e-메일 사기 '피싱' 조심하세요

미국 대통령 선거 열기가 가득한 틈을 타 지난 1일 유수의 ○○은행 고객들에게 다음과 같은 내용의 e-메일이 발송됐다. "고객님 안녕하십니까. 저희 은행에서는 엄격한 보안기준에 따라 귀하의 개인 정보와 자료를 관리하고 있습니다. 그런데 귀하의 소중한 정보를 더욱 안전하게 보관하기 위해 보안 업데이트를 하고자 합니다. 보안 업데이트를 확실하게 하기 위해 '여기'를 클릭해 ○○은행 온라인에 접속하시기 바랍니다. 그렇게 하지 않으면 귀하의 계좌가 훼손되는 결과가 생길 수도 있습니다. ○○은행 온라인 드림."

개인정보(private data)를 낚시질(fishing)해 가는 e-메일 사기범죄인 피싱(phishing)은 앞에서 예시한 것과 같이 사람을 현혹하는 그럴싸한 e-메일을 보내 접속하도록 한 뒤 수신자가 자신의 귀중한 개인정보, 이를 테면 신용카드 번호, 인터넷뱅킹 아이디와 비밀번호.주민등록번호 등을 털어놓게 하는 신종 사기수법이다.

피싱 공격자는 대개 일반인 사이에 신뢰도가 높은 유명 은행, 온라인 쇼핑몰, 신용카드 회사 등의 이름을 도용해 범죄 행각에 나선다. 미국의 비영리 개인정보 보호단체 '트러스트'는 최근 미국 네티즌 세 명에 한 명꼴로 한 주에 한 건 이상 피싱 공격에 노출된다고 보고했다. 가트너그룹은 지난 6월 보고서에서 12개월에 걸친 미국인들의 피싱 사기 피해액을 24억달러로 집계한 바 있다.

음란성 쓰레기(스팸)메일이야 한 번 열어 본 뒤 지워버리면 그뿐이지만, 피싱 공격에 걸려들 경우 재산상의 손해를 본다는 데 문제의 심각성이 있다.

피싱은 달리 표현하면 아이디 도둑질이다. 그런데 피싱 공격자들이 피해자로부터 아이디를 훔쳐가는 수법이 여간 정교한 것이 아니다. 미국의 경우 "테러와의 전쟁에 반드시 필요하니 귀하의 아이디를 제공해 달라"는 식으로 시민정신에 호소하는 경우도 많다고 한다.

우리나라의 경우 미국과 달리 전자 금융거래에 있어 공인인증서를 사용하고, 공인인증 비밀번호를 요구하는 등 이중의 장치가 돼 있어 미국 등 여타 국가보다 상대적으로 안전한 것은 사실이다. 그러나 우리나라 역시 확률이 낮을 뿐 피싱의 안전지대는 아님을 명심하고 앞에서 예로 든 것과 같은 e-메일을 받으면 '선의(善意)의 의심'을 품는 것이 상책이다.

e-메일에 언급된 기관의 대표전화 번호를 검색한 뒤 전화를 걸어 사실을 확인하거나, 공식 e-메일 사이트를 검색해 해당 기관에 재접속해 똑같은 메시지가 뜨는지 확인해 보는 것이 가장 확실한 방법이다.

이홍섭 한국정보보호진흥원 원장