금 사기를 저지르고, 노후 자금을 훔치고, 주택 담보 대출과 관련하여 피해를 줄 수 있습니다. 또한 피해자는 이러한 공격의 여파를 처리하는 과정에서 발생하는 법률 비용 등으로 인해 더 큰 금전적 손실을 볼 수 있습니다.
은행 신원 도용 사기는 피해자의 정신 건강에도 영향을 미칠 수 있습니다. 온라인 뱅킹 사기의 피해자가 되었다는 사실을 알게 되면 충격과 분노에서부터 두려움과 무력감에 이르기까지 다양한 감정이 들 수 있습니다. 또한 상황을 수습하는 과정에서 상당한 스트레스를 받을 수 있으며, 이런 일이 일어나도록 방치한 누군가를 비난하고 싶은 욕구를 느끼는 경우가 많습니다.
온라인 뱅킹 사기를 예방할 수 있나요?
현실적으로 은행 거래 피싱 사기와 그 밖의 온라인 사기를 완전히 방지하는 것은 불가능하지만, 사기 시도가 성공할 가능성을 낮추거나, 피해를 줄이기 위해 몇 가지 조치를 취할 수는 있습니다. 다음은 사기 피해를 줄이기 위해 명심해야 할 몇 가지 팁입니다.
- 항상 각 은행 계좌별로 별도의 로그인 자격 증명을 사용합니다.
- 다단계 또는 생체 인증을 사용하도록 설정하여 추가 보안 계층을 확보합니다.
- 이메일상의 링크를 클릭하지 말고 웹 브라우저에 주소를 입력하여 은행의 합법적인 웹사이트로 직접 이동합니다.
- 기기에 있는 은행 거래 앱이 공식 앱인지 확인합니다. 은행 웹사이트나 신뢰할 수 있는 앱스토어에서 앱을 다운로드하고 항상 최신 버전으로 유지합니다.
- 은행의 보안 및 개인정보 보호 프로토콜을 숙지합니다. 예를 들어, 대부분의 은행은 절대로 고객에게 비밀번호를 물어보지 않는다고 명시하고 있습니다.
- 은행 계좌에 로그인할 때는 WEP나 WPA 또는 WPA2로 보호되는 개인 홈 네트워크와 같은 안전한 인터넷 또는 Wi-Fi 연결을 통해서만 로그인합니다.
- 은행 거래 명세서 및 신용카드 명세서를 정기적으로 검토하고 의심스러운 거래 내역이 있는 경우 즉시 은행에 확인합니다.
- 디지털 뱅킹 시스템에 로그인하기 전에 가상 사설망(VPN)을 사용하여 인터넷 연결을 보호합니다.
- 바이러스 백신 소프트웨어로 기기를 보호하되 항상 최신 버전으로 유지하고, 최신 보안 패치를 실행하도록 합니다.
은행 신원 도용 방지
온라인 뱅킹 명의 도용은 점점 더 정교해지고 탐지하기가 어려워지고 있습니다. 하지만 이러한 공격은 표적이 된 개인과 회사에 심각한 금전적, 사회적, 정서적 피해를 줄 수 있습니다. 온라인 뱅킹 사기가 어떤 것인지 이해하고, 디지털 보안 기능과 상식적인 보호 조치를 구현하면 사이버 범죄자가 계정 탈취를 저지르거나 ATS 악성코드로 기기를 감염시킬 가능성을 최소화할 수 있습니다.
Kaspersky Premium + Kaspersky Safe Kids 1년 무료 이용권을 받으세요. Kaspersky Premium은 최우수 보호, 최고 성능, 가장 빠른 VPN, 승인된 Windows 자녀 보호, Android 자녀 보호 최고 등급으로 AV-TEST 상을 5개 수상했습니다.
연관 제품 및 서비스: