21세기는 온라인 금융사기의 전성시대라 해도 과언이 아니다. 세계가 피싱(phishing), 파밍(pharming) 등 신종 금융사기와 전쟁 중이다. 미국에선 해마다 200만~300만명이 피싱 사기로 수억달러의 피해를 본다고 한다. 그래서 이 둘을 가리켜 ‘사악한 쌍둥이(evil twins)’ ‘치명적인 이인조(deadly duo)’라고 부를 정도다.

피싱은 1987년 아메리카온라인(AOL)에서 처음 발생했으니 더 이상 신종도 아니다. 피싱의 어원은 낚시(fishing)인데 위장수법이 정교해(sophisticated) 철자를 ‘phishing’으로 바꿨다고 한다. ‘ph’와 ‘f’는 발음이 같다. 농사(farming)에서 유래한 파밍 역시 ‘pharming’으로 적는다.

피싱 사기범들은 대개 은행 공공기관 등을 발신자로 위장해 받는 사람이 꼭 열어볼 만한 내용의 이메일을 보낸다. 수신자가 무심코 이메일을 열어 비밀번호 인증번호 등을 입력하면 사기범에게 전송돼 예금이나 개인정보를 빼가는 식이다. 전화로 개인정보를 빼내면 보이스피싱, 휴대폰 문자메시지(SMS)를 통한 피싱은 스미싱(smishing)이라고 부른다.

2005년 미국에서 처음 등장한 파밍은 인터넷뱅킹을 무대로 피싱을 더욱 고도화한 사기수법이다. 피싱처럼 위장 이메일을 보내지 않고 아예 은행 사이트를 중간에 탈취(도메인 하이재킹)하는 방식이다. 그래서 파밍을 ‘미끼 없는 피싱(phishing without bait)’이라고도 한다.

파밍은 대개 무료 파일공유(영화, MP3 등) 사이트에 접속한 이용자의 PC에 씨 뿌리듯 트로이목마 같은 악성코드를 미리 심어놓는 것으로 시작된다. 그러면 이용자가 은행 사이트 주소를 정확히 입력해도 가짜 사이트로 연결된다. 여기에 무심코 비밀번호 보안카드번호 등을 노출했다간 예금을 한푼 남김없이 털리게 된다.

국내에서도 파밍사기 비상이다. 최근 45명의 계좌에서 131회에 걸쳐 6억여원을 빼돌린 금융사기단 3명이 경찰에 구속됐다. 작년 11, 12월 두 달간 금융감독원에 접수된 파밍 피해만도 146건, 9억6000만원에 이른다. 하지만 적발된 것은 빙산의 일각일 것이다. 국제 피싱예방기구인 안티피싱워킹그룹이 주요 32개국을 조사한 결과 한국 내 PC의 바이러스 악성코드 등 감염률은 52.7%로 중국(53.1%)에 이어 2위다.

피해 예방책은 스스로 주의할 수밖에 없다. 무엇보다 ‘공짜’를 조심하고 ‘보안등급 강화’ 요구는 의심해 봐야 한다. 인터넷뱅킹을 할 때 보안카드번호 35개를 전부 입력하라는 것은 100% 파밍사기다. 은행이 제공하는 ‘나만의 은행주소’에 가입하는 것도 필수다. 눈 뜨고도 당하는 세상이다.

오형규 논설위원 ohk@hankyung.com