피싱 메일에는 실제로 어떤 내용이 담겨있을까?

[IT동아 이상우 기자] 피싱(Phishing)은 오늘날 대표적인 온라인 사기 방식이다. 개인 정보(Private data)와 낚시(Fishing)의 합성어로, 마치 낚시를 하는 것처럼 사용자의 중요 개인정보를 탈취하거나 사기를 쳐 돈을 훔친다. 일반적으로 피싱은 이메일이나 문자 메시지, 채팅 애플리케이션 및 메신저 등을 통해 이뤄지며, 여기에 공격 대상에 대한 약간의 개인정보(이름, 나이, 거주지 등)만 더해지면 더욱 정교한 공격이 가능하다.

그렇다면 피싱 공격은 어떻게 이뤄지며, 메시지에는 어떤 내용이 담겨있을까? 위험하다는 얘기는 들었지만, 어떤 내용인지 보지 못했다면 실제로 자신이 이러한 메시지를 받았을 때 대응하기 어려울 수도 있다. 이 때문에 이번 기사에서는 피싱의 종류와 메시지의 내용 등을 공유하려 한다.

가장 흔히 사용하는 피싱 공격 방법은 무작위로 수집한 이메일 주소로 공격자가 메일을 보내는 방식이다. 첨부파일 등을 이용해 악성코드를 심는 것과 달리, 단순한 텍스트로 사기를 친다. 우선 다음 사진을 보자.

첫 번째 내용은 자신이 모로코에 살고 있는 과부이며, 100만 달러를 받기 위해 외국에 있는 동업자를 구한다는 내용이다. 두 번째 내용은 자신이 2020 두바이 엑스포 관계자며, 정부 몰래 해외로 자금을 반출하기 위해 외국인의 도움이 필요하다는 내용이다. 이러한 형태의 피싱은 세부적인 내용은 다르지만 맥락은 같다. 자신이 많은 돈을 가지고 있으며, 이를 외국으로 옮기려면 누군가의 도움이 필요하고, 도움을 준다면 보답한다는 내용이다.

이러한 형태의 피싱의 내용은 당연한 이야기지만 이러한 말은 모두 사기다. 이런 메시지에 혹해서 답장을 보낸다면 상대방은 작업을 위한 비용이 필요하다며 약간의 돈을 입금할 것을 요구한다. 예를 들어 금괴를 반출하고 싶지만 세관에 묶여 있기 때문에 이를 위한 비용이 필요하다고 말하거나 현재 소송 중이고, 승소할 가능성이 높으니 변호사 고용비를 지원해달라는 등의 요구를 한다. 만약 실제로 돈을 입금한다면, 영원히 그 사람으로 부터 답장이 오지 않을 것이다.

이와 비슷한 사례로 페이스북 등 글로벌 소셜미디어를 이용해 비슷한 사기를 치는 방법도 있다. 페이스북 등을 통해 피해자를 물색하고, 메시지를 보내며 친분을 쌓는다. 어느 정도 친해진 이후에는 본격적인 '작업'이 시작되며 앞서 말한 이메일 피싱 사례와 마찬가지로 큰 돈을 벌 수 있는데, 약간의 비용이 필요하다는 식의 메시지를 보낸다. 이러한 사기 유형에 속지 않으려면 돈을 벌게 해주겠다는 감언이설에 휘둘려서는 안된다. 얼굴도 모르고 연락처도 모르는 외국인을 어찌 믿고 돈을 보내겠는가.

이 같은 피싱은 공격자가 공격에 드는 노력이 거의 필요 없으며, 무작위로 메일을 발송한 뒤 기다리기만 하면 된다. ROI 면에서 우수한 만큼 여전히 많이 쓰이고 있지만, 예전 처럼 속는 사람이 많지는 않다. 이 때문에 이메일을 통해 이뤄지는 피싱 역시 한 단계 발전했다. 우선 다음 사진을 보자.

