계좌 탈취 사기, 美 전역 강타… FBI “금융기관 사칭 범죄 급증” 경고

미 연방수사국(FBI)이 25일(현지시간) 금융기관을 사칭한 계좌 탈취(Account Takeover·ATO) 사기 급증을 공식 경고했다. 올해 1월부터 10월까지 FBI 인터넷범죄신고센터(IC3)에 접수된 계좌 탈취 피해 신고는 5100건을 넘었고, 피해액은 2억6200만 달러(약 3826억원)에 달한다. 단순한 피싱 수준이 아니라, 금융기관 직원·보안팀·기술지원 부서를 가장해 OTP(일회용 비밀번호)까지 탈취하는 고도화된 사회공학(social engineering) 기술이 핵심이다.

FBI에 따르면 범죄 조직은 먼저 문자·전화·이메일 등으로 “계좌에 이상 거래가 발생했다. 고객 인증이 필요하다는 내용으로 접근한다"며 "계좌 소유자가 응하면, 범죄자는 금융기관 보안 직원을 사칭해 계정 정보를 요구한다"고 했다.

이어 “수사기관에 연결해 드린다”며 "또 다른 공범에게 연결하기도 한다. 이 과정에서 총기 불법 구매 등 자극적 사유를 제시해 피해자가 서둘러 OTP·MFA(다중인증) 코드를 넘기도록 유도하는 방식도 확인됐다"고 경고했다.

피싱 사이트 구축도 점점 정교해지고 있다. 범죄조직은 금융기관·급여 사이트와 구분하기 어려운 가짜 웹사이트를 제작한 뒤, 구글·빙(Bing) 검색광고에 돈을 지불해 검색 최상단에 노출시키는 ‘SEO 포이즈닝(검색엔진 독극물화)’ 기법을 활용한다. 사용자는 정상 광고라 믿고 클릭하지만, 사실상 범죄조직이 운영하는 완벽한 복제 페이지로 연결된다. 여기서 입력한 ID·비밀번호·보안문자 등 모든 인증 정보는 즉시 탈취된다.

한번 계좌 접속 권한을 탈취하면 피해는 순식간이다. 범죄자는 즉시 비밀번호를 변경해 계정 소유자를 잠그고, 내부 잔액을 암호화폐 지갑 등 범죄 계좌로 송금한다. 암호화폐 주소로 흩어진 자금은 회수가 매우 어렵다.

FBI는 “계정 탈취는 일상적인 금융·급여·건강저축계좌까지 공격 범위가 넓어지고 있으며, 개인·기업·기관을 가리지 않고 발생한다”며 강한 경계심을 촉구했다.

FBI는 피해 예방을 위해 △SNS에 생년월일·가족·반려동물 이름 등 유추 가능한 개인정보 노출 금지 △모든 금융계정의 비밀번호 복잡성 강화 및 중복 금지 △반드시 ‘즐겨찾기’로만 금융기관 사이트 접속 △검색광고 클릭 자제 △MFA 절대 비활성화 금지 등을 제시했다. 또한 “은행 직원 또는 수사기관이 전화로 OTP·비밀번호를 요구하는 일은 없다”며 "모르는 번호의 연락을 받을 경우 반드시 끊고 금융기관 공식 번호로 직접 재통화하라"고 조언했다.

만약 계좌 탈취가 발생했다면, 즉시 금융기관에 연락해 송금 취소 요청과 함께 ‘Hold Harmless Letter(면책 확인서)’ 또는 ‘Letter of Indemnity(보상 확약서)’ 발급을 요청해야 한다. 이후 노출된 비밀번호·인증서·사용자 계정·서비스 계정 등 모든 자격증명(credentials)을 즉시 재설정해야 한다.

피해 신고는 IC3에 접수해야 하며, ‘Account Takeover’ 또는 ‘SEO poisoning’을 명시하고 △범죄 조직이 제공한 전화번호·이메일·주소 △접속을 유도한 웹사이트 주소 △범죄에 사용된 계좌 정보 등을 상세히 기재해야 한다.

FBI는 “금융기관 사칭형 계좌 탈취는 더 빠르고 더 정교하게 진화하고 있다”며 “IC3의 최신 경보를 주기적으로 확인하고, 기업·개인이 스스로 계정 접근 권한을 지속적으로 점검해야 한다”고 강조했다.

[뉴스로드] 최지훈 기자 jhchoi@newsroad.co.kr