개인, 기업을 막론하고 지난 몇 년 간 랜섬웨어라는 보안 위협에 시달린데 이어 최근에는 가상화폐 채굴 악성코드에 시달리고 있다. 이 때문에 일반적인(?) 악성코드나 스팸 메일과 같은 전통적인 보안 위협은 우리의 뇌리에서 살짝 잊혀져 있었다. 이 틈을 타 또 다른 전통적인 공격 기법 중 하나가 더욱 교묘하게 진화를 거듭하며 우리 주변에 다시 나타났다. 바로 ‘피싱’이다.

 

01.jpg

 

 

피싱이 최근 다시 기승을 부리고 있다. 사람들의 심리를 파고드는 것뿐만 아니라 다른 범죄 수법과 결합하는 등 더욱 악질적으로 진화했다. 최근 피싱 사례 중 ▲중고거래 사기 ▲보이스피싱 등 두 가지 범죄와 결합한 공격 방식을 살펴보자.

 

1. 중고거래 사기와 결합한 피싱

최근 중고거래 대금 지불 사이트로 위장한 피싱 사이트를 통해 금전을 갈취하는 사례가 확인되었다. 피싱과 결합한 중고거래 사기의 흐름은 다음과 같이 요약할 수 있다. 

① 공격자가 중고장터 커뮤니티 등에 판매글 게시 

② 허위 판매글 내용을 확인한 사용자가 공격자에게 연락

③ 안전거래를 빌미로 공격자가 사용자에게 대금 지불 사이트로 위장한 피싱 사이트 URL 전달 

④ 피싱 사이트를 통해 사용자의 개인정보 탈취

⑤ 피싱 사이트를 통해 입금 요구 후 금전 탈취

⑥ 추가 입금 요구 

 

공격자는 유명 중고거래 사이트에 인기 스마트폰 등을 평균 시세보다 저렴한 가격으로 판매하는 게시글을 올려 사용자들의 관심을 끌었다. 또한 중고거래 사이트 이용자들이 사기 방지를 위해 안전거래 사이트를 통해 대금을 입금 및 지불한다는 점을 파악해 [그림 1]과 같이 안전거래 사이트와 매우 유사하게 제작한 피싱 사이트의 주소를 구매 희망자에게 전달했다. 

 

02.jpg

[그림 1] 정상적인 안전거래 사이트(왼쪽)과 피싱 사이트(오른쪽)

 

[그림 1]과 같이 안전거래 사이트로 위장한 피싱 사이트는 언뜻 구분하기 어려울 만큼 정교하게 제작됐다. 다만, 자세히 살펴보면 주소창에 표시되는 내용이 미묘하게 다르며, 특히 안전한 사이트임을 알 수 있게 해주는 초록색 자물쇠 표시가 나타나지 않는다는 차이가 있다. 

 

이런 차이를 쉽게 알 수 없는 사용자가 피싱 사이트에 접속하여 개인정보를 입력하면 이 정보가 모두 공격자에게 전송된다. 이렇게 공격자에게 전송된 개인정보는 다른 공격에 이용되어 2차 피해로 이어질 수 있다. 

 

만일 온라인 중고거래와 안전거래 사이트에 익숙한 사용자가 자세히 살펴본다면 해당 허위 사이트의 거래대금 방식이 정상적인 사이트와 다르다는 점을 눈치챌 수 있다. [그림 2]와 같이 정상적인 안전거래 사이트에서는 무통장 입금 외에도 카드, 상품권, 휴대폰 결제 등 다양한 방법으로 지불할 수 있는 반면, 피싱 사이트는 현금 갈취를 목적으로 하기 때문에 무통장 입금으로만 결제하도록 되어있다.

 

03.jpg

[그림 2] 정상적인 안전거래 사이트의 개인정보 요구창(왼쪽)과 피싱 사이트(오른쪽)

 

따라서 중고거래 시 이용하는 안전거래 사이트에서 다양한 결제 방법을 제공하지 않고 무통장입금과 같은 직접적인 현금 지불 방식만 요구할 경우, 해당 사이트가 정상 사이트인지 주의 깊게 살펴보는 것이 사기 피해 예방에 도움이 될 수 있다.

