교묘해진 '피싱'에 개인정보 술술 샌다
한국인터넷진흥원은 최근 황당한 ‘가짜 폰키퍼 소동’을 겪었다. 지난달 10일 스마트폰 보안점검 애플리케이션(앱·응용프로그램)인 ‘폰키퍼’의 보안기능을 강화하고 디자인을 개선해 구글 플레이스토어에 올려놓은 다음날 바로 ‘폰키퍼 피싱’ 문자가 유포된 것. 문자의 링크를 클릭하면 ‘가짜 폰키퍼’가 다운로드돼 개인정보를 빼내는 악성 앱이었다.

원순재 인터넷진흥원 홍보실 책임연구원은 “피싱 사기꾼이 업그레이드된 폰키퍼 디자인을 하루 만에 복제해 유포했다”며 “인터넷진흥원의 대표 전화번호까지 사용하는 치밀함을 보였다”고 혀를 내둘렀다.

○금융권 사칭 피싱 많아

기업이나 기관을 사칭해 개인정보를 빼낸 뒤 사기에 이용하는 ‘피싱’이 기승을 부리고 있다. 인터넷진흥원이 차단한 피싱사이트 수는 2011년 1849건이었으나 지난해는 11월까지 6667건에 달했다. 3배 이상으로 증가한 것이다.

피싱사이트 차단 건수는 2011년 1월 3건, 2월 2건 등 한 자릿수에 머물다가 그해 8월부터 매달 세 자릿수를 기록하며 폭발적으로 늘었다.

지난해 11월까지 차단된 피싱사이트는 은행 등 금융권 사칭이 4050건으로 가장 많았다. 다음으로 검·경찰 사칭이 1555건이었고 금감원·금결원(917건), 한국인터넷진흥원(91건) 순이었다.

○‘가짜 앱’ 피싱도 늘어

금융권은 자사 홈페이지 전면에 피싱사이트 경고 공지를 올리는 등 피해 예방에 나섰다. 우리은행은 홈페이지에 팝업창을 띄워 “피싱 사이트에서 ‘보안강화 서비스 신청하기’를 클릭하지 말라”고 경고했다. 이 피싱 사이트는 우리은행 홈페이지와 똑같이 생겼고 보안강화 서비스 신청 버튼을 누르면 인터넷 뱅킹에 쓰이는 보안카드 번호와 비밀번호를 모두 입력하라는 화면이 뜬다.

문자를 보내 악성코드를 심은 가짜 앱을 내려받게 하는 ‘스미싱’ 등 신종 피싱 수법도 빈번히 발생하고 있다. 지난해 10월에는 방송통신위원회를 사칭해 스팸문자 차단 앱을 내려받으라고 권하는 문자가 유포되기도 했다. 지난달에는 “과다 청구된 통신요금을 환급해준다”며 가짜 환급금 조회 링크를 첨부한 문자가 널리 퍼졌다.

○잇따르는 금전 피해

피싱사이트 금전 피해도 잇따르고 있다. 최근 파리바게뜨를 사칭해 ‘무료 쿠폰을 받아가라’는 링크가 포함된 휴대폰 소액결제 악성 문자를 클릭하면 휴대폰 소액결제 한도인 30만원 내에서 무작위로 돈을 빼가는 사기가 발생했다. 경찰청 사이버테러대응센터에 따르면 지난달 14건의 피해사례가 접수됐으며 피해액은 313만3300원에 달한다. 피해가 잇따르자 파리바게뜨는 지난해 12월23일 홈페이지에 공지를 올리는 등 대책 마련에 나섰다.

윤광택 시만텍 이사는 “한국은 인터넷 서비스가 발달해 있고 모바일 기기 보급률이 높아 각종 피싱 피해가 내년에도 속출할 것으로 보인다”며 “특히 앱을 이용한 피싱은 예전에 외국 사례만 있었는데 최근 한국어로 만들어진 악성 앱들이 속속 나타나고 있다”고 강조했다.

안랩 관계자는 “출처를 알 수 없는 링크를 클릭해 홈페이지에 접속하거나 앱을 내려받아서는 안 된다”며 “평소에 이 같은 내용을 알고 있더라도 사용자 심리를 노리는 수법을 이용하기 때문에 속기 쉽다”고 경고했다.

전길수 인터넷진흥원 종합상황대응팀장은 “웹사이트 피싱은 홈페이지 주소까지 똑같이 보이는 ‘파밍’이 많아 피해를 당한 줄도 모르는 사람들이 많다”고 말했다.

김보영 기자 wing@hankyung.com

■ 피싱

phishing. ‘개인정보(private data)를 낚는다(fishing)’는 의미의 합성어. 발신자의 신원을 속인 메일이나 문자메시지, 전화 등을 이용해 금융정보 등 민감한 개인정보를 탈취하는 사기 수법을 말한다.