'그놈 목소리'에 3년간 1조 빠져나갔다

김남영 기자

최한종 기자

최다은 기자

김종우 기자

입력2020.10.11 17:32 수정2020.10.12 09:07 지면A1

문자 피싱 1~8월 70만건 탐지
기업 겨냥한 랜섬웨어도 기승

신종 코로나바이러스 감염증(코로나19) 사태 이후 사업이 크게 어려워진 50대 여성 김모씨. 대출을 알아보다 ‘소상공인 대출 금리 인하’라는 문자를 받고 연락처로 전화를 걸었다. 자신을 은행원이라고 밝힌 한 남성이 “더 싼 이자로 대출해주는 상품을 소개해주겠다”며 카드론을 신청해 기존 대출을 갚으라고 권했다. 김씨는 두 차례 카드론을 받아 5000만원을 남성에게 입금했다. 남성은 이 돈을 받은 뒤 자취를 감췄다. 스미싱(문자 피싱)에 당한 것이다.

코로나19 확산을 틈타 보이스피싱과 스미싱 사기 범죄가 급증하고 있다. 11일 한국경제신문이 한국인터넷진흥원(KISA)을 통해 확인한 결과 올 1~8월 스미싱 탐지 건수는 70만783건으로 나타났다. 코로나19가 퍼지기 전인 지난해 탐지 건수(36만4586건)의 두 배에 달했다.

보안업체 이니텍 관계자는 “코로나19로 원격근무가 보편화하고 온라인 비대면 활동이 증가하면서 공격 거점이 늘어난 것이 원인”이라고 설명했다. 금융감독원에 따르면 2018년부터 올 6월까지 2년6개월 새 18개 시중은행 계좌에서 보이스피싱으로 빠져나간 금액은 1조원을 넘어섰다.

기업 내부 업무자료를 빼낸 뒤 이를 볼모로 잡아 돈을 요구하는 랜섬웨어도 극성을 부리고 있다. 보안업계에 따르면 올 들어 H사, D사 등 대기업뿐 아니라 K사, Y사 등 중견기업이 잇달아 랜섬웨어 공격을 당했다. 랜섬웨어 공격을 한 해커집단은 이들 기업에 10억원가량의 ‘데이터 몸값’을 요구한 것으로 알려졌다.

