“당~당황하셨어요?” 스피어 피싱

 

“당~당황하셨어요?”

2년 전 KBS 개그콘서트에서 큰 인기를 끌었던 코너 ‘황해’가 만들어낸 유행어다. 허술해 보이는 조선족 조직이 사기를 시도하는 우스꽝스러운 모습 덕분에 보이스피싱은 전 국민이 다 아는 범죄가 됐다. 덕분에 보이스피싱을 막기 위한 여러 가지 수칙들도 상식처럼 널리 알려졌다. 하지만 보이스피싱은 여전히 활개를 치고 있다. 보이스피싱 관련 피해 뉴스가 요즘도 심심치 않게 나온다. 이유가 뭘까. 개콘에서처럼 보이스피싱 조직이 허술하지 않기 때문이다. 전문가들도 깜빡하면 속아 넘어갈 만큼 교묘하게 진화한 사기수법이 피해자들을 노리고 있다.

 

◆작살 쏘듯 공격하는 ‘스피어 피싱’

특정 개인이나 기관의 약점을 교묘히 공격하는 피싱도 활개를 치고 있다. 마치 물고기를 잡을 때 쓰는 작살(스피어)을 던지듯 공격한다는 의미의 ‘스피어 피싱’이다. 범죄대상 인물의 개인정보를 미리 분석해 해당 회사에서만 쓰는 자료나 가족·거래처 담당자의 이름을 사용하기 때문에 자칫하면 속기 쉽다.

 

예를들어 사회적 이슈를 끌만한 제목으로 이메일을 만들어 대량 살포한다. 물론 이 이메일에는 악성코드가 심어져 있다. 해커는 한순간 방심으로 이 메일을 클릭한 피해자가 주고받은 메일 내용을 샅샅이 살핀 후 국가기관이나 대기업 등에 근무하는 직원 등을 ‘먹잇감’으로 골라낸다. 이후 가족 ID를 사칭해 악성코드를 심은 메일을 보낸다. 아무런 의심없이 파일을 열어보도록 유도한 것이다. 이 때문에 피해 당사자는 스피어피싱에 당했다는 사실조차 모르는 경우가 많다고 한다.

 

지난 5월 1000만명이 넘는 고객 개인정보가 유출된 인터파크 해킹 사태도 스피어피싱 때문이다. 당시 민·관 합동조사단의 조사결과, 해커는 경영관리 직원인 A씨가 개인적으로 쓰는 국내 한 포털 메일의 ID와 비밀번호를 가로챘다. A씨가 동생 등 가족과 이메일로 사진을 많이 주고받는다는 것을 알아낸 해커는 가짜 이메일을 만들어 '우리 가족 사진으로 PC의 화면 보호기 화면을 만들었으니 열어보라'는 내용과 함께 여는 즉시 악성 코드가 설치되는 압축 파일을 전송했다.

A씨가 사무실에서 첨부 파일을 열자 회사 PC에 악성 코드가 침투했고 이는 인터파크 사내 전산망을 돌며 여러 PC를 감염시켰다.

 

이 해킹 사건으로 아이디·암호화된 비밀번호·휴대전화 번호·주소 등이 유출된 현 인터파크 일반 회원은 모두 1094만여건. 또 휴면 회원 1152만여건도 아이디와 암호화된 비밀번호가 유출된 것으로 나타났다.

 

이같은 스피어피싱을 줄이려면 회사 PC로 개인 메일 열람 금지하고 백신 등 보안 소프트웨어를 강화하고 온라인에 너무 많은 개인정보를 노출하지 않아야 한다. 또 첨부 파일을 열어보라거나 자기가 쓰는 비밀번호를 입력해보라는 등의 메일을 받으면 가급적 상대방에게 연락해 진위를 확인하는 것이 필요하다.

 

◆QR코드를 이용한 ‘큐싱’ 피해 급증

최근 피해자가 급증하는 수법은 바로 ‘큐싱’이다. 큐싱은 QR코드와 피싱의 합성어다. 격자무늬의 2차원 코드인 QR코드를 통해 악성 애플리케이션을 내려 받도록 유도하거나 악성프로그램을 설치하게 만들어 피해자들을 낚는다는 뜻이다. 특히 피해가 큰 이유는 복잡한 모양의 QR코드는 공식적인 기관이나 기업에서만 만들 수 있는 것으로 알고 있는 경우가 많기 때문이다. 따라서 의심하지 않고 스마트폰 카메라를 들이댄다. 하지만 QR코드를 만드는 데는 네이버 등 검색사이트에서 길어야 5분도 걸리지 않을 정도로 간단하다. 손쉽게 QR코드에 악성링크를 삽입하거나 위·변조할 수 있다는 이야기다.

속이는 방법도 기발하다. 예를들어 ‘스마트뱅킹 앱의 보안강화를 위해 새로운 앱을 설치해달라’는 메시지를 대량 살포한다. 이 메시지를 터치하면 스마트폰에는 가짜 은행앱이 깔린다. 이 앱을 실행하면 QR코드와 함께 ‘보안카드를 스캔하라’는 안내문구가 나온다. 의심없이 보안카드를 스캔하는 순간 사기범의 먹잇감이 돼버린다.

이같은 큐싱 피해에 대비하기 위해서는 출처가 불분명한 앱은 내려받지 못하도록 스마트폰을 설정하고 소액결제 기능도 사용하지 않을 경우 아예 차단하는 것이 좋다. 또 스마트뱅킹 때 보안카드나 계좌번호 입력 등 통상적이지 않은 요구가 나올 때는 즉각 중단하고 악성코드 치료를 위해 휴대전화 서비스센터에 방문하는 것이 바람직하다.

 

◆아날로그 방식의 ‘레터피싱’도 충격

아날로그 방식의 보이스피싱도 등장했다. 가짜 출석 요구서 등 우편물을 이용한 ‘레터피싱’이 그 주인공이다. 특히 검찰·경찰·금감원 등 공공기관 마크가 찍힌 위조 공문서를 이용하기 때문에 깜빡 속아 넘어가기 쉽다. 예를들어 인터넷 도박사이트의 상습 도박자 수사과정에서 대포통장과 불법자금세탁의 정황이 확인돼 조사가 필요하다는 내용의 가짜 출석요구서를 보낸다. 그런데 출석이 어려울 경우 전화로 조사를 받을 수 있다는 안내도 들어있다. 안내에 들어있는 전화번호로 걸면 바로 보이스피싱에 연결되는 것이다.

레터 피싱에 당하지 않으려면 해당 우편물이나 공문에 기재된 전화번호가 아닌 해당 기관 대표번호로 전화해서 내용을 확인해야 한다.

특히 사기범들이 사칭하는 검찰청·경찰청·금감원 등 어떠한 공공기관도 절대 전화로 개인정보 및 금융정보를 묻지 않는다는 점을 명심해야 합니다. 레터 피싱은 개인의 주소, 주민등록번호, 계좌번호 등 개인정보를 미리 알고 접근한 뒤 수사를 가장해 송금을 요구하기에 더 각별한 주의가 필요합니다.

 

갈수록 교묘해지는 보이스피싱의 진화가 놀라울 따름이다. 개콘처럼 허술한 방식의 보이스피싱만 있는 줄 알았다가는 눈뜨고도 코를 베일 지경이다. 정말 당~당황스럽다.