소셜미디어나 문자메시지, 이메일 등을 활용한 사이버 범죄 피싱이 급증하고 있다. 전문가들은 피싱 수법이 다양해지고 있어 사용자는 주의를 기울여야 한다고 조언했다.
피싱(phishing)이란 이메일과 전화, 문자 메시지를 사용해 표적으로 삼은 피해자를 노리는 사이버 범죄를 일컫는다. 공격자는 적법한 기관인 척 가장해 피해자의 신용카드 정보와 패스워드, 기타 민감한 데이터를 요구한다. 개인정보로 계정에 접근해 신원을 도용하거나 금전적 손실을 발생하게 한다. 수익을 얻기 위해 악성 소프트웨어 다운로드 및 설치를 유도하는 또 다른 피싱 사기도 있다.
가정 및 개인 보안 전문 시큐리티닷오알지는 사이버 범죄의 변화 양상을 평가하기 위해 FBI 인터넷범죄보고서 데이터를 분석했다. 그 결과 인터넷 범죄 피해자 수가 59% 증가했으며 신뢰/로맨스 사기(48%), 갬블링(38%), 경품 마케팅사기(34%), 폭력 위협(24%), IPR/저작권 사기(16%), 아동 범죄(3%) 등도 늘어났다.
강탈(187%), BEC/EAC(160%), 개인 데이터 도난(158%), 투자(104%), DDos/TDos(76%) 등 사이버 범죄 피해자 수가 가장 많았다. 응답자에게 피싱에 대해 얼마나 많이 알고 있는지 질문하자, 96%는 피싱이 무엇인지 알고 있다고 답했으며 88%는 피싱을 정확하게 정의 내릴 수 있다고 말했다.
세대별로 살펴본 결과, 베이비붐 세대의 59%는 피싱이 사기 소프트웨어를 통해 발생할 수 있다는 것을 믿지 않았으며 54%는 웹 광고 때문에 피싱이 일어날 수 있다는 것을 믿지 않았다. X세대(31%)와 밀레니얼 세대(25%)와 비교했을 때 베이비붐 세대의 41%는 피싱이 소셜미디어에서 발생할 수 있다는 것을 믿지 않았다.
피싱 관련 모든 질문에 올바르게 답한 응답자 중 86%는 익명의 발신자가 보내온 자료를 클릭 또는 다운로드하는 것만 피해도 피싱 사기에서 벗어날 수 있다고 답했다. 80%는 낯선 발신자가 보낸 이메일을 무시하고, 74%는 이메일 스팸 필터를 사용하고, 74%는 개인 데이터 공유를 요구하는 문자를 무시한다고 답했고 69%는 안티바이러스 소프트웨어를 사용하고 있다고 답했다.
사기는 표적에 따라 매우 다양하지만, 부주의한 소비자를 노리는 경우가 많다. 예를 들어, 사기꾼은 피해자의 관심을 얻기 위해 이메일 제목을 바꾼다. 경품에 당첨됐다는 내용의 메일을 보내 이름과 생일, 주소, 은행 계좌를 요구하는 경우도 있다. 만약 이러한 개인 정보를 입력해야 한다면 그런 경품은 받지 않아야 한다.
사기꾼이 사용하는 또 다른 기법에는 은행을 가장해 개인 정보 수정을 요구하거나, 피해자가 애용하는 온라인 매장을 가장해 주문 내역을 확인한다며 개인 정보를 요구하는 방법이 있다. 심지어 해커가 기술 보안 기업을 가장해 안전을 위해 정보가 필요하다고 주장하는 경우도 있다. 피해자가 사업체를 운영하고 있다면, 해커는 직원 중 한 명이나 공급업체 중 하나를 가장할 수도 있다.
메시지에 맞춤법이나 문법적 오류가 있는가? 그렇다면, 피싱 이메일일 수 있다. 특정 기관의 공식적인 메시지는 올바른 양식으로 기록돼 있어 오류가 들어있을 가능성이 적다. 피싱의 또 다른 조짐에는 메시지에 낯선 URL이 들어있는 경우다. 피싱 메시지에는 데이터 도난을 위해 고안된 악성 링크가 들어있어 피해자에게 클릭을 유도한다.
링크가 안전한지 확인하고 싶다면, 웹주소와 링크 주소가 동일한지 확인할 수 있다. 조금이라도 의심된다면 클릭해서는 안 된다. 심지어 해커는 웹 주소를 미묘하게 바꿔 피해자가 의심하지 못하게 한다. 악성 활동이 감지됐다는 내용의 메시지와 함께 로그 기록을 확인하기 위해 클릭을 요구하는 경우도 확실한 피싱 신호다.
기업을 포함해 누구든 피싱의 피해자가 될 수 있다. 유독 의심스러운 메시지가 있는가 하면, 적법한 기관에서 보낸 메시지처럼 보이는 것도 있다. 사용자는 메시지나 이메일을 클릭할 때, 혹은 전화에 답할 때 언제나 주의를 기울여야 한다.