전자금융사기는 악성코드를 이용하지 않은 보이스피싱, 대출사기와 악성코드를 이용하는 파밍, 스미싱으로 분류할 수 있다.
보이스피싱이란 전화 등을 활용하여 이용자의 금융정보를 캐내는 수법, 파밍은 악성코드를 이용하여 이용자를 가짜 은행사이트로 유도한 다음 금융정보를 빼내는 수법, 스미싱이란 스마트폰에 낚시 문자를 보내 악성코드를 깔고 이를 이용하여 금융정보를 빼내는 수법을 말한다.
보이스피싱, 대출사기, 파밍은 공통적으로 이용자가 자기 계좌에서 일단 대포통장 계좌로 이체하게 한 다음, 중간책이 대포통장에서 돈을 인출하여 주범에게 건네는 과정을 밟는다.
이렇듯, 기존의 전자금융사기의 특징은 가짜 사이트ㆍ정체불명자의 문자ㆍ대포통장으로 요약할 수 있고, 이러한 특징적 요소를 주의하면 어느 정보 예방 및 사후대책이 가능하였다. 하지만 이러한 특징이 사라져가고 있다. 전자금융사기는 진화하기 때문이다.
파밍은 진화하여, 가짜 은행사이트가 아닌 진짜 은행사이트에서 정상적으로 거래하는 과정에서 악성코드를 이용하여 이용자의 금융정보를 빼가거나 이용자가 입력하는 계좌 또는 금액을 변조하고 있는데, 이를 메모리해킹이라 부른다.
정체 불명자에서 오는 문자가 아닌 아는 사람으로부터 오는 문자 등을 클릭해도 역시 스미싱 사기 피해를 당하고 있다. 스마트폰의 전화번호를 빼낸 다음 이를 이용하여 스미싱 문자를 보내기 때문이다.
대포통장을 경유하여 피해자의 돈을 인출하는 것이 아니라, 범인이 물품을 구매한 다음 피해자의 예금계좌에서 직접 물품판매자에게 돈을 이체하여 물품대금을 결제하고 있다. 대포통장을 이용하지 않고도 전자금융사기가 가능한 것이다.
악성코드 추적 전문그룹인 이슈메이커스랩에 따르면 현재 4개 정도의 조직이 '축적된 기술과 노하우'를 바탕으로 전자금융사기 기술을 발전시키고 있다고 한다. 진화하는 전자금융사기ㆍ늘어가는 국민들의 주름살 앞에서 법조인으로서 '축적된 기술과 노하우'를 가지고 어떤 역할을 할 수 있을까 고민해 본다.
* 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 10. 14.) 기고.
