직장인 K모씨는 최근 ‘계좌 확인 요망(Please verify your account)’라는 제목의 영문 e-메일을 받았다. 계좌에 문제가 생겼으니 계좌번호와 비밀번호 등을 정확히 입력해 달라는 거래은행 명의의 e-메일이었다. 하지만 해당은행 콜센터에 확인한 결과, 그런 메일을 보낸 사실이 없다고 했다.
‘피싱(Phishing)메일’을 들어본 적이 있는가. 최근 전세계적으로 확산되고 있는 e-메일을 통한 신종 금유사기 경보령이 내려졌다. 피싱(Phishing)이란, 개인정보(Privacy)와 낚시(Fishing)의 합성어로 개인정보를 불법적으로 빼내려는 사람이 금융기관을 사칭해 불특정 다수의 인터넷 이용자에게 이메일을 보내, 금융기관의 카드정보나 계좌정보 등을 빼내는 신종 사기 수법을 말한다. 이들은 유명업체(은행, 카드사, 전자거래업체)와 동일하게 보이는 위장 홈페이지를 개설한 후, 신용카드나 은행계좌 정보에 문제가 발생해 수정이 필요하다는 등의 거짓 e-mail을 보내, 계좌정보와 주민등록번호 등의 개인정보를 입력하도록 유인한다.
예를 들면, ‘매일 요청을 무시하면 계좌가 잠정 중지된다’는 협박성 문구에서부터 경품당첨, 계좌잔액 증가, 거래내역 변경 등을 허위로 알리는 식이다. 이때 개인정보를 e-메일을 통해 넘길 경우 인터넷 뱅킹에 이용되는 인증서가 임의로 재발급돼 예금을 불법으로 인출 당할 수 있다. 또 주민등록번호 등 개인정보는 사채시장에서 신용대출에 사용될 수도 있다.
전세계 금융기관들 ‘피싱과의 전쟁’ 선포
작년부터 대두되기 시작한 ‘피싱’은 올 들어 급속하게 증가해 매달 평균 50%씩 증가하고 있다. 현재 미국에서는 대표적인 경매사이트인 이베이를 비롯, 시티은행, 유에스 뱅크 등 대형 금융회사가 피싱 대상이 되고 있으며 피해액이 수억달러에 이르는 등 심각한 문제로 대두되고 있다.
피싱 추방 선봉장을 자처하고 있는 안티-피싱 워킹그룹(APWG)자료에 의하면, 미국의 경우 올해 피싱메일을 수신한 사람이 5,700만명에 이르고 이 중 178만명(피싱 메일 수신자의 3%)이 금융정보를 제공한 것으로 조사됐다. 피싱 메일 수신자의 약 3%가량이 피해를 입은 셈이다. 영국과 독일 등도 주요 은행을 사칭한 피싱이 발생하고 있어 사회적 이슈가 되고 있는 추세다.
최근 브라질에서는 피싱수법으로 인터넷 계좌에서 돈을 훔친 사기범 50여명이 경찰에 체포됐다. 이들은 바이러스에 감염된 파일을 첨부한 e-메일을 보낸 뒤 인터넷 은행계좌를 훔쳤다. 이에 따라 미국, 영국 등 주요국가의 금융기관들은 ‘피싱과의 전쟁’을 선포하는 등 대책 마련에 부심하고 있다. 전세계적으로 피싱사기가 급증하자, 국내 금융기관들은 고객에게 피싱사기에 대한 주의를 환기시키는 e-메일을 발송하는 등 주의를 기울이고 있다.
정보통신부는 우리나라에서는 아직 구체적 피해사례가 발견되진 않았지만, 모방범죄 등이 발생할 가능성이 높고, 이 경우 정보보호 마인드가 높지 않아 피해가 클 것으로 우려했다.
아직 국내피해가 적은 이유를 전문가들은 우리나라의 경우 인터넷 뱅킹 등의 금융거래시 공인인증 및 안전카드를 사용하도록 돼 있어 피싱 등의 금융사기로 연계될 가능성이 외국에 비해 낮고, 또 피싱메일이 아직 익숙치 않은 영문으로 작성돼 있기 때문으로 분석하고 있다.
국내 서버가 피싱 사기 위장용으로 이용되는 비율이 세계적으로 높다. APWG의 분석에 따르면 피싱의 위장 홈페이지(경유지)로 이용된 서버 중 우리나라가 전체의 16%를 차지해 미국 다음으로 세계 2위를 기록했다. 지난 7월 신고 접수된 1,974건의 피싱 중 우리나라 서버를 경유지로 한 피싱이 315건을 기록했다.
보안취약한 중소업체 등의 서버가 주요 타깃
한국정보대상보호진흥원(KISA) 자료에 따르면, 올 한해 동안 국내 서버가 피싱 위장 사이트로 이용된 건수가 128건에 달했다. 지난 2월 5건에 불과하던 악용사례는 6월부터 21건으로 급증하기 시작해, 지난달 43건으로 배가 늘었다. 하지만 피싱의 특성상 서버운영자가 쉽사리 피싱 사실을 알아채지 못할 뿐 아니라 대기업 등 규모가 큰 업체들은 자사 서버의 피싱사실이 공개되는 것을 꺼린다는 점으로 미뤄 실제 피해건수는 이를 훨씬 웃돌 것으로 보고 있다. 특히 국내 사이트 중 보안이 취약한 학교, 소규모 비영리단체, 중소업체 등의 서버가 피싱에 이용되고 있는 것으로 조사됐다.
우리나라는 인터넷 발달과 웹호스트 서비스의 활성화로 상대적으로 많은 웹사이트가 구축, 운영되고 있으나, 이에 대한 보안관리 의식은 부족해 해킹 등에 쉽게 노출되곤 한다. 실제로 지난 2002년 5월 보안이 허술한 우리나라의 메일서버, 프락시서버가 외국 스패머들의 스팸메일 발송 경유지로 이용돼 사회적 이슈가 된 적이 있다.정보통신부도 피싱방지를 위해 상시 모니터링을 실시하고 피싱메일이 발견될 경우 인터넷서비스제공업체에 메일 수신 차단 조치를 요청하는 한편, 검·경에 신속한 수사 의뢰 등 대책을 마련했다. 보안의식 없는 개인 사용자들의 무책임한 행동은 강력한 대책도 무용지물이 된다. 그러나 정통부는 “피싱은 인터넷 이용자의 보안의식이 강화되지 않으면 효과적으로 대응수 없는 대표적인 개인정보 유출사고”라고 강조하면서 “국민 개개인의 각별한 주의와 보안의식을 높여줄 것”을 당부했다.
제목 : “Please Verify Your Account”
- 보낸이 : XXX Bank
- 편지내용 : 고객의 계좌에 문제가 생겼으니 계좌번호와 주민번호를 다시 한번 입력 요구 위장화면