전화 한통에 30만원? 진화하는 피싱의 모든 것
[응답하라 피싱2013]
사회공학적으로 정교화된 피싱기법, 알고도 당한다
머니투데이 이하늘 기자 입력 2013.12.15 06:32
[머니투데이 이하늘기자][[응답하라 피싱2013] 사회공학적으로 정교화된 피싱기법, 알고도 당한다]
"고객님 많이 당황하셨어요?" 최근 한 개그프로그램에서 유행하는 보이스피싱을 풍자한 유행어다. 이 프로그램은 특유의 어눌한 억양의 어설픈 주인공이 다양한 방법으로 보이스피싱을 시도하지만 번번이 실패하는 모습을 보여준다.
하지만 이는 개그프로그램에서의 모습일 뿐 현실은 그렇지 않다. 올해만 해도 다양한 신종 피싱기법이 등장했다. 대상을 명확히 구분해 해당 당사자에 부합하는 맞춤형 피싱기법인 스피어(작살) 피싱이 등장했다. 이 밖에 사회공학적인 피싱기법이 수없이 등장해 피싱에 대해 잘 알고 있으면서도 당하는 사례가 점차 늘고 있다.
사례 1) 쿠폰 당첨
지난해 연말 국내 한 유명 프랜차이즈 명의로 케이크 상품권을 교환받으라는 문자가 등장했다. 크리스마스 시즌을 맞아 지인의 선물 등을 오인한 일부 이용자들은 문자에 첨부된 인터넷주소(URL)을 클릭했다. 하지만 이들은 접속만으로 최대 30만원의 소액결제로 인해 피해를 입었다. 이 같은 기법은 다른 브랜드를 사칭한 피싱으로 번졌다. 한동안 뜸했던 이 같은 방식은 연말을 맞아 다시 기승을 부리고 있다.
사례 2) "결제가 완료됐습니다"
지난달 A씨는 한 동영상 서비스 기업으로부터 무제한 콘텐츠 이용 대금 1만9800원이 결제가 완료됐다는 문자메시지를 받았다. 해당 서비스를 이용한 적이 없는 A씨는 URL로 들어갔지만 이렇다 할 내용을 확인하지 못했다. 하지만 다음달 A시의 통신요금에서는 자신도 알지 못하는 소액결제 금액 10만원이 포함돼있었다.
사례 3)모바일 청첩장·돌잔치 초대장
B씨는 모르는 번호로 모바일 청첩장을 받았다. 친근하게 '형'이라는 호칭을 사용한 메시지에 B씨는 혹시 전화번호부에 미처 저장하지 않은 지인의 문자인 줄로 오인, 당사자의 얼굴을 확인하기 위해 첨부된 URL로 접속했다. 이후 인터넷창으로 이동 다운로드가 진행됐지만 청첩장 내용은 확인할 수 없었다. 해당 프로그램은 소액결제를 유도하는 악성코드로 이를 방치한 결과 B씨도 모르는 사이 매달 일정금액의 소액결제를 진행했다. 돌잔치 초대장 역시 이와 같은 방식의 피싱기법이다.
사례 4)인터넷뱅킹 정보 유출
C씨는 올해 초 국내 시중은행으로부터 인터넷뱅킹 정보가 유출됐으니 PC지청 신청을 해야 한다는 문자와 함께 URL 주소를 받았다. 해당 주소는 해당 은행의 이니셜과 비슷했다. 의구심이 든 C씨는 접속하기 이전에 인터넷 포털을 통해 관련 URL을 검색했다. 그 결과 해당 문자는 금융권을 사칭한 신종피싱 앱이라는 정보를 알게 됐다. 만일 이를 확인하지 않았으면 C씨는 자신도 모르는채 피싱사기를 당할 뻔 했다.
사례 5)카드결제 완료·인증번호 입력
D씨 역시 국내 유명 인터넷 쇼핑몰로부터 카드결제와 완료됐다는 문자 메시지와 함께 URL 주소를 받았다. 자신도 모르는 새 결제가 진행됐다는 사실에 깜짝 놀란 D씨는 해당 URL을 클릭하려 했지만 최근 피싱기법의 진화를 알고 있기에 해당 쇼핑몰의 대표번호로 전화를 걸었다. 그리고 해당 결제가 진행된 적이 없다는 확인을 받았다. 며칠 뒤 D씨는 늦은 저녁 인증번호를 입력하라는 국내 결제대행사의 문자 메시지를 받았다. 아무런 인증신청을 한 적이 없는 D씨는 깜짝 놀라 송신 번호로 전화를 걸었다. 하지만 전화에서는 사금융 대출을 안내하는 자동메시지가 돌아왔다. 이용자의 전화를 유도하기 위해 결제인증을 사칭한 문자를 보낸 것.
