국내뿐만 아니라 세계 곳곳에서 피싱 피해가 계속 발생하고 있다. 최근에는 신종 피싱이 세계적인 금융 중심지인 영국을 휩쓸고 있다. 이른바 '신용 피싱'으로 개인정보를 탈취해 금융자산을 탈취하거나 차량을 구입하는 등의 행위를 하는 것이다.
신용 피싱은 영국 국민의 1/4이 피싱 메일을 수신한 경험이 있고, 이 중 1/3이 피해를 당한 것으로 영국 금융당국과 경찰이 특별수사팀까지 만들어 수사에 힘을 쏟을 정도로 현지에서는 대단한 이슈이다. 더욱이, 전화 통화를 한 사람이 중동계 사람이라 추측되고, 영국이 주요 해적국과 테러국의 브로커, 전세계 금융 자산이 모여있다는 점에서 한 건의 피해와 파급력은 무시할 수 없는 상황이다. 어떤 수법을 쓰는지 직접 확인하고자 피싱 범죄자와 직접 메일, 전화를 주고받았다.
1단계 - 무작위 메일 발송
지금껏 발생한 메일 피싱은 메일에 악성코드가 포함되었거나 금융사 웹사이트로 위장해 개인정보를 입력하도록 유도했다. 따라서 V3 같은 백신 프로그램의 실시간 감시로 막을 수 있었다. 또한, 다양한 이메일 호스팅 회사의 자체 필터링으로 스팸메일로 분류되어 고객이 메일을 읽는 것조차 쉽지 않았다.
하지만, 이번 신용 피싱의 경우 패턴이 일정하지 않고 동일한 내용의 메일이 두 번 다시 오지 않는다. 2개월 간 살펴본 결과, 매번 발송되는 메일의 내용은 변경되고 발송 주기도 규칙적이지 않았다. 그렇기 때문에 패턴을 통해 예방을 하는 보안 소프트웨어에 걸리지 않았다.
(요약) 사업 제안을 하겠다. 나는 Eddie Shileds이고, 런던의 금융 회사 책임자이다. $4.500만 달러에 해당하는 보험 예수금이 한국 국적의 김우철이라는 사람 앞으로 있는데, 그는 교통사고로 10년 전 사망했다. 아무리 친인척을 찾아도 찾을 수 없었다. 영국 금융법 상 10년이 넘어가는 보험금은 정부로 귀속되는데, 함께 보험금을 찾아 50%씩 나눠 갖자. 돈은 아무 문제 없이 당신에게 전달될 것이다. 이 거래는 100% 비밀로 해야 하며, 관심이 있으면 아래의 메일 주소로 연락 바란다.
2단계 - 가짜 신분증으로 믿음을 낚시질
기자가 답신을 보냈다. 좀더 자세한 이야기를 듣고 싶고, 무엇보다 내 연락처를 어떻게 알았는지 궁금하다고 썼다. 그러자 다음과 같은 답이 왔다.
인터넷에서 당신의 주소를 찾았고 내 영혼의 방향에 따라 특별히 당신을 선택했다. (말도 안 되는 답변이 무성하다.)
런던에 있는 금융 회사의 회계 감사 책임자로서 고객들의 계좌를 감독 관리하고 있다. 금융 업계에서 20년 여의 경험을 쌓았으며 현재 52살이다.
그 밖에 돈의 성격, 사고 경위, 앞으로 일 처리에 대한 세세한 일정도 메일에 적었다. '거래의 성격상 신뢰가 중요하다'고 강조하며 자신의 여권과 신분증을 스캔해서 보내기도 했다.
3단계 - 영국 계좌 만들라고 요구
1번의 메일에서 Eddie(로 가장한 범죄자)는 보험금을 수령한 뒤 그것을 서로 나누자고 제안해 왔다. 그는 보험금 수령을 위해 메일을 주고받던 중, 한국의 계좌로 바로 받으면 영국 금융당국에서 감시를 받을 수 있고 무엇보다 세금에 대한 우려가 있으니 영국 계좌를 만들어야 한다는 새로운 제안을 했다. 바로 이 대목이! 이 계좌를 만들기 위해 상대방의 여권과 신분증 사본, 그리고 각종 개인 정보를 요구한다.
