국내 특정 은행 홈페이지와 유사한 주소에 닮은 꼴 홈페이지를 만들어 해킹 프로그램을 설치한 뒤 개인 정보를 빼가는 ‘피싱 사이트’가 국내에 처음 등장해 5일 금융감독원이 주의보를 내렸다.
개인정보(Private data)와 낚시(fishing)의 합성어인 피싱(Phishing)은 ‘개인정보를 낚아 올린다’는 뜻을 가진 디지털 신종 사기 수법을 뜻한다.
이들은 주로 ‘당신의 은행계좌가 외부에 노출됐다’, ‘메일경고를 무시할 경우 계좌가 잠정적으로 정지된다’ 등과 같이 긴급 상황임을 강조하고 메일 안에 링크된 홈페이지로 접속하도록 유도한 뒤 개인정보를 빼내는 수법을 쓴다.
또 ‘업그레이드 된 인터넷 뱅킹 사용’, ‘계좌 잔액증가, 거래내역 변경’, ‘사이버 머니를 드립니다’등의 문구를 앞세워 사용자를 유인하는 사례도 있다.
이번 사태의 경우 아직까지 예금인출, 결재, 위조 등 구체적인 피해자가 나오지 않고 있다. 하지만 전문가들은 일단 이런 사이트가 생긴 만큼 앞으로 얼마든지 유사한 사이트들이 나올 우려가 있다고 경고했다.
‘가트너 보고서’에 따르면 지난해 미국에서 피싱과 같은 인터넷 범죄로 인한 피해액이 무려 24억 달러에 달했으며, 이는 피해자 한 명당 평균 1200달러의 손해를 입은 것이라고 밝혔다.
대표적 경매 사이트인 이베이를 비롯해 씨티은행 BOA, 전자결제회사 페이팔, UPS 등 대기업 웹 사이트들이 피싱 대상이 됐다.
아무것도 모르는 이베이 고객 수백 명은 ‘보안위험으로 계정이 일시 차단됐으니 재등록해야 한다, 첨부된 링크를 클릭해 이베이 웹사이트로 가서 바로 재등록하라’는 이메일에 속아 ‘사기 사이트’에 접속했다.
웹사이트는 내부까지 감쪽같이 위조됐기 때문에 고객들은 의심 없이 신용카드 번호, 사회보장번호, 개인 인증번호 등을 기입했다.
일본에서는 최근 한 회사원이 야후를 모방한 야푸(YAFOO!) 사이트를 개설해 사용자들의 개인 정보를 훔친 사건이 발생했다. 일본 경찰에 따르면 한달에 약 70명이 모조 사이트에 접속했고 이중 50여명 가량이 로그인을 한 것으로 밝혀졌다.
금감원 김인석 IT감독팀장은 “이메일 또는 온라인 게시판에 링크된 금융회사 사이트는 이용하지 말라”며 “발송자의 신원이 불확실한 이메일은 다시 한번 확인해야 한다”고 말했다.
그는 “정상적인 금융회사 홈페이지는 암호프로그램 설치, 바이러스 검색 등을 한 후에 거래 화면이 나타난다”며 “대부분의 해킹 프로그램은 보안프로그램에 의해 탐지되므로 최신 백신프로그램을 설치하고 주기적으로 업데이트를 하라”고 강조했다.
금융회사를 가장한 메일이나 홈페이지에서 주민등록번호, 계좌번호, 비밀번호, 신용카드번호 등의 입력을 요구하는 경우 해당 금융회사 또는 한국정보보호진흥원 인터넷 침해사고대응센터(02-118)에 신고하면 된다.
최현정 동아닷컴 기자 phoebe@donga.com
댓글 0