진화하는 피싱, 피해방지책은?
보안업계에 따르면 국내에서 통용되는 피싱기법만도 500여 종을 훌쩍 넘어섰고, 시간이 지날수록 더욱 정교한 기법이 새롭게 탄생한다. 피싱에 대해 인지하고 있는 이용자라해도 자칫 잘 설계된 기법에 현혹될 수 있다.
우선 문자 메시지에 첨부된 URL 확인이 필수적이다. 피싱 메시지들은 관련 브랜드와 비슷한 별도의 URL을 이용하거나 단축URL을 이용한다. 일단 해당 브랜드의 실제 URL과 문자 상의 URL을 대조하는 것이 피해를 줄일 수 있다. 아울러 단축 URL은 접속 자체를 자제해야 한다.
또한 안랩 등 모바일 백신 설치 및 꾸준한 업데이트도 진행해야 한다. 의심되는 URL을 자동으로 차단해주는 모바일 보안앱 '스미싱가드'와 같은 무료 서비스도 피해를 줄일 수 있다.
또한 URL 클릭 이후 이상한 프로그램을 다운로드 받았다고 생각되면 신속히 이를 삭제하는 것만으로도 피해를 막을 수 있다. URL 클릭만으로 곧바로 소액결제가 이뤄지는 것이 아니라 악성 앱 다운로드가 먼저 이뤄지기 때문이다.
해당 주소에 접속을 했거나 소액결제가 진행됐다면 통신사 고객센터를 통해 피해를 구제할 수 있다. 해당 피싱이 국내에서 발생했다면 이미 결제된 금액도 환불받을 가능성이 높다. 다만 해외 법인 결제의 경우 환불이 쉽지 않다.
아울러 일각에서 일고 있는 전화 발신만으로 소액결제가 진행된다는 소문은 사실과 다르다. 전화통화만으로 결제를 진행하기 위해서는 통신사 및 결제대행사와의 계약이 이뤄져야 하는데 공격자들은 이같은 진행을 할 수가 없다. 일부 인터넷에서의 소문과는 달리 경찰청에서는 전화만으로 소액결제가 이뤄지지 않으며 피해사례도 없다고 확인했다.
머니투데이 이하늘기자 iskra@
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
"고객님 많이 당황하셨어요?" 최근 한 개그프로그램에서 유행하는 보이스피싱을 풍자한 유행어다. 이 프로그램은 특유의 어눌한 억양의 어설픈 주인공이 다양한 방법으로 보이스피싱을 시도하지만 번번이 실패하는 모습을 보여준다.
하지만 이는 개그프로그램에서의 모습일 뿐 현실은 그렇지 않다. 올해만 해도 다양한 신종 피싱기법이 등장했다. 대상을 명확히 구분해 해당 당사자에 부합하는 맞춤형 피싱기법인 스피어(작살) 피싱이 등장했다. 이 밖에 사회공학적인 피싱기법이 수없이 등장해 피싱에 대해 잘 알고 있으면서도 당하는 사례가 점차 늘고 있다.
사례 1) 쿠폰 당첨
지난해 연말 국내 한 유명 프랜차이즈 명의로 케이크 상품권을 교환받으라는 문자가 등장했다. 크리스마스 시즌을 맞아 지인의 선물 등을 오인한 일부 이용자들은 문자에 첨부된 인터넷주소(URL)을 클릭했다. 하지만 이들은 접속만으로 최대 30만원의 소액결제로 인해 피해를 입었다. 이 같은 기법은 다른 브랜드를 사칭한 피싱으로 번졌다. 한동안 뜸했던 이 같은 방식은 연말을 맞아 다시 기승을 부리고 있다.
사례 2) "결제가 완료됐습니다"
지난달 A씨는 한 동영상 서비스 기업으로부터 무제한 콘텐츠 이용 대금 1만9800원이 결제가 완료됐다는 문자메시지를 받았다. 해당 서비스를 이용한 적이 없는 A씨는 URL로 들어갔지만 이렇다 할 내용을 확인하지 못했다. 하지만 다음달 A시의 통신요금에서는 자신도 알지 못하는 소액결제 금액 10만원이 포함돼있었다.
사례 3)모바일 청첩장·돌잔치 초대장
B씨는 모르는 번호로 모바일 청첩장을 받았다. 친근하게 '형'이라는 호칭을 사용한 메시지에 B씨는 혹시 전화번호부에 미처 저장하지 않은 지인의 문자인 줄로 오인, 당사자의 얼굴을 확인하기 위해 첨부된 URL로 접속했다. 이후 인터넷창으로 이동 다운로드가 진행됐지만 청첩장 내용은 확인할 수 없었다. 해당 프로그램은 소액결제를 유도하는 악성코드로 이를 방치한 결과 B씨도 모르는 사이 매달 일정금액의 소액결제를 진행했다. 돌잔치 초대장 역시 이와 같은 방식의 피싱기법이다.