단순한 텍스트만 읽으면 구글 팀이 보낸 내용으로, PDF 파일을 통해 공식 알림 및 요구사항을 전달하겠다는 것처럼 보인다. 하지만 사용자의 이메일 도메인을 보면 구글 사내 계정이 아니다. 즉 엄연한 피싱이며, 이러한 메일에 포함된 첨부파일을 내려받을 경우 악성코드에 감염될 가능성이 높다. 일반 사용자에게는 랜섬웨어 같은 공격이 대표적이며, 기업을 대상으로는 네트워크에 침투해 기업 기밀을 유출하는 등의 공격을 펼칠 수 있다.

특히 이처럼 악성 파일이 포함된 피싱 공격은 단순히 누군가를 사칭하는 것을 넘어 특정 인물이나 단체 혹은 기업을 대상으로 펼칠 수도 있다. 예를 들어 내가 운영하는 홈페이지에 대해 '폰트 사용 및 사진 저작권 위반이 확인돼 관련 내용을 보낸다'라는 이메일이 오면 담당자 입장에서는 이를 열어볼 수밖에 없다. 이러한 종류의 피싱이 있다는 것을 알고 있어도, 모든 메일이 피싱은 아니기 때문에 사용자의 주의와 정확한 판단이 중요하다. 언제나 강조하는 것은 알 수 없는 사람이 보낸 이메일이나 불명확한 첨부파일은 열어보지 않는 것이 좋으며, 믿을 수 있는 보안 소프트웨어를 통해 이를 검증할 필요가 있다는 점이다.

스미싱이나 보이스피싱 역시 피싱의 종류다. 스미싱이란 문자 메시지(SMS)와 피싱의 합성어며, 보이스 피싱이란 음성으로 이뤄지는 피싱 공격을 말한다. 여기에 약간의 개인정보만 더해진다면 특정 대상을 노린 정교한 공격도 가능하다. 우선 다음 사진을 보자.

해당 문자 메시지 내용은 필자의 이름을 직접 언급하며 '이상우 고객님 택배 배송 불가(도로명 불명)로 주소 확인 필요' 라는 메시지와 함께 사이트로 연결하는 링크가 포함돼 있다. 해당 링크를 누르면 택배 배송조회 페이지 처럼 보이는 화면이 나온다. 하지만 이는 스미싱이며, 사이트는 실제와 유사하게 꾸며놓은 피싱 사이트다. 만약 피싱 사이트에 카드번호를 입력하거나, 사이트에서 요구하는 대로 추가 앱을 내려받으면 추가적인 피해를 입을 수 있다. 이를 피싱이라고 판단한 이유는 우선 해당 택배사는 이러한 내용을 문자 메시지가 아닌 카카오톡 공식 계정을 이용해 보내고 있으며, 배송조회 등도 URL이 아닌 공식 앱을 통해 하도록 유도하기 때문이다. 이처럼 개인의 신상정보 일부만 더해져도 공격 성공률을 높일 수 있어, 기존 피싱보다 위험하다.

비슷한 사례로는 몸캠피싱을 들 수 있다. 공격자는 랜덤채팅이나 화상채팅 애플리케이션을 통해 피해자를 물색한다. 공격자는 피해자에게 음란한 채팅을 하자고 요구하며 추가적인 앱 설치가 필요하다고 말한다. 의심 없이 이를 설치한 피해자는 화상채팅을 통해 음란행위를 한다. 사실 공격자가 설치를 요구한 앱은 주소록을 탈취하는 앱이다. 음란행위를 녹화한 공격자는 탈취한 주소록을 통해 이를 지인에게 알리고 싶지 않다면 돈을 내놓으라고 요구한다.

이러한 피해를 당하지 않으려면 출처를 알 수 없는 애플리케이션이 설치되지 않도록 설정해야 하며, 누군가 이러한 애플리케이션 설치를 유도한다면 의심해야 한다. 뿐만 아니라 스마트폰 역시 PC 처럼 백신을 설치하는 것이 좋다.

글 / IT동아 이상우(lswoo@itdonga.com)