기자는 이름과 전화번호는 실제 정보를 건네고 나머지는 허위 정보를 보내주었다. 그 결과 전화가 왔다. 그 전화번호는 추적이 불가능한 인터넷 전화로서 국가번호 44번(영국)을 사용하는 번호였다. (44)7759120060을 사용하고, 검색 엔진으로 검색하면 아무것도 안 나온다. 최신 전화번호를 사용해 피싱임을 눈치 못 채게 하는 매우 치밀한 수법이다.
이후, 더 이상의 메일이나 전화 통화는 없었다. 재미있었던 점은, 전화가 국가번호 44번인 영국에서 전화를 했다가 어느 국가 번호인지 알 수 없는 번호로 발신되기도 한다는 점이다. 그리고, 영국이나 미국의 영어가 아닌 알자지라 방송의 중동 사람 인터뷰 장면에서 들었던 발음이라는 것.
내 개인정보가 국제 범죄에 악용될 수도
이제는 자신도 모르게 해외에 있는 자산에 변동 사항이 생기거나, 본인 이름의 대포통장이 해적이나 테러범의 손에 들어가 이용당하는 것을 걱정해야 하는 시대이다.
이런 피해를 당하면 어떻게 해야 할까? 경찰청에 문의하니, 경제적인 피해가 발생하지 않으면 사이버수사대나 언터폴이 수사에 나서기는 어려우므로 주기적으로 신용정보가 변경되었는지 점검하라고 권고했다. 그리고 외교통상부는 '특별한 주의'밖에 없다며, 유출된 여권을 재발급해 피해를 최소화하는 수밖에 없다고 답했다. 개인정보가 국외로 유출되면 뾰족한 대책이 없으니 예방이 최선이다.
<신용 피싱 예방법>
1. Dear로 시작되지 않고 From으로 시작되는 불특정 다수를 향한 메일은 No!
2. 상식을 언제나 생각하고, 검색 엔진을 활용해 동일 사례를 검색해볼 것.
3. 안티 피싱 커뮤니티 등에서 정보를 얻을 것.
4. 보안 장치가 없는 상태에서는 개인정보를 함부로 노출하지 말 것.
5. 국제전화는 추적이 불가능한 인터넷 전화가 있음을 염두에 두고 유의할 것.
1. Dear로 시작되지 않고 From으로 시작되는 불특정 다수를 향한 메일은 No!
2. 상식을 언제나 생각하고, 검색 엔진을 활용해 동일 사례를 검색해볼 것.
3. 안티 피싱 커뮤니티 등에서 정보를 얻을 것.
4. 보안 장치가 없는 상태에서는 개인정보를 함부로 노출하지 말 것.
5. 국제전화는 추적이 불가능한 인터넷 전화가 있음을 염두에 두고 유의할 것.
SCAM, Phishing과 같은 키워드로 검색 엔진에서 검색만 해도 여러 사례를 볼 수 있다. 그 기법이 점점 지능화하는 피싱은 인터넷이 공간에서 막대한 피해를 발생시킨다. 지능적인 사이버 범죄의 피해자가 되지 않도록. Ahn
'보안라이프 > 이슈&이슈' 카테고리의 다른 글
내 정보 지키는 첫 걸음, 개인정보보호법 바로 알기 (2) | 2011.09.20 |
---|---|
개인정보보호법 시행되면 내 정보 안전할까 (0) | 2011.09.14 |
보안전문가가 진단한 최신 해킹 패러다임 (4) | 2011.07.04 |
막힘없고 안전한 사이버 도로를 달리려면 (5) | 2011.06.24 |
하일권 웹툰, 좀비PC 된 내 PC를 구해줘 (4) (2) | 2011.04.27 |