지난해 12월 21일, 싱가포르의 한 20대 남성은 OCBC 은행으로부터 문자 메시지를 하나 받았습니다. 계좌에 새로운 수취인이 등록되었다며 확인을 위해 링크를 누르라는 내용이었습니다. 그 전에 OCBC 은행으로부터 문자를 받았던 글타래라서 아무 의심 없이 링크를 눌렀습니다. 익숙한 OCBC 화면이 나왔고 아이디와 비밀번호를 입력한 후 계좌를 확인했습니다. 그로부터 30분 뒤 그 남성의 계좌에서 12만 달러(약 1억 원)가 사기꾼의 계좌로 빠져나갔습니다.
다른 사례도 있습니다. 7명의 아이를 키우는 한 엄마는 계정이 잠길 수 있으니 확인하라는 문자를 받고 링크를 눌러 아이디와 비밀번호를 입력했습니다. 그러자 잠시 후 송금한도가 10만 달러(약 8500만 원)로 늘어났다는 문자를 받았습니다. 문제가 있다고 판단한 그는 바로 은행에 전화를 걸었지만 은행의 핫라인은 자동화되어 있어서 상담사와 연결할 때까지 음성안내에 따라 수도 없이 번호를 눌러야 했고, 그 사이에 계좌에서 10만 달러가 빠져나갔습니다.
▲ 싱가포르 온라인 피싱 사기 사건으로는 최대 규모의 피해액이 발생한 OCBC은행 사건 ⓒ 이봉렬
지난해 12월 말, 최초 피해자가 발생한 이후 2주 동안 OCBC 은행 한 군데서 발생한 이런 피싱 사기의 피해자 수가 최소 469명이고 피해 금액은 850만 달러(약 72억 원)가 넘습니다. 가장 많은 피해를 입은 30대 남성은 25만 달러 (약 2억1천 만 원)를 잃었습니다.
은행 문자 사기로 72억 원 피해
싱가포르 일간지 <스트레이츠 타임스> 보도에 따르면 피해자들은 OCBC와 같은 번호로 문자를 받았고, 링크를 눌러서 들어간 웹사이트는 OCBC 은행과 똑 같았다고 합니다. 일정 금액 이상이 거래가 되면 고객은 알림 문자를 받을 수 있게 되어 있는데 이것 역시 은행에서 문자를 보낸 후 몇 시간이 지난 후에나 피해자들에게 전달이 되었다고 합니다. 사기꾼들의 해킹 실력이 발신자의 이름을 도용하고 은행의 문자메시지 발송을 지연시키는 수준까지 이르렀습니다.
온라인 피싱 사기는 OCBC 은행만의 문제가 아닙니다. 지난 1월 19일, 싱가포르 최대 은행 DBS 은행과 UOB 은행 역시 해당 은행을 사칭한 문자메시지를 이용한 사기가 만연하고 있다며 고객들의 주의를 당부하는 공고문을 내걸었습니다. 은행 관련 온라인 피싱 사기만 따지면 전년 같은 기간에 비해 20배 이상 증가한 상황입니다.
▲ (좌) OCBC은행 피싱 사기에 쓰인 문자 메시지 중 하나. 포함된 링크를 누르면 가짜 은행 사이트로 연결이 됩니다. (우) 사건 발생 후 OCBC은행에서 보낸 주의 당부 메시지. 문자에 첨부된 링크를 누르지 말라는 내용. ⓒ 이봉렬
은행뿐 아니라 정부부처의 이름을 도용하여 개인정보를 빼가는 사기 이메일도 횡행하고 있습니다. IRAS(싱가포르 국세청)가 발신자로 되어 있는 메일에는 마이크로소프트의 빌게이츠가 2천만 달러의 자금을 기부하고 있는데 이걸 받기 위해서 별도의 승인을 받아야 한다며 결제를 유도하고 있습니다. 수신자가 세금을 내지 않았다며 확인을 위해 은행계좌 정보를 보내라고 요구하는 이메일도 있었습니다.
