[디지털포스트(PC사랑)=정혜]
늘어나는 보이스피싱 피해액
2024년 3월 금융감독원이 발표한 '2023년 보이스피싱 피해 현황 분석' 자료에 따르면, 지난해 보이스피싱 피해자 수는 전년 대비 감소했지만, 피해액은 35.4% 증가해 총 1,965억 원에 이른 것으로 나타났다.
올해 보이스 범죄의 증가세도 가파르다. 지난 5월까지 발생한 보이스피싱 범죄는 8,434건으로, 지난해 같은 기간 대비 15% 증가했다. 같은 기간 피해 금액도 지난해 1,713억 원에서 올해 2,563억 원으로 50% 증가했다. 보이스피싱의 대표적인 유형인 기관 사칭 수법은 15% 감소한 반면 대출 빙자형 수법은 61% 급증했다.
다양해지는 보이스 피싱 수법
보이스 피싱의 가장 일반적인 방법은 기관 사칭과 공문서 조작이다. 악성 앱을 설치해 휴대폰 자체를 탈취하는 경우도 있다. 금융위원회나 검찰을 사칭해 공문서와 매우 흡사하게 조작한 구속영장, 체포영장 등을 메신저로 발송하고, 허위의 ‘스마트 진술서’ 링크를 통해 악성 앱을 설치하고, 휴대폰에 저장된 개인정보를 탈취하고, 휴대폰 자체를 조작해 수신 번호를 조작해 표시하고 심지어 발신하는 번호를 강제로 당겨 받기도 한다.
지난 4월에는 카드 개설 신고 안내를 1899-6627이라는 지역번호 없는 전국 대표번호로 발송해 보이스피싱을 유도하는 사례가 보도되었다.
해외에서는 보이스 피싱 수법으로 인공지능을 활용
국가정보원은 해외에서 발생하고 있는 보이스피싱의 최근 수법을 소개했다.
마약범죄와 연루되었다며 협박해 금전을 빼앗거나 마약 운반책으로 활용하는 사례, 가짜 chatgpt 웹사이트,앱을 만들어 정보를 탈취하거나 금전을 빼앗는 사례, 딥페이크 기술로 피해자의 목소리나 얼굴을 모방해 지인, 가족으로부터 금전을 빼앗은 사례 등이 제시되었다.
보이스 피싱을 막기 위한 정부의 대응도 활발
정부는 범정부 TF를 운영하며 2022년 9월부터 보이스피싱 범죄 근절 대책을 마련해왔다. 2023년 7월부터 국제전화를 악용한 보이스피싱 범죄 피해를 예방하기 위해 국제전화 수신 시 음성으로 국제전화임을 안내하는 정책을 시행했다.
2023년 9월부터는 한 번의 신고로 보이스피싱 사건 처리부터 피해 구제까지 원스톱으로 처리할 수 있도록 전기통신금융사기 통합신고·대응센터를 설치했다. 또한 기존 PC에서만 명의도용방지 서비스 이용이 가능했던 불편함을 해소해 PASS 앱 등 모바일로도 본인 명의 휴대폰이 불법 개통되는 것을 방지하는 서비스를 이용할 수 있도록 했다.
피해자들의 대응력 강화도 정부의 관심사다. 대검찰청은 지난 9월 “보이스피싱 피해자의 심리 분석을 통한 피해 예방 방안 연구” 용역을 발주했다. 이번 연구는 피해자들이 범죄자들에게 속아 심리적으로 범죄자들의 지배하에 놓인 상태에 이른다는 점에 주목하면서 심리학적 관점에서 피해자들이 보이스피싱 범죄자들로부터 피해를 입는 원인을 규명하는데 집중할 예정이다. 이를 토대로 피해자들이 범죄자들로부터 심리적으로 지배당하지 않도록 예방할 수 있는 방안을 도출하겠다는 것이다.
보이스 피싱의 시작은 개인정보 유출
하지만 보이스피싱은 그 시작 지점부터 뿌리를 뽑아야 한다. 한국형사법무정책연구원은 “보이스피싱 범행 단계별 대응 방안 연구”(2023년)에서 보이스 피싱 범행 단계를 범행 준비단계와 범행 실행단계로 구분하면서 단계별 특성과 대응 방안을 제시하고 있다.
우선 범행 준비단계와 관련해 개인정보 유출에 대한 엄격한 단속의 필요성을 강조했다. 많은 보이스 피싱 범행이 개인정보가 담긴 DB를 취득해 사용하고 있다고 밝히면서 심지어 개인정보를 범죄조직에 판매한 개인정보 관리자가 검거된 경우도 있다고 했다.
공공기관의 개인정보 유출이 급격히 늘어나고 있다. 국회 행정안전위원회 소속 더불어민주당 양부남 의원이 지난 6월 최근 개인정보보호위원회(이하 개인정보위)로부터 제출받은 자료에 따르면 올해 1월부터 5월 사이에 개인정보위에 개인정보를 유출했다고 신고한 공공기관은 50곳이나 된다. 2019년 8곳에 비하면 급격히 증가한 것이다. 또한, 올해 4월에는 정부의 온라인 민원 서비스인 “정부 24”에서 개인정보가 유출되었다.