김남영/최한종/최다은/김종우 기자 nykim@hankyung.com

관련 뉴스

1

"모바일게임 이기면 300만원"…코로나 집콕族 노린 보이스피싱 기승

“우승상금 300만원 보내드리겠습니다.”‘사회적 거리두기’ 강화로 대부분 시간을 집에서 보내던 20대 남성 A씨는 휴대폰을 보던 중 한 광고를 접했다. 게임에서 이기면 300만원을 준다는 말에 도전해 보니 ‘우승 축하’ 메시지가 도착했다. 이어 “상금을 받으려면 우리 계좌로 보증금 10%를 먼저 보내야 한다”는 안내가 나왔다. 30만원을 보냈지만 상금이 오지 않자 A씨는 그제야 사기라는 것을 깨달았다.신종 코로나바이러스 감염증(코로나19) 확산으로 비대면 온라인 생활이 일상이 되면서 개인정보 보호 조치를 강화해야 한다는 목소리가 높아지고 있다. 금융사기 방지 플랫폼 더치트의 김화랑 대표는 “온라인 쇼핑, 게임 또는 도박 사이트 등을 통한 ‘코로나19형 피싱’이 성행하고 있다”고 11일 말했다. 가해자들은 정보기술(IT)에 미숙하고 코로나19로 인해 경제적으로 어려워진 사람들의 주머니를 주로 노리고 있다. 악성 앱 설치 후 가짜 사이트로 유도경찰청에 따르면 지난해 보이스피싱 범죄 검거 건수는 3만9278건으로 집계됐다. 2017년 1만9618건, 2018년 2만9952건으로 2년 새 두 배가량으로 증가했다. 올해는 7월 기준 2만517건으로, 이미 2017년 한 해 검거 건수를 넘어섰다. 법무부와 금융감독원에 따르면 2016년부터 올해 6월까지 국내에서 발생한 보이스피싱 피해자 수는 17만8700여 명으로 나타났다.보이스피싱 수법은 IT를 기반으로 날로 진화하고 있다. 단순히 전화로 입금을 유도하는 건 구식이 됐다. 금융회사의 앱과 비슷한 악성 앱을 설치하도록 유도하거나 화상채팅까지 동원한다. 한국인터넷진흥원(KISA)에 따르면 악성앱은 2016년 1635건에서 작년 9051건으로 다섯 배 이상 증가했다. 피해자 휴대폰과 보이스피싱 조직을 자동 연결하는 악성 앱도 있다. 경찰 관계자는 “피해자가 의심이 들어 대출회사나 경찰에 전화해도 악성 앱이 설치된 경우엔 보이스피싱 조직으로 연결되기 때문에 다른 사람의 휴대폰으로 확인해야 한다”고 설명했다.지난달엔 가짜 검사실을 차려놓고 영상통화까지 하며 거액을 가로챈 사건도 발생했다. 서울중앙지방검찰청 수사관을 사칭한 보이스피싱 일당들은 피해자 휴대폰에 법무부 공증 앱으로 꾸민 피싱 앱을 설치하도록 하고, ‘화상공증’을 한다며 검사실처럼 꾸민 장소에서 영상통화를 해 실제인 것처럼 믿게 했다. 서울동부지검은 지난달 한 사람에게만 26억원을 뜯어낸 보이스피싱 일당을 구속기소했다. 1인 피해액으론 역대 최대 금액이다. 피싱·스미싱도 코로나19 타고 활개코로나19로 비대면 거래가 늘면서 택배를 가장하거나 재난지원금 등 코로나19와 관련된 내용으로 위장한 문자 스미싱도 급증하고 있다. 택배 도착 안내를 위장한 스미싱, 소상공인 대상 재난지원금 지급을 내건 스미싱 등이다. 한국경제신문이 KISA를 통해 확인한 결과 올 1~8월 스미싱 탐지 건수는 70만 건을 넘어섰다. 지난해 발생한 36만4586건의 두 배에 달했다.신체 관련 영상물 등을 미끼로 돈을 뜯어내는 범죄인 ‘몸캠피싱’도 빈번해지고 있다. 지난 6월 대학생 최모씨는 몸캠피싱을 당한 뒤 협박범에게 200만원을 송금했다. 디지털성범죄 대응 기업 라바웨이브 관계자는 “해킹 기술이 고도화되면서 전화번호부뿐만 아니라 카메라, 실시간 녹음까지 원격제어가 가능해지고 있다”고 설명했다.보안소프트웨어 업체 이니텍 관계자는 “예전에는 기업이나 공공기관의 중앙서버를 뚫는 게 주요 목표였다면 요즘엔 보안 시스템을 갖추지 못한 개인을 공격하는 해커가 급증하고 있다”며 “여러 사람에게 박리다매식으로 돈을 뜯어내는 수법이 효율적이라고 보는 것”이라고 설명했다.보이스피싱은 수사 자체에 시간이 오래 걸리는 데다 이미 돈이 중국 등 해외로 빠져나간 경우 회수하기도 쉽지 않다. 금융감독원에 따르면 2018년부터 올 6월까지 18개 시중은행 계좌에서 보이스피싱으로 유출된 피해금액 1조289억원 가운데 70%가량인 7176억원이 회수되지 않은 것으로 나타났다.김주환 서울지방경찰청 사이버안전팀장은 “사고 발생 전에 어떻게든 막는 것이 최선”이라며 “개인 단말기나 기업 네트워크 단계에서 각자 보안 조치를 강화해야 한다”고 말했다. 한국기업 표적 '해커 공격' 전방위 확대 "당장 침투 가능한 韓기업 700곳 정보 팔아요"한국 기업을 노린 전 세계 해커들의 공격이 전방위로 확대되고 있다. 올해 한국인터넷진흥원(KISA)이 접수한 민간 기업 피해사례는 최근 10년 새 최대치를 기록했다. 2010년 53건에 그쳤던 신고 건수가 올해 9월까지만 455건으로 집계됐다. 정보보호업계 관계자는 “(기업들이) 신고를 꺼려 알려지지 않은 사례까지 합하면 해킹 피해 건수는 올해만 수천 건에 달할 것”이라고 분석했다.