디지털 시대가 발전하면서 피싱(Phishing) 수법도 더욱 정교하고 다양한 형태로 변하고 있습니다. 이제 단순한 이메일 사기에서 벗어나, 개인 정보와 금융 정보를 노리는 새로운 수법들이 등장하고 있습니다. 특히, 사기꾼들은 최신 기술을 활용해 개인을 속이거나 기업의 보안 체계를 뚫는 방법을 고안해 내고 있어, 이에 대한 경계가 필요합니다. 이번 글에서는 새로운 피싱 수법과 그에 대한 대처 방법을 알아보겠습니다.
1. 스미싱(Smishing): 문자 메시지를 통한 피싱
**스미싱(SMS 피싱)**은 문자 메시지를 통해 사기 행각을 벌이는 수법입니다. 최근에는 택배 배송, 은행 안내, 정부 지원금 안내 등을 가장한 메시지가 자주 등장합니다. 특히, 이러한 메시지에는 악성 링크가 포함되어 있어 사용자가 링크를 클릭하면 개인정보나 금융 정보가 유출될 위험이 있습니다.
- 대표적인 사례: "고객님의 택배가 배송 중입니다. 배송 조회를 위해 아래 링크를 클릭하세요."라는 메시지가 자주 사용됩니다. 이 링크를 클릭하면 가짜 웹사이트로 이동해 개인 정보를 입력하게 유도합니다.
- 대처 방법: 스미싱 메시지를 받으면 절대로 링크를 클릭하지 않고, 택배사나 은행의 공식 앱이나 웹사이트에서 직접 정보를 확인하는 것이 안전합니다. 또한, 문자 메시지 차단 앱을 사용해 의심스러운 메시지를 자동으로 차단하는 것도 효과적입니다.
2. 피싱 웹사이트를 이용한 가짜 로그인 페이지
가짜 로그인 페이지를 만드는 것도 흔한 피싱 수법입니다. 피싱범은 진짜 웹사이트와 거의 똑같이 보이는 가짜 웹사이트를 제작해, 사용자가 로그인 정보를 입력하도록 유도합니다. 이 과정에서 개인의 아이디와 비밀번호가 유출되며, 사기꾼은 해당 정보를 통해 피해자의 계정을 탈취할 수 있습니다.
- 대표적인 사례: 주로 금융 기관이나 온라인 쇼핑몰, 소셜 미디어 계정 로그인 페이지를 복제하여 피해자에게 이메일이나 메시지로 가짜 로그인 페이지로 연결되는 링크를 전송합니다.
- 대처 방법: 항상 URL을 확인하고, 의심스러운 이메일이나 링크는 클릭하지 않도록 주의해야 합니다. 공식 사이트는 https로 시작하는 보안 프로토콜을 사용하며, 실제 웹사이트와 다른 주소를 사용하는 경우 가짜일 가능성이 높습니다.
3. 스피어 피싱(Spear Phishing): 맞춤형 공격
**스피어 피싱(Spear Phishing)**은 특정 개인이나 조직을 대상으로 하는 맞춤형 피싱 공격입니다. 일반적인 피싱과 달리, 스피어 피싱은 사기범이 먼저 목표의 개인 정보를 수집한 후 이를 바탕으로 개인 맞춤형 메시지를 보내 더욱 신뢰를 얻으려 합니다. 이 수법은 주로 회사 내부 네트워크에 접근하거나, 고위 임원의 개인정보를 탈취하는 데 사용됩니다.
- 대표적인 사례: 회사 대표나 임원의 이름을 도용해, 직원들에게 급하게 송금을 요청하거나, 회계 부서에 사적인 이메일 주소로 결제 정보를 요구하는 이메일이 발송됩니다.
- 대처 방법: 의심스러운 이메일이 오면 항상 발신자 이메일 주소와 내용을 확인하고, 본인에게 해당 이메일을 보낸 사실이 있는지 직접 전화나 다른 방법으로 재확인하는 것이 안전합니다. 또한, 회사 차원에서 피싱 교육을 주기적으로 실시해, 직원들이 스피어 피싱에 대응할 수 있도록 해야 합니다.
4. 피싱을 악용한 음성 피싱(VoIP 피싱)
보이스피싱의 한 형태로, 사기범이 VoIP(Voice over Internet Protocol) 기술을 사용해 전화를 통해 개인 정보를 탈취하는 방법입니다. 최근에는 단순한 음성 통화뿐 아니라, AI 음성 합성 기술을 이용해 실제 사람의 목소리를 흉내 내는 방식까지 발전했습니다. 특히, 가족이나 지인의 목소리를 흉내 내는 경우 피해자가 속아넘어가기 쉽습니다.
- 대표적인 사례: 금융 기관이나 공공기관을 사칭해 전화를 걸어, 피해자의 계좌 번호나 금융 정보를 요구하는 경우가 많습니다. 최근에는 음성을 합성해, 가족의 목소리로 돈을 요구하는 사례도 발생하고 있습니다.
- 대처 방법: 공공기관이나 은행에서는 직접 전화를 걸어 개인정보를 요구하지 않으므로, 전화로 개인 정보를 요청할 경우 반드시 먼저 전화를 끊고 공식 번호로 다시 연락하여 확인해야 합니다. 또한, 가족이나 지인으로부터 의심스러운 금전 요구를 받을 경우, 다른 방법으로 본인에게 연락해 사실 여부를 확인하는 것이 좋습니다.
5. 소셜 엔지니어링(Social Engineering): 인간 심리를 악용한 피싱
소셜 엔지니어링은 피싱 범죄자가 인간의 심리를 악용해 정보를 탈취하는 방식입니다. 예를 들어, 긴급하거나 중요한 상황을 가장하여 스트레스 상황을 만들어, 피해자가 순간적으로 판단을 흐리게 만드는 방법을 사용합니다. 또한, 피해자가 상식적으로 의심하지 않도록 신뢰감을 주는 방식으로 피싱을 시도합니다.
- 대표적인 사례: "지금 당장 계좌 정보를 확인하지 않으면 계정이 잠깁니다."와 같은 긴박한 상황을 연출하여 사용자를 속입니다. 이러한 경우, 사용자는 즉각적인 행동을 취하게 되어 피싱 사기에 당할 가능성이 높습니다.
- 대처 방법: 긴박한 상황을 연출하는 메시지나 이메일을 받으면 우선 침착하게 생각하고, 상황을 분석하는 것이 중요합니다. 문제가 있을 경우, 공식적인 경로로 직접 확인해보는 것이 안전합니다.
피싱 수법은 날로 교묘해지고 있으며, 이에 대처하기 위한 개인의 경각심이 그 어느 때보다 필요합니다. 스미싱, 스피어 피싱, 보이스피싱, 소셜 엔지니어링과 같은 새로운 수법에 대응하기 위해서는 항상 출처가 불분명한 메시지나 링크를 의심하고, 정확한 확인 절차를 거쳐야 합니다. 더불어, 주기적인 보안 교육과 최신 보안 프로그램을 활용하는 것도 중요합니다.