서론
신용카드(Credit Card)란 개인의 신용를 담보로 이를 소지한 회원이 지정된 가맹점으로부터 상품이나 용역을 현금의 즉시 지불없이 신용공여 기간동안 외상구입할수 있는 증표로써 현금이나 수표와 같이 일종의 지급결제수단의 역할을 합니다. 신용카드처럼 지급결제 수단으로 이용되고 있는 카드로는 직불카드, 체크카드,선불카드 등이 있습니다.
* 우리나라의 여신전문금융업법 제 2조 3호에서는 '신용카드라 함은 이를 제시함으로써 반복하여 신용카드 가맹점에서 물품의구입 또는 용역의 제공받거나 재정경제부령이 정하는 사항을 결제할 수 있는 증표로써 신용카드업자가 발행한 것을 말한다'고 정의하고 있습니다.
신용카드는 그 편의성만큼이나 언제든지 다른 사람에 의해 부정 사용될 위험성이 매우 높다. 당초 기업의 이윤추구 목적으로 만들어진 것이지만 현재 오늘날 경제 생활에 필요불가결한 거래수단으로 이용되고 있다. 이에 따라 신용카드에 관련한 범죄는 새롭게 진화하고 있는 시점이다.
현행법상 신용카드 관련범죄는 형법에 의해 처벌되는 경우 외에 여신전문금융업법에 의해 규율되고 있다. 여신전문금융업법상 범죄구성요건은 크게 ① 신용카드의 취득 관련범죄, ② 신용카드의 사용 관련범죄, ③ 신용카드의 처분 관련범죄, ④ 가맹점 관련범죄, ⑤ 신용카드업 등의 영업허가․등록 관련범죄, ⑥ 여신전문금융업자 등의 공정거래 관련범죄로 나눌 수 있다.
이 가운데 직접적인 관련을 갖는 유형은 신용카드의 취득, 사용 및 처분행위와 관련된 거래 행위로 불 수 있다.
본론
한국인터넷진흥원 인터넷이용실태조사에 따르면 우리나라 가구 인터넷 접속률은 2000년 49.8%이었으나 2018년 99.5%으로 증가하였다1. 대다수 국민이 매일 스마트폰 혹은 PC를 통해 자료 및 정보 획득, 커뮤니케이션, 전자상거래, 쇼핑 등을 하고 있으며 인터넷은 그만큼 우리 생활에 밀접한 영향을 미치고 있다.
프라인에서 이루어지던 상거래 활동이 온라인에서 이루어지고 있으며, 스마트폰 혹은 컴퓨터에 악성코드를 설치하고 개인정보를 탈취하여 금전적 이득을 얻고 있다. 사이버 상에서 우리의 금융정보를 노리는 해커의 시대별 진화에 대해 기술하고 대응방안을 살펴본다.
1) 보이스 피싱과 메신저 피싱 결합된 신종 사이버 사기
2000년대 초 "아이를 납치했다" 와 같은 방법의 보이스 피싱으로 인한 범죄는 스미싱을 이용한 악성링크 클릭 유도를 통해 금융정보를 탈취하는 악성앱 설치형과 신용카드 관련 범죄는 아니지만 로맨스 스캠과 같은 신종 보이싱 피싱까지 발전했다. 스마트폰의 악성코드가 설치될 경우 해당 폰 소유자의 금융정보가 탈취될 수 있으며, 수사기관을 사칭한 체크카드 담보 요구 또한 빈번하게 발생하고 있다.
2) 금융 정보 탈취형 파밍 악성코드를 이용한 금융정보 탈취
2007년 처음 등장한 금융 정보 탈취형 악성코드는 사용자의 PC에 감염되어 사용자가 정상 은행 사이트에 접속하더라도 해커가 만들어놓은 가짜 피싱 사이트에 연결되어 사용자에게 보안카드 등 개인 정보 입력을 요구하였다.
해커는 이와 같은 방법으로 수집한 금융정보를 기반으로 정상 사용자를 가장하여 계좌 이체 등을 통해 금전적 이득을 취했다. 한국인터넷진흥원의 악성코드 탐지 동향 보고서에 따르면 이러한 파밍 악성코드는 2012년 7월부터 2014년 1월까지 가장 활발하게 활동하였다는 것을 알수 있다.
또한 파밍 악성코드 역시 백신과 피싱 사이트 차단 등의 예방을 우회하기 위해 ① VPN 접속을 통한 우회 ② 중국 qq블로그, 핀터레스트 등을 통한 서버연결 ③ DNS 변조 ④ 공유기 DNS 설정 변조 등의 방법을 통해 우회하여 악성 URL에 카드 정보를 입력 받았다.
3) 스피어피싱 이메일을 통한 사이버 공격 및 금융정보 탈취
스피어피싱이란 물속에 있는 물고기를 작살로 잡는 ‘작살낚시(spearfishing)’에서 기원한 용어로 주로 이메일을 통해 이루어지는 것이 특징이다. 불특정 다수에게 광고성 정보가 전송되는 스팸 메일과 달리 스피어피싱은 금전적·정치적 목적 등을 위해 정보를 탈취하거나 악성코드를 설치하여 사이버 공격을 수행한다.
이러한 형태의 공격은 지능형 APT 공격이라고 불리며 국내의 경우 주로 공공기관이나 일반 기업에서 주로 사용하는 아래한글(.hwp), 스크린세이버(.scr, exe), 압축파일(zip)등이 이메일에 첨부되어 악성코드 감염으로 연계된다.
신용카드범죄의 행위유형에 대한 법적 규율에서 여신전문금융업법을 살펴보면 모든 불법적인 행위를 포함하고 있다고 볼수 없으나, 일정한 범위(부정한 방법을 통한 신용카드 정보 보유, 이를 이용한 거래를 한자)에서 앞서 설명한 금융정보 불법 취득에 대한 법률을 위반한 자에 대해 7년이하의 징역 또는 5천만원 이하의 벌금형을 선고하고 있다.
결론
금융정보 불법취득 보다 이후의 신용카드 위변조, 금융정보 거래 등의 행위로 이어 질수 있는 부분을 감안한다면 보안 예방에 정부와 공공기관을 비롯하여 개개인의 보안의식 강화가 필수적이라고 생각된다.
'me > report' 카테고리의 다른 글
사이버보안 리스크 평가 :: 거버넌스 중심으로 (0) | 2021.11.07 |
---|---|
블록체인 기술 및 산업 분야 적용 사례 :: 시흥시 지역화폐 시루 (0) | 2021.11.06 |
전자 증거 개시재도와 사이버포렌식의 차이점 (0) | 2021.11.05 |