세계 해커들은 인터넷주소(IP) 파악이 불가능한 ‘다크웹’에서 국내 기업을 대상으로 해킹을 모의하고 있는 것으로 알려졌다. 11일 보안 소프트웨어 업체 에스투더블유랩에 따르면 ‘내부 네트워크에 침투 가능한 한국 기업 700여 개 목록’을 판매한다는 글이 다크웹에서 발견됐다. 기업·하나·국민은행 등을 언급하며 관련 데이터를 사겠다는 글도 올라와 있다. 또 다른 다크웹 사이트에서는 네이버, 한화그룹, 연세대, 서울 중구 등 국내 기업과 대학, 지방자치단체 소속 직원의 전화번호, 이메일 주소와 비밀번호가 고스란히 노출됐다.최근 해커들은 전통적 해킹 방식인 디도스(DDoS:분산서비스거부), 랜섬웨어 공격 수법을 변주하고 있다. 추석 연휴 기간인 지난 1~4일 내내 CJ, 한화, 포스코 등 대기업과 한국전력공사, 우리·하나·기업·부산은행 등이 한 해커그룹(펜시베어)으로부터 ‘랜섬 디도스’ 공격을 받았다. 일시적으로 막대한 트래픽을 일으켜 서비스를 마비시킨 뒤 추가 공격을 받기 싫으면 돈을 내라고 요구하는 방식이다.랜섬웨어 해커들도 공격 방식을 바꿨다. 기존 랜섬웨어 공격은 기업 네트워크에 침입해 데이터를 탈취, 암호화한 뒤 풀어주는 조건으로 돈을 요구했다. 최근 해커들은 탈취한 데이터를 ‘세상에 뿌리겠다’고 으름장을 놓고 있다. SK하이닉스, LG전자 등 국내 기업뿐 아니라 폭스바겐, 메리어트인터내셔널, 푸조 등 글로벌 기업도 비슷한 방식으로 피해를 봤다.해커들은 통상 데이터 몸값(랜섬)으로 10억원 전후를 요구해왔는데, 최근 들어 액수가 커지고 있다. 해커집단 넷워커는 파키스탄의 전력회사 K일렉트릭을 랜섬웨어로 공격한 뒤 대가로 385만달러(약 44억원)를 요구하기도 했다. 지난달엔 독일 뒤셀도르프대 대학병원이 랜섬웨어 공격을 받아 진료 시스템이 마비됐고, 인근 병원으로 환자를 긴급 수송하는 과정에서 사망자가 발생했다.기업 공격용 랜섬웨어 수요가 국내외에서 높아지면서 일부 해킹 조직은 ‘글로벌 기업’으로 진화했다. 메이즈, 소디노키비, 콘티, 넷워커, 라그나로커 등이 대표적이다. 이들은 개발팀, 공격팀, 데이터 관리팀, 피해 기업 대응팀 등 특화된 조직을 짰다. LG전자와 SK하이닉스를 공격했던 곳이 메이즈다. 한 보안업체 관계자는 “해커들 사이에서 한국 기업은 돈을 뜯기 쉬운 곳으로 소문나 있다”며 “정기적인 모의 훈련 등을 통해 방어 능력을 키워야 한다”고 말했다. 정부·공공기관 절반이 사이버 공격에 '무방비' 해킹시도 작년에만 12만5천건정부·공공기관을 노린 해킹도 기승을 부리고 있다. 11일 김태흠 국민의힘 의원이 국가정보자원관리원에서 제출받은 자료에 따르면 2015년 5만2795건이었던 중앙행정기관 해킹 시도는 지난해 12만4754건으로 두 배 이상으로 늘었다. 최근 5년 동안 중앙행정기관에선 34건, 지방자치단체에선 13건의 보안 사고가 일어난 것으로 전해졌다. 보안업계 관계자는 “정부·공공기관은 민간 기업에 비해 훨씬 폭넓은 국민 개인정보를 취급할 뿐만 아니라 원자력발전소 등 핵심 기간시설을 운영하고 있다”며 “중요 정보가 해킹되면 그 피해는 걷잡을 수 없이 커질 것”이라고 우려했다.보안 위협이 커지고 있지만 정부부처와 공공기관의 절반 가까이는 사이버 공격에 사실상 무방비 상태인 것으로 드러났다. 국가정보원 등이 최근 발간한 ‘2020 정보보호백서’에 따르면 정보보호 전담부서를 운영하는 정부부처 및 공공기관은 전체의 52.4%에 불과했다. 전담부서를 운영하는 경우에도 32.1%는 부서 인력 수가 2명 이하였다.보안 관련 규정을 슬그머니 완화한 사례도 포착됐다. 한국전력공사는 최근 원격검침인프라(AMI) 구축사업 공고를 내며 주요 보안 지침을 삭제했다. 민간 사업자들이 검침기가 작동할 때마다 악성코드 감염 여부를 확인하는 ‘시큐어부트’ 기능을 제품에 적용하지 않아도 사업에 참여할 수 있도록 했다. 해당 규격에 맞는 제품을 생산하는 사업자가 드물다는 이유에서다. 한 보안 전문가는 “검침 기기가 해킹되면 통신망으로 연결된 한국전력공사의 시스템까지 위험할 수 있다”고 지적했다.부실한 보안 실태가 꾸준히 도마에 오르고 있지만 정부·공공기관의 보안 역량을 끌어올릴 법제도는 미비한 상태다. 지난해 6월 개정된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따르면 자산총액 5조원 등 일정 규모 이상의 민간 정보통신서비스 제공자는 임원급의 전담 최고정보보호책임자(CISO)를 지정하고 과학기술정보통신부에 신고해야 한다. 그러나 정부부처, 공공기관은 책임자를 지정해야 할 의무가 없다. 지난 20대 국회에서 모든 정부부처와 공공기관에 CISO 지정을 의무화하는 개정안이 발의됐지만 다른 법률에 밀려 통과되지 못했다.최다은/김남영/김종우/최한종/이해성 기자 max@hankyung.com
2

