• 페이스북
  • 트위터
  • 유튜브

광장

광장

[눈뜨고 당한다…‘피싱’의 진화③]휴대폰 문자·메일 속 수상한 링크 클릭하지 말아야

보이스 피싱 범죄가 급증하자 정부는 지난해 12월 ‘보이스피싱 대응 범정부 태스크포스(TF)’를 발족했다. 지난달에는보이스피싱 범죄에 대응하기 위한 통신·금융분야 종합 대책도 내놨다. 이처럼 정부가 보이스 피싱 대응에 집중하는 사이 피싱 범죄가 택배나 유명 페이 사칭으로 번지는 풍선효과가 발생하고 있다고 보고 있다. 피싱 범죄가 단속 사각지대로 파고드는 모양새다. ◆“조잡한 수준 벗어나 한 몸처럼 움직이는 피싱조직” 경고 전문가들은 피싱 범죄 증가가 당분간 계속될 것이라고 입을 모았다. 이들의 기술 수준이 전문성을 갖추기 시작하면서, 공격 수법 역시 치밀해지고 있다는 분석이다. 이성권 시큐리온 대표는 “지금 활동하는 피싱 조직 대다수가 기술적인 부분에서 상당히 높은 수준으로 올라왔다”라며 “단기간에 이들 범죄조직을 뿌리뽑기가 쉽지 않을 것"이라고 내다봤다. 문종현 이스트시큐리티 이사도 “과거에는 누가 봐도 어설프고 스팸임을 단번에 알아차릴 수 있는 단계의 피싱이었다면 지금은 포토샵으로 세밀한 디자인으로 가짜 사이트를 꾸미는 것은 물론 공격 대상에 대한 기본 정보까지 입수해 공격하는 것이 일반적”이라며 “이렇게 공격 수준이 정교해고 있는 만큼 대응에도 어려운 부분이 있다”라고 짚었다. 피싱 공격자에 대한 면밀한 분석과 연구가 선행돼야 한다는 지적도 있다. 문종현 이사는 “사실 피싱 예방을 위해 홍보하는 안전수칙 등은 어쩌면 방어하는 쪽의 전략을 공격자에게 모두 공개하는 것과 마찬가지”라고 분석했다. 즉, 방어전략을 피싱조직도 알 수 있어 이들에게 우회 전략을 구사할 수 있는 빌미를 제공해준다는 의미다. ◆피싱 공격에 대한 연구 선행 필요…범정부 차원 유기적 협조체계 구축 문 이사는 “현실적으로 피싱 예방 캠페인 등을 중단할 수 없기 때문에 공격자들에 대한 연구가 무엇보다 중요하다”라며 “피식 조직이 사용하는 공격 수법, 최근 동향 등에 대한 연구가 더 늘어야 한다"고 말했다. 이를 위해서는 관련 인력의 확대가 선행돼야 한다는 것이 문 이사의 의견이다. 그는 “연구는 결국 인력을 얼마나 투입하느냐에 따라 성과가 나오는 것”이라며 “피싱 연구와 수사 인력을 확대하는 방향으로 가야 한다”고 제시했다. 이성권 대표는 피싱에 효과적으로 대응하기 위해서는 범정부 차원의 컨트롤타워가 필요하다고 조언했다. 그는 “피싱 범죄조직은 기술 개발, 피싱 시도 등 각 그룹이 원팀으로 움직인다”며 "이에 효과적으로 대응하려면 수사기관, 정보기술(IT) 유관부처, 보안기업, 금융기업 등의 시스템과 조직이 유기적으로 움직여야 할 것"이라고 강조했다. ◆이용자 자신도 도메인 주소 확인 등 평소 주의하는 습관 가져야 전문가들은 피싱 예방을 위해서는 온라인 서비스 이용자 자신도 주의가 필요하다고 제언했다. 허수만 파이오링크 사이버위협분석팀 팀장은 스마트폰 문자나 메일에 첨부된 웹사이트 링크는 무조건 확실히 확인할 것을 당부했다. 그는 “피싱 사이트가 정상 사이트의 주소와 유사하다 보니 일반인들이 확인하기에 어려움이 있다”라며 “(번거롭더라도) 발신자가 제공하는 링크를 바로 클릭하기보다는 정상 사이트의 주소 도메인을 확인하는 등의 절차를 밟아야 한다”라고 말했다. 발신자나 접속한 사이트가 개인정보, 금융정보 등의 입력을 요구하는 경우 2차 확인이 필요하다고 전문가들은 조언했다. 김만기 잉카인터넷 시큐리티대응센터 프로는 “출처가 불분명한 메일이나 링크에는 접속하지 말아야 한다”라며 “주민등록번호 등의 개인정보, 금융정보 등의 입력을 요구할 때는 정상 사이트가 맞는지에 대한 확인을 거쳐야 한다”라고 지적했다.

송종호 기자

+0

구독
구독
기사제보