IT DONGA

[IT용어사전] 해커의 낚시, 피싱(Phishing)

이상우

[IT동아 이상우 기자] 과거에는 산업이나 군사용으로 쓰이던 기술이 오늘날 우리 일상에서 사용할 수 있을 정도로 흔해졌고, 이에 따라 우리가 접하는 기술의 종류도 상당히 많아졌다. 당연한 이야기지만, 이러한 새로운 기술에는 기술 자체의 이름이나 기술이 나타내는 현상을 표현하는 용어가 있다. 다양한 기술이 빠르게 등장하면서, 새로운 용어가 너무나도 많이 우리 곁에 다가왔다. 아예 기술 이름을 약어로만 표현하는 경우도 있어, 책이나 신문을 읽을 때, 혹은 전자제품을 구매할 때조차 이 것이 무슨 뜻인지 알기 어려운 말도 존재한다. [IT용어사전]은 이처럼 다양한 IT 관련 기술 용어를 설명하기 위해 준비했다.

해커의 낚시, 피싱(Phishing)

사람을 속이는 방법은 너무나도 많다. 특히 디지털 세계에서는 다른 사람과 더 쉽게 연락할 수 있는 만큼 속이기 위해 접근하는 방법도 많아졌다. 피싱(Phishing) 역시 이러한 사기 방법 중 하나다. 피싱은 개인 정보(Private data)와 낚시(Fishing)의 합성어로, 해커가 마치 낚시를 하는 것처럼 사용자의 금융 정보나 개인식별 정보 등을 낚아 올린다는 의미다. 과거에는 이러한 피싱이 이메일을 통해 주로 이뤄졌지만, 스마트폰이 보급되면서 해커들의 낚시 방법도 더 다양하게 바뀌었다. 전화를 직접 걸어 속이는 보이스 피싱, 문자 메시지(SMS)를 이용한 피싱 공격인 스미싱, 특정 표적을 정교하게 노리는 스피어 피싱, 사생활이 담긴 동영상을 이용해 협박하는 몸캠 피싱 등 기존의 피싱이라는 용어에 새로운 단어를 붙인 공격 기법도 나타났다.

해커의 공격 기법은 IT 인프라 발전에 맞춰 더 다양하게 바뀌고 있다

특히 이러한 공격은 이미 유출된 사용자의 신상 정보를 일부 활용해 더욱 정교한 방식으로 우리를 속이고 있다. 실제로 우리는 인터넷 서비스 기업을 통한 몇 차례 대형 개인정보 유출 사고를 겪으면서 '내 주민번호는 공공재'라는 말을 농담처럼 하기도 한다.

보이스 피싱에 유출된 신상정보가 더해지면 'ooo씨 아들이 사고를 당했는데, 지금 수술을 시작해야 해서 돈이 필요합니다. 제 계좌로 500만 원 송금해주세요'라는 식으로 전화를 걸 수 있다. 상대방이 내 전화번호와 이름을 알고 있기 때문에 무작위로 걸려오는 전화와 비교했을 때 속을 가능성이 더 높다.

스미싱 역시 마찬가지다. 단순히 링크가 포함된 문자 메시지를 받았을 때보다 'ooo 고객님 택배 배송 불가(도로명 불명)로 주소 확인 필요' 라는 메시지와 함께 특정 사이트로 연결하는 링크를 받았을 때 이 링크를 누를 가능성이 높다. 게다가 링크로 연결된 사이트가 실제 택배업체 홈페이지와 유사하게 꾸며진 피싱 사이트일 경우 여기서 사이트에서 시키는 대로 검증되지 않은 앱을 내려받거나 보안카드 번호 등을 입력하게 된다.

스미싱 메시지(왼쪽)과 정교하게 꾸며놓은 피싱 사이트

스피어 피싱은 기존 피싱이 더 정교하게 발전된 형태다. 피싱의 어원이 낚시라면, 스피어 피싱의 어원은 작살낚시다. 보이지 않는 바닷속에 낚싯바늘을 던지는 것과 달리, 작살낚시는 특정한 표적을 노리고 이뤄진다. 스피어 피싱 역시 이처럼 특정 표적을 노린 해커의 공격 방식으로, 이를 통해 개인의 식별 정보나 금융 정보뿐만 아니라 기업의 기밀 정보 등을 노리기도 한다. 특히 스피어 피싱이 이뤄지기 위해서는 해커가 피해자와의 친숙함을 이용하기도 하는데, 이 때 전화번호, 이름, 이메일 등의 신상 정보가 있다면 마치 잘 아는 사람인 것처럼 위장할 수 있다. 소셜 미디어의 친구인 것처럼 위장해 악성 파일이 담긴 이메일을 보내거나 회사 직원인 것처럼 꾸며 간부에게 이메일을 보낼 수도 있다.

몸캠 피싱은 이와 조금 다른 방식으로 이뤄진다. 유출된 개인정보를 활용하기 보다 개인정보 유출을 목적으로 진행되는 경우가 많기 때문이다. 공격자가 스마트폰을 이용해 음란한 화상 채팅을 할 것처럼 이성을 속여 특정 앱을 내려받도록 유도하고, 이 앱을 설치한 사용자 스마트폰에 저장된 주소록을 탈취한다. 이후 실제 음란 행위를 유도한 다음, 이를 녹화하고 탈취한 주소록에 있는 사용자에게 이 동영상을 보내겠다고 협박하는 방식이다.

이러한 피싱을 막는 방법은 언제나 한결같다. 모르는 사람이 보낸 파일이나 링크를 함부로 클릭하지 말고, 스마트폰에는 출처를 알 수 없는 앱을 설치하지 않는다. 안티 바이러스 소프트웨어를 설치하면 최소한 알려진 악성코드를 이용한 공격은 예방할 수 있다. 반드시 기억해야 할 것은 기업은 개인 사용자에게 주민등록번호나 보안카드 번호 등을 입력하라고 요구하지 않는다는 점이다.

보이스 피싱이 의심 된다면 주변의 도움을 요청하자

보이스 피싱은 혼자서 해결하려 하지 말고 주변의 도움을 요청해야 한다. 이상한 전화를 받았을 때 당황해서 상대방의 요구대로 돈을 입금하지 말고, 지인이나 경찰의 도움을 받는 것이 현명하다. 스미싱 역시 문자 메시지에 첨부된 링크를 함부로 누르지 않으면 최소한의 예방은 가능하다. 특히 최근에는 기업이 카카오톡의 기업용 계정(플러스 친구)을 이용해 택배 발송 및 수취 확인 메시지를 보내는 경우가 많은 만큼, 링크가 포함돼 있거나 앱 설치 등을 요구하는 문자 메시지는 무시해도 된다. 마지막으로 몸캠 피싱의 대비책은 욕심을 버리는 것뿐이다. 물론 인간의 욕심은 끝이 없고 같은 실수를 반복하겠지만.

글 / IT동아 이상우(lswoo@itdonga.com)

이전 다음