계속되는 민간 기업의 개인정보 유출 사고
민간기업의 개인정보 유출 사고도 끊이지 않고 있다. 올해 상반기 카카오톡은 오픈 채팅방 정보가 해킹 당하면서 최소 6만 5천 명의 정보가 유출되었고, 과징금 151억 원이 부과되었다. 지난 8월에는 카카오페이가 알리페이에 지난 6년 동안 4천만 명이 넘는 이용자의 신용 정보를 암호화 처리하지 않은 채 제공한 것도 논란이 되었다.
또한, 지난 8월 개인정보보호위는 한화호텔엔리조트에 온라인 회원 쿠폰 이벤트 과정에서 최대 1818건의 개인정보가 무단으로 조회되었다며 1억 8,531만원의 과징금을 부과했다.
부정한 방법으로 취득한 개인정보를 거래하는 행위는 불법으로 처벌 대상이다. 개인정보보호법 72조 2호는 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득한 자', '그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자'를 처벌하도록 규정하고 있다.
한국인터넷진흥원(KISA)에 따르면 2023년 개인정보 불법 유통 탐지 건수는 17만 9,138건으로 2022년 16만 1,743건 대비 10.7% 증가한 것으로 집계됐다. 2019년 12만 1,714건과 비교하면 47.1% 늘었다. 이렇게 유출된 정보는 다크웹 등을 통해 불법으로 거래되고 있고, 보이스 피싱의 먹잇감 정보를 제공하는 원천이 되고 있다.
개인정보를 보호하기 위한 제도적 장치 강화 필요
유럽연합(EU)은 일반데이터보호규정(GDPR, General Data Protection Regulation)을 통해 개인정보를 보호하고 있다. GDPR은 매우 엄격하고 구체적인 기준을 바탕으로 개인의 권리와 데이터 보호를 강화하며, 글로벌 데이터 보호의 기준으로 자리 잡고 있다.
한국의 개인정보 보호법(PIPA)은 유럽 GDPR과 비교해 보완해야 할 점들이 있다.
우선, 데이터 주체의 권리 강화가 필요하다.
GDPR은 개인정보 이동성 권리(data portability)를 보장하여 개인이 자신의 데이터를 특정 서비스 제공자로부터 다른 제공자로 옮길 수 있는 권리를 보장한다. 이는 사용자가 특정 플랫폼에 종속되지 않고 데이터를 자유롭게 이동할 수 있도록 해주며, 데이터 소유권을 강화하는 중요한 요소이다.
하지만, 한국 PIPA는 아직 데이터 이동성 권리에 대한 명확한 규정이 부족하다. 데이터 주체가 자신의 데이터를 다른 서비스로 이동할 수 있도록 하는 법적 근거를 강화하면, 사용자의 데이터 통제권이 강화될 것이다.
명확한 동의와 투명성을 높이도록 개선해야 한다.
GDPR은 개인정보 처리에 대한 동의를 받을 때, 명확하고 구체적인 동의를 요구하며, 사용자가 이를 이해할 수 있어야 한다는 점을 강조한다. 사용자는 언제든지 쉽게 동의를 철회할 수 있어야 하며, 동의 철회 과정도 간편해야 한다.
한국 PIPA는 동의 기반의 개인정보 처리를 요구하지만, GDPR에 비해 동의 과정이 덜 구체적으로 제시되고 있다. 정보 제공의 투명성 및 동의 철회의 용이성을 강화하여 사용자가 자신의 데이터 처리에 대해 더 명확하게 이해하고 통제할 수 있도록 해야 한다.
처벌 수위를 높이고 집행력을 강화해야 한다.
GDPR은 위반 시 최대 연간 전 세계 매출의 4% 또는 2천만 유로 중 더 높은 금액의 과징금을 부과할 수 있다. 이는 매우 높은 처벌로, 기업들이 GDPR 준수를 중요하게 여기도록 만드는 요인이다. 한국 PIPA도 매출액의 최대 3% 과징금을 부과할 수 있으나, 절대적인 금액은 GDPR보다 낮은 편이다.
처벌 수위를 더욱 높이거나, 실제 위반에 대해 보다 엄격하게 집행하여 기업들의 경각심을 높일 필요가 있다. 특히, 반복적인 위반 행위에 대한 강력한 제재를 통해 데이터 보호에 대한 준수 문화를 정착시킬 수 있다.
마지막으로 국제 데이터 전송 규정을 개선해야 한다.
GDPR은 개인정보를 EU 외부로 전송할 때, 적정한 수준의 보호를 제공하는 국가로만 데이터를 전송할 수 있도록 엄격하게 규정하고 있다. 이러한 규정은 EU 시민의 개인정보가 EU 밖에서도 안전하게 보호되도록 보장한다.
한국 PIPA도 국제 데이터 전송에 대한 규정을 가지고 있지만, 유럽처럼 데이터 보호의 수준을 엄격하게 비교하거나 제약을 두는 부분은 상대적으로 미흡하다. 국제적 데이터 전송 시 개인정보 보호 수준을 더욱 명확하게 규정하고, 이를 통한 데이터 보호의 신뢰성을 높이는 것이 필요하다.
,<이 기사는 digitalpeep님의 네이버 블로그에도 실렸습니다.>
