인간관계 해킹하는 보이스피싱의 진화

정철근
논설위원

지난해 2월 아내에게 중학교 2학년인 아들 이름으로 휴대전화가 걸려왔다. 그런데 전화를 건 사람은 아들이 아니라 섬뜩한 목소리의 성인 남자였다.

　“내가 XX이를 때려 많이 다쳤는데, 아이를 무사히 돌려받고 싶으면 내가 불러주는 계좌로 2000만원을 송금해. 만약 중간에 전화를 끊으면 알지. 아이 손가락을 잘라 집으로 보낼 테니까.” 휴대전화에선 “엄마 무서워”라는 울음 섞인 비명까지 들려왔다. 겁에 질린 아내는 현금자동입출금기로 달려갔다. 막상 송금하려고 하니 문뜩 보이스피싱 사기가 아닐까라는 의심이 들었다고 한다. 아내는 일단 통화를 끊고 아이 휴대번호로 다시 전화를 걸었다. 하지만 아들 전화는 전원이 꺼져 있었다.

　그때부터 우리 가족은 거의 패닉 상태에 빠졌다. 경찰은 보이스피싱일 가능성이 크다면서도 납치 가능성을 배제할 수 없다고 말했다. 일단 아들 번호로 전화가 걸려왔고, 방과후인데 휴대전화가 계속 꺼져 있다는 점이 꺼림칙했다. 범인은 아들의 신상을 상당히 파악하고 있는 듯이 보였다. 다행히 경찰이 휴대전화 위치를 추적해 두 시간 만에 아들을 찾아냈다. 수업이 평소보다 일찍 끝난 그날 아들은 친구들과 함께 노래방에서 스트레스를 풀고 있었다.

　경찰은 범인을 계속 추적하겠다고 했지만 솔직히 별 기대를 하지 않았다. 범인이 불러준 계좌가 대포통장이고, ‘콜센터’는 해외에 있을 게 뻔했기 때문이다. 아니나 다를까 사기범은 한 달쯤 뒤 아내에게 똑같은 수법으로 전화를 걸어와 건재함(?)을 과시했다. 이 사건을 겪은 후 나는 의외로 많은 사람이 보이스피싱에 당했다는 사실을 알게 됐다.

　 한 선배는 친구들로부터 “형편이 그렇게 어렵느냐”는 오해를 받았다. 자신의 목소리를 흉내 낸 보이스피싱 사기범이 친구들에게 전화를 걸어 상품을 사라며 송금을 요구했기 때문이다. 사기범은 이 선배의 직업, 친구 관계는 물론 사투리 섞인 말투까지 파악하고 있었다.

　최근엔 김무성 새누리당 대표를 사칭한 보이스피싱 사기가 발생했다. 김 대표는 “저하고 목소리가 비슷한 사람이 주로 여성들에게 전화해서 그럴 듯한 내용으로 돈을 요구해 송금한 분들이 여럿 나왔다”며 주의를 당부했다. 보이스피싱이 이제 집권여당 대표를 사칭할 정도로 대담해진 것이다.

　보이스피싱은 인간관계를 이용한 사회공학(Social Engineering) 해킹 수법을 사용해 더욱 정교하게 진화하고 있다. 소셜네트워크서비스(SNS)에 널려 있는 인맥·취미·동정 등 개인정보를 훔치면 얼마든지 범행 대상을 속일 수 있는 맞춤형 보이스피싱이 가능하다. 컴퓨터 전산망이 아닌 인간관계를 해킹하는 것이다. 인맥을 중시하는 한국인은 이런 수법에 특히 취약하다. 이대로 가다간 직접 대면하지 않으면 서로 믿지 못하는 불신감이 확산돼 정상적인 인간관계마저 붕괴될까 우려될 정도다.

　2008년 옥션 회원 정보 1080만 건 유출을 필두로 GS칼텍스·농협·SK컴즈·넥슨·KT·카드사 등에서 줄줄이 개인정보가 새 나갔다. 이런 대규모 정보 유출 이후 사회공학 해킹 수법을 이용한 보이스피싱이 늘고 있다는 것은 결코 우연이 아니다. 대부분의 정보가 중국의 보이스피싱 조직으로 넘어갔기 때문이다.

　하지만 개인정보를 털린 고객들은 피해를 배상받을 길이 없다. 대법원은 지난달 옥션의 회원정보 유출 사고와 관련해 회사의 손해배상 책임이 없다고 판결했다.

　결국 보이스피싱이나 해킹 범죄의 표적이 되지 않으려면 개인 스스로 자신의 정보를 지키고 보안에 신경 쓸 수밖에 없다. 무료 다운로드 등에 현혹돼 개인정보를 넘기는 어리석은 행태부터 바꿔야 한다는 것이다.

　케빈 미트닉(52)은 DEC·모토롤라·선마이크로시스템스 같은 대기업 컴퓨터망에 침투했던 전설적인 해커다. 감옥에서 나온 뒤 보안컨설팅업으로 전향한 그는 사회공학을 이용한 해킹에 인간이 얼마나 취약한지를 이렇게 경고했다.

　“인간이 어리석으면 어떤 보안패치도 소용없다. 사이버 보안에 가장 큰 위협은 컴퓨터 바이러스나 허술한 방화벽이 아니라 바로 인간이다.”

정철근 논설위원