"이 친구가 웬일?" 지인 사칭 ‘피싱’, 무심코 열었다간…

송고 2017.01.23 00:01 | 수정 2017.01.20 17:41
김언한 기자 (unhankim@ebn.co.kr)

인간관계 신뢰 악용한 ‘사회공학적 수법’ 기승

온라인 메신저 아이디 도용해 접근한 뒤 목돈 입금 요구

ⓒ유튜브 캡쳐

사람의 심리를 악용한 피싱(Phising) 공격이 활개를 치고 있다. 공격자는 ‘지인’이란 가면을 쓰고 접근해 개인정보나 현금을 가로챈다. 무심코 믿고 파일을 열거나 돈을 입금했다간 낭패를 본다.

19일 관련업계에 따르면, 지인으로 위장하거나 대상자와의 연관관계를 사전 탐색한 뒤 공격을 진행하는 '사회공학적 수법'이 기승을 부리고 있다.

지인을 사칭한 공격 앞에서는 보안 솔루션도 무용지물이다. PC나 네트워크 시스템의 취약점을 뚫는 공격이 아닌 만큼 사용자들의 각별한 주의가 필요하다.

최근에 발견된 수법은 페이스북이나 블로그 등 SNS(소셜네트워크서비스) 상의 사진을 '미끼'로 삼는다. '초상권 침해'를 내세운 피싱 공격이다.

이스트시큐리티 시큐리티대응센터에 따르면, 유명 블로그 운영자들을 대상으로 한 대대적인 피싱 공격이 기승을 부리고 있다. 블로거가 작성한 포스팅에 자신의 가족 얼굴이 동의 없이 나왔다며 조치를 요구하는 내용이다.

공격자는 자신의 가족 얼굴을 모자이크해 줄 것을 부탁한다. 자신의 가족이 누군지 파악할 수 있도록 표시해놨다며 첨부파일을 건네준다. 확인 후 답이 없으면 경찰에 신고하겠다며 클릭 확률을 높인다.

'사진'이란 이름으로 위장하고 있는 파일은 '키로깅(Keylogging)' 기능이 포함된 악성코드다. 공격자는 피해자 PC에서 입력되는 모든 내용을 몰래 가로챈다. 탈취한 블로거의 계정 정보를 이용해 악성코드를 대량 유포할 수 있는 포스팅을 게재할 수도 있다.

김준섭 이스트시큐리티 부사장은 "블로거들이 포스팅을 작성할 때 본의 아니게 주변 사람들이 함께 찍힌 사진을 게재해 이에 대해 수정 요청을 받는 경우가 많다는 점을 악용한 공격"이라며 "올해도 여러 가지 국내외 이슈를 활용하거나 주변 지인을 사칭하는 사회공학적 기법의 피싱 공격이 지속될 것으로 예상된다"고 말했다.

온라인 메신저 아이디를 도용해 지인을 사칭, 금전을 요구하는 사기도 끊이질 않는다. 평소 사용하지 않는 말투를 사용하거나 아랫사람 역할을 하던 지인이 갑자기 반말을 하는 등 수상한 기미가 보이면 대화를 중단해야한다.

최근 온라인 메신저에서 피싱 사기 시도를 경험한 한 사용자는 "한 달 전 출산휴가를 간 직장 상사가 대화를 걸어 안부를 물었는데 답변이 어색했다"며 "처음에는 의심하지 않았지만 잠시 뒤 목돈 입금을 요구해 수상한 낌새를 눈치 챘다"고 말했다.

국내 유명 검색포털사이트에 올라온 온라인 메신저상의 피싱 사기 대화 내용.ⓒ

사회공학적 기법을 통해 대규모 피해를 발생시킨 대표적인 사례는 지난 5월 발생한 인터파크 해킹 사건이다.

동생으로 가장한 해커로부터 메일을 받은 인터파크의 직원은 '우리가족'이라는 첨부파일을 다운로드 해 실행하자 가족사진이 모니터에 팝업됐다. 동시에 악성코드 감염이 이뤄졌다.

해커는 이를 통로로 삼아 인터파크 고객 데이터베이스(DB) 서버 접근 권한이 있는 다른 직원의 PC를 2차 해킹했다. 이는 회원들의 대규모 개인정보 피해로 이어졌다. 인터파크는 이로 인해 방송통신위원회로부터 44억8000만원에 달하는 과징금 철퇴를 맞았다.

보안업계 관계자는 "최근 많은 해커들이 개인의 취약점을 이용해 보안 절차를 피해가는 수법을 사용하고 있다"며 "이메일을 확인할 때는 발신 이메일 주소가 정확한지를 항상 확인하고 주소에 유사한 문자가 중복돼 있는지 주의를 기울여야 한다"고 조언했다.

USD$	1379.0	▼1
EUR€	1470.8	▲1.8
JPY¥	892.5	▼0.1
CNY¥	190.3	▼0.1

"이 친구가 웬일?" 지인 사칭 ‘피싱’, 무심코 열었다간…

관련기사

전체 댓글 0

매매기준율