미국의 인터넷 결제대행 서비스인 페이팔을 사칭하는 피싱이 국내에 급속히 확산되고 있다. 수출입을 하는 무역업체뿐만 아니라 ‘이베이’ 등 해외인터넷 경매사이트에서 물건을 구매하는 일반인까지 피해를 입고 있다. 최근 들어서는 피싱사이트로 유도하는 메일을 보내 고객 정보를 빼내는 움직임마저 포착됐다.

◆가짜 페이팔 ‘입금’ 메일

스마트폰 케이스를 수출하는 국내 M사는 페이팔 피싱에 낚여 사기를 당했으나 나중에 이를 알고 간신히 물품을 되찾을 수 있었다.

나이지리아 바이어가 페이팔 계정으로 ‘수입 대금’을 입금하겠다고 해서 M사는 별다른 의심 없이 페이팔 계정을 만들었다. 그 직후 바이어가 돈(1820달러)을 입금했다는 페이팔 이메일이 도착했다. M사 담당자는 아무런 의심 없이 물건을 발송했다.

하지만 며칠이 지나도 회사 계정으로 돈이 이체되지 않자 M사 담당자가 페이팔에 직접 전화해 입금 여부를 확인했다. 그는 페이팔 측으로부터 ‘입금 사실이 없다’는 통보를 받고 피싱 사기라는 것을 알았다. M사 담당자는 곧바로 KOTRA 라고스무역관으로 연락해 ‘사기꾼 손에 물품이 인도되기 전에 반송될 수 있도록 도와달라’고 요청하는 공문을 보냈다. 라고스무역관은 물품 도착 즉시 한국으로 반송해 줄 것을 현지 당국에 요청했다.

◆‘경매 양도’ 사기도 많아

이 사건은 미국의 결제대행 인터넷서비스인 ‘페이팔’ 영업의 틈새를 노린 ‘피싱’이다. 구매자와 판매자 사이에서 거래대금을 대신 받고 이를 전달하는 ‘에스크로’ 역할을 하는 페이팔에 대한 신뢰를 이용하는 사기 수법이다. 페이팔인 것처럼 위장해 “입금을 받았다”는 메일을 보내면 대부분 거래처들이 페이팔과 연동된 계좌를 확인하지도 않고 물품을 보내는 사례가 많기 때문이다.

최근에는 이베이를 비롯한 인터넷 경매 사이트에서도 페이팔을 위장한 피싱 사기가 늘고 있다.

예컨대 10만원을 써내 이베이에서 낙찰받은 사람에게 “나는 8만원에 입찰했다가 떨어진 사람”이라고 소개한 뒤 “당신이 낙찰받은 것을 포기하면 2순위자인 내가 8만원에 낙찰받게 되고, 당신에게 이 물건을 8만5000원에 팔겠다”는 메일을 보낸다. 그러면 10만원에 낙찰받기로 했던 사람이 1만5000원을 아낄 수 있다는 생각에 8만5000원을 보낸다는 것이다. 결국 이 사람은 물건도 받지 못하고 8만5000원을 사기당하게 된다.

◆고객정보 유출 사건도

보안업체 지란지교소프트는 지난 3월부터 새로운 형태의 페이팔 사기가 등장했다고 14일 발표했다. 페이팔을 위장한 피싱 메일을 페이팔 고객에게 보내 정보 재입력을 유도하는 피싱이다.

메일에는 ‘페이팔 자동화로 인해 고객 정보에 대한 보안이 실패했다’는 문구와 함께 페이팔 계정을 계속 사용하려면 고객 정보를 다시 등록해야 한다는 문구가 있다. 메일에 포함된 인터넷 주소(URL)를 클릭하면 피싱 사이트로 연결돼 이용자의 이름·주소·신용카드 정보 등이 유출된다는 것이 지란지교소프트의 설명이다.

신대규 한국인터넷진흥원(KISA) 침해대응센터 팀장은 “메일을 통해 개인 정보를 요구하는 것은 금융회사를 사칭하는 피싱 사기라고 보면 맞다”고 덧붙였다.

■ 페이팔

PayPal. 해외 인터넷사이트에서 쇼핑을 할 때 이용할 수 있는 결제 서비스. 해외 결제가 되는 카드를 페이팔 계정에 한번 등록하면 상품을 살 때 본인의 아이디와 비밀번호로 ‘로그인’만 하면 신용카드 번호를 다시 입력하지 않아도 결제가 이뤄지는 것이 특징이다.

김보영 기자 wing@hankyung.com