 

한편, 위의 사례에서 언급한 사이트 외에도 국내 유명 안전거래 사이트로 위장한 피싱 사이트가다수 발견되었으며, 최근에는 유명한 오픈마켓으로 위장한 피싱 사이트까지 확인되었다. 중고거래 시장 규모는 지난 2016년 기준, 18조를 넘어섰고 앞으로도 계속 확장될 전망이다. 이는 곧 중고거래와 관련된 분야가 금전 갈취를 목적으로 하는 공격자들에게 더욱 매력적인 타깃이 될 수 있다는 의미이기도 하다. 

 

따라서 온라인 중고거래 시 사용자들의 각별한 주의가 필요하다. 일반적인 시세보다 저렴한 상품이라면 사기가 아닌지 의심해볼 필요가 있으며, 안전거래 사이트 이용 시에도 판매자가 보낸 URL은 정상적인 사이트의 URL이 맞는지 꼭 확인하는 습관이 필요하다. 특히 안전거래 사이트 이용 시 무통장 입금을 요구할 경우, 송금하기 전에 계좌의 명의가 안전거래 사이트에서 지정 및 공지한 계좌번호 및 예금주와 동일한지 반드시 확인해야 한다.

 

2. 보이스피싱과 결합한 피싱

언론 등을 통해 보이스피싱 피해 사례 및 예방법에 대해 많은 정보가 공유되었음에도 불구하고 여전히 검찰청 등을 사칭한 보이스피싱과 그로 인한 피해가 계속되고 있다. 특히 지난해부터 피싱과 결합해 더욱 교묘하게 피해자들의 의심을 피하고 금전을 갈취한 사례가 잇따라 나타나고 있다. 

 

최근 보이스피싱 범죄 조직이 피싱 사이트를 이용해 사기를 자행하는 수법을 살펴보자. 우선, 보이스피싱 조직은 유선상으로 피해자를 현혹 후 검찰청으로 위장한 허위 사이트 주소를 알려주며 접속을 유도하는 방식이다. 허위 사이트는 아래 [그림 3]과 같이 실제 검찰청 사이트와 매우 유사하게 제작되어 있어 진위 여부를 파악하기 쉽지 않다. 

 

 04.jpg

[그림 3] 실제 서울중앙지방검찰청 사이트(왼쪽)과 피싱 사이트(오른쪽)

 

최근 확인된 사례에서는 보이스피싱 조직이 사용자들로 하여금 [그림 3]의 오른쪽과 같이 정교하게 위장한 사이트에 접속하여 ‘나의 사건 조회’ 버튼을 클릭하게 한 후, ‘비회원실명확인’ 페이지로 연결하여 이름과 주민등록번호 등 민감한 개인정보를 입력하도록 유도한다. 

 

이렇게 피해자가 가짜 ‘나의 사건 조회’ 페이지에 입력한 개인정보는 공격자에게 전송되는데, 동시에 피해자가 입력한 개인정보를 바탕으로 가짜 사건 페이지를 보여주는 치밀함을 보였다. 이 가짜 사건 조회 페이지에는 [그림 4]와 같이 공문서로 위장한 사건 내용, 계좌 거래 내역, 스마트폰 메신저 대화 내용 캡처 등으로 위장한 가짜 증거 사진이 다수 포함되어 있어 피해자를 심리적으로 압박함으로써 미처 의심할 틈을 주지 않는다. 

 

 05.jpg

[그림 4] 입력된 개인정보를 이용한 가짜 사건 조회 결과 페이지

 

뉴스 등을 통해 보도되는 보이스피싱 사례에 대부분 ‘누가 이런 것에 속을까’ 싶지만 이번 사례처럼 정교하게 제작된 허위 내용으로 심리적인 압박을 가하면 냉정 하기가 쉽지 않다. 따라서 평소 경찰 등 관공서나 은행과 관련된 일에 대해서는 재차 확인하는 습관을 갖는 것이 필요하다. 

 

예를 들어, 전화나 문자로 전달받은 관공서의 웹사이트 주소는 접속하기 전에 포털 사이트에서 검색하여 주소가 정확히 일치하는지 살펴보는 것도 방법이 될 수 있다. 무엇보다 어떤 경우라도 전화 상으로 금전을 요구하거나 은행계좌 전체나 비밀번호 전체를 요구하는 관공서, 은행 등은 없다는 사실을 항상 명심해야 한다.

 

출처 : AnLab