구글 같은 대형 검색사이트도 사기에 안전하지 않습니다. 사기꾼들은 사용자가 은행 연락처를 검색할 때 가짜 은행 핫라인이 표시되도록 광고를 낸 후 그 번호로 전화를 한 사용자들에게서 계좌 관련 정보를 빼내서 돈을 빼냈습니다. 지난 한 달간 알려진 피해자만 15명에 피해액은 49만5천 달러 (4억 2천 만 원)가 넘습니다.
피해액 전액 보상?
특이한 것은 OCBC 은행이 이번 사건의 피해자들에게 전액 손해 보상을 하겠다고 한 것입니다. 싱가포르 온라인 피싱 사기 사건으로는 최대 규모이기도 하고 거액을 사기 당한 피해자들의 안타까운 사연들이 연일 보도가 되면서 OCBC 은행이 여론에 밀려 전액 보상을 하기로 결정한 건데, 고객이 피싱 사기에 속아 계좌정보를 제공한 행위에 대해 은행이 전액 보상을 하는 건 법적으로 문제가 있다는 의견이 법조계와 금융계에서 지속적으로 제기되고 있습니다. 향후 발생할 수도 있는 다른 온라인 사기 사건의 피해 보상에 대한 선례가 될 수 있다는 점에서 두고두고 논란이 될 것으로 예상됩니다.
코로나 이후 어수선한 사회 분위기 속에서 동시다발적으로 벌어지는 이 같은 온라인 사기를 막기 위해 싱가포르 정부도 팔을 걷어붙였습니다. 우선 방송과 신문 등을 통해 온라인 사기의 피해 사례를 알리고 주의를 당부하고 있습니다. 거리에도 곳곳에 온라인 사기 관련 광고가 도배되고 있습니다.
▲ 싱가포르 경찰은 지하철과 버스에 온라인 사기를 조심하라는 광고를 대대적으로 내걸었습니다. ⓒ 이봉렬
보안 강화를 위한 정부차원의 대책도 나왔습니다. 향후 2주 이내에 고객에게 전송되는 문자나 이메일에서 클릭 가능한 링크를 모두 제거하기로 했습니다. OCBC은행 사건과 관련해서 고객들이 쉽게 속았던 이유가 은행 이름으로 온 문자메시지의 링크를 의심하지 않고 클릭했기 때문입니다.
기본적으로 한 번에 100달러(약 8만5천 원) 이상 거래가 되면 고객에게 문자가 가도록 하고, OTP단말기 혹은 가상 단말기의 활성화는 12시간 이상 지연되도록 했습니다. 연락처를 비롯해서 주요한 내용이 변경되면 실행까지 일정 시간 이상 대기 시간을 갖도록 했습니다. 은행별로 사기 사례에 대한 피드백만을 처리하는 전담팀도 만들기로 했습니다.
이번 사건은 모든 것을 디지털화 시키는 게 과연 보안 측면에서 옳은 방향인가 하는 의문을 갖게 만들었습니다. OCBC 은행은 일회성 비밀번호를 만드는 OTP단말기를 올해 3월까지 모두 디지털로 전환하겠다는 계획을 중단시켰습니다. 추가된 각종 보안대책으로 인해 온라인 거래는 앞으로 더욱 불편해질 것이며 온라인에 익숙지 않은 이들은 은행 지점을 찾을 수밖에 없을 것입니다.
한국은 지점은 없이 온전히 온라인으로만 운영되는 은행과 보험사, 증권사가 점점 많아지고 있는 추세입니다. 해킹과 사기에 대한 보안대책은 어떻습니까? 피싱 사기로 고객이 돈을 잃으면 그에 대한 보상은 누가 해주고 있습니까? 보안에 대한 책임을 정부, 은행, 고객 중 누가 가장 크게 떠맡고 있습니까? 온라인 피싱 사기로 인해 한바탕 전쟁을 치르고 있는 싱가포르의 사례를 타산지석으로 삼아 우리 금융당국도 미리 점검을 해야 할 것입니다.