사례 4)인터넷뱅킹 정보 유출
C씨는 올해 초 국내 시중은행으로부터 인터넷뱅킹 정보가 유출됐으니 PC지청 신청을 해야 한다는 문자와 함께 URL 주소를 받았다. 해당 주소는 해당 은행의 이니셜과 비슷했다. 의구심이 든 C씨는 접속하기 이전에 인터넷 포털을 통해 관련 URL을 검색했다. 그 결과 해당 문자는 금융권을 사칭한 신종피싱 앱이라는 정보를 알게 됐다. 만일 이를 확인하지 않았으면 C씨는 자신도 모르는채 피싱사기를 당할 뻔 했다.
사례 5)카드결제 완료·인증번호 입력
D씨 역시 국내 유명 인터넷 쇼핑몰로부터 카드결제와 완료됐다는 문자 메시지와 함께 URL 주소를 받았다. 자신도 모르는 새 결제가 진행됐다는 사실에 깜짝 놀란 D씨는 해당 URL을 클릭하려 했지만 최근 피싱기법의 진화를 알고 있기에 해당 쇼핑몰의 대표번호로 전화를 걸었다. 그리고 해당 결제가 진행된 적이 없다는 확인을 받았다. 며칠 뒤 D씨는 늦은 저녁 인증번호를 입력하라는 국내 결제대행사의 문자 메시지를 받았다. 아무런 인증신청을 한 적이 없는 D씨는 깜짝 놀라 송신 번호로 전화를 걸었다. 하지만 전화에서는 사금융 대출을 안내하는 자동메시지가 돌아왔다. 이용자의 전화를 유도하기 위해 결제인증을 사칭한 문자를 보낸 것.
진화하는 피싱, 피해방지책은?
보안업계에 따르면 국내에서 통용되는 피싱기법만도 500여 종을 훌쩍 넘어섰고, 시간이 지날수록 더욱 정교한 기법이 새롭게 탄생한다. 피싱에 대해 인지하고 있는 이용자라해도 자칫 잘 설계된 기법에 현혹될 수 있다.
우선 문자 메시지에 첨부된 URL 확인이 필수적이다. 피싱 메시지들은 관련 브랜드와 비슷한 별도의 URL을 이용하거나 단축URL을 이용한다. 일단 해당 브랜드의 실제 URL과 문자 상의 URL을 대조하는 것이 피해를 줄일 수 있다. 아울러 단축 URL은 접속 자체를 자제해야 한다.
또한 안랩 등 모바일 백신 설치 및 꾸준한 업데이트도 진행해야 한다. 의심되는 URL을 자동으로 차단해주는 모바일 보안앱 '스미싱가드'와 같은 무료 서비스도 피해를 줄일 수 있다.
또한 URL 클릭 이후 이상한 프로그램을 다운로드 받았다고 생각되면 신속히 이를 삭제하는 것만으로도 피해를 막을 수 있다. URL 클릭만으로 곧바로 소액결제가 이뤄지는 것이 아니라 악성 앱 다운로드가 먼저 이뤄지기 때문이다.
해당 주소에 접속을 했거나 소액결제가 진행됐다면 통신사 고객센터를 통해 피해를 구제할 수 있다. 해당 피싱이 국내에서 발생했다면 이미 결제된 금액도 환불받을 가능성이 높다. 다만 해외 법인 결제의 경우 환불이 쉽지 않다.
아울러 일각에서 일고 있는 전화 발신만으로 소액결제가 진행된다는 소문은 사실과 다르다. 전화통화만으로 결제를 진행하기 위해서는 통신사 및 결제대행사와의 계약이 이뤄져야 하는데 공격자들은 이같은 진행을 할 수가 없다. 일부 인터넷에서의 소문과는 달리 경찰청에서는 전화만으로 소액결제가 이뤄지지 않으며 피해사례도 없다고 확인했다.
머니투데이 이하늘기자 iskra@
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
머니투데이 실시간 주요뉴스
해당 언론사로 연결됩니다.- '응사' 윤진이, 바로 흑장미로 깜짝 출연..'볼뽀뽀' 2013-12-14 11:08
- 北 "장성택 이 땅에 묻힐자리 없다" 화염방사기로… 2013-12-14 09:16
- 종영 앞둔 '오로라 공주', 14번째 희생자는? 2013-12-14 17:30
- [단독]경찰·유족 "故김지훈, 부검 안하기로 최종 결정" 2013-12-14 11:20
- '안녕들하십니까' 고려대 대자보, 전국 대학가로… 2013-12-14 13:00