매년 피싱 피해가 엄청나다. 이 때문에 모르는 사람이 보냈거나 수상한 출처의 e메일이나 메시지를 열어보지 말라는 보안사항을 귀가 따갑도록 들었을 것이다. 그런데도 피싱 피해가 끊이지 않는다. 왜 그럴까.
다 사람들의 호기심 때문이다. 호기심은 고양이도 죽이지만, 피싱 피해도 불러온다.
독일 프리드리히 알렉산더(FAU) 대학의 연구팀 실험 결과에 따르면 말이다. 연구팀은 1700여 건의 피싱 실험을 했다. 절반 가까이 피싱에 낚였고, 상당수가 피싱의 위험을 잘 알고 있었다.
연구팀은 두 개의 실험을 진행했다.
첫째 실험은 e메일과 페이스북 메시지를 통해 ‘지난 주 송년회 사진’을 볼 수 있는 링크를 FAU 대학 학생들에게 보냈다. 해당 링크를 누르면 ‘접속 불가(access denied)’ 메시지가 나오는 홈페이지로 연결된다. 페이스북의 경우 메시지를 보낸 사람의 프로파일에 사진을 넣었고 약간의 개인 정보를 꾸며댔다.
실험 결과 e메일에선 56%가 ‘피싱 링크’를 눌렀다. 페이스북은 38%였다. 연구팀은 e메일과 페이스북 메시지에 받는 사람으로 가장 흔한 이름을 적었다. 사람들은 자신의 이름이 아니지만 ‘피싱 링크’를 누른 것이다. 송년회에 참석한 적도 없었지만 ‘피싱 링크’를 누른 사람도 있었다.
연구를 진행한 지나이다 베넨손 박사는 “수신자들에게 나중에 물어보니 대부분 누가 보냈는지 확인도 안 했다고 한다. 다만 사진이 정말 보고 싶었던 것이다”고 설명했다.
연구팀은 또다른 실험에선 e메일과 페이스북 메시지에 받는 사람의 이름을 따로 쓰지 않고 송년회 장소와 사진을 찍은 순간에 대해 좀 더 자세히 적었다. 그랬더니 e메일에선 20%가, 페이스북에선 42%가 각각 ‘피싱 링크’를 눌렀다.
연구팀은 나중에 실험에 참가한 학생들에게 ‘잘 알지 못하는 링크를 클릭하는 위험에 대해 알고 있나’고 물었다. 그랬더니 78%가 ‘알고 있다’고 답했다.
첫째 실험에서 20%가 ‘피싱 링크’를 눌렀다고 응답했다. 둘째 실험에선 16%였다. 그런데 실제 결과는 각각 첫째 실험에서 45%(e메일과 페이스북 메시지 합한 결과), 둘째 실험에서 25%였다. 베넨손 박사는 ”응답과 실제의 차이는 ‘피싱 링크’를 누르고도 까먹었기 때문“이라고 설명했다.
이철재 기자 seajay@joongang.co.kr