大法 사이트 해킹 직접 시연한 김영배

김영배 더불어민주당 의원(사진)이 7일 국회 행정안전위원회 국정감사에서 진영 행안부 장관과 여야 국회의원이 지켜보는 가운데 대법원 홈페이지를 해킹했다. 행안부의 디지털 안전정책이 미비해 해킹에 취약하다는 것을 보여주기 위해서다.김 의원은 이날 국감에서 ‘와이어샤크’라는 해킹 프로그램을 이용해 직접 해킹을 시연했다. 대법원 사이트에 접속해 프로그램을 실행하자 아이디와 비밀번호를 기입하지 않고도 로그인이 됐다. 김 의원은 “일반 국민 누구든지 다운받을 수 있는 프로그램으로 해킹할 수 있는 것”이라고 지적했다. 그는 “공공기관 홈페이지 1211개 중 585곳(48.3%)이 최소한의 보안 조치도 하지 않은 것으로 드러났다”며 “국방부 홈페이지까지 자유롭게 해킹해 공문서를 열어볼 수 있다”고 꼬집었다.김 의원은 이와 함께 정부입법지원센터와 국방부 채용 시스템, 국회 후원금 관리 시스템, 대법원 통합관리 시스템 등의 홈페이지가 보안 조치를 적용하지 않았다고 지적했다. 이들 홈페이지는 개인정보와 정부의 공공 문서 등 중요 정보를 다루는데도 불구하고 기초 보안장치를 마련하지 않았다는 것이다.그는 “이 중 일부 홈페이지는 국내 웹브라우저 시장 점유율 63.6%를 차지하는 크롬 등에서 ‘보안이 매우 취약하고 신뢰할 수 없기 때문에 접속을 권하지 않는다’는 메시지가 나타날 정도”라고 지적했다.김 의원은 “행안부는 정부 부처들이 국제 기준에 맞는 최소한의 보안체계를 갖추도록 권고하고 확인할 의무를 다해야 한다”고 강조했다.김소현 기자 alpha@hankyung.com
3

국내 금융기관, 해킹 먹잇감…카뱅·케뱅·거래소 털려

국내 금융기관들이 해외 해커들의 먹잇감이 됐다. 카카오뱅크, 케이뱅크 등 인터넷은행은 물론 유관기관인 한국거래소까지 공격 대상이 됐다.5일 국회 정무위원회 소속 홍성국 더불어민주당 의원이 금융감독원에서 제출받은 '전자금융 침해사고 현황'에 따르면 최근 5년간(지난 8월까지) 발생한 전자금융 침해사고는 총 37건이다. 전자금융 침해사고는 전자적 침해행위로 전자금융기반시설이 교란되거나 마비되는 등의 사고를 말한다. 유형별로는 서버가 처리할 수 있는 용량 이상의 정보를 한꺼번에 보내 과부하를 발생시켜 접속 지연이나 서버 다운 등의 피해를 주는 디도스(DDos) 공격이 23건으로 가장 많았다. 정보유출 7건, 시스템위변조 5건, 악성코드 감염 2건 등이 그 뒤를 이었다.올해 침해사고가 발생한 국내 금융기관은 총 6곳이었다. 이 가운데 디도스 공격을 받은 곳은 케이뱅크, 카카오뱅크(모바일 뱅킹에 대한 디도스 공격), 11번가(홈페이지), 한국거래소(홈페이지) 등 4곳이었다. 지지자산운용은 서버 침해 공격으로 내부자료가 유출됐고, 페퍼저축은행은 인터넷망 웹메일에 악성코드가 발생했다.다만 국제 해킹그룹의 디도스 공격이 빈번해지면서 대응 체계를 마련하고 있어 특별한 피해로 이어지진 않은 것으로 알려졌다.이송렬 기자 yisr0203@hankyung.com