기발한 해킹 기법, 피해를 막는 방법은?
해커들이 교묘한 해킹 기법을 활용한다는 사실은 이제 대부분의 사람들이 알고 있다. 하지만, 피싱이나 스미싱으로 인한 피해 사례는 계속 늘어나고 있다. 이제 해커들은 정말 알고도 속을 수 밖에 없는, 속된 말로 ‘기가 막히는’ 속임수를 쓴다. 이번 글에서는 이와 관련된 몇 가지 사례들을 모아봤다.
#1 고의로 다른 사람의 계좌에 돈을 송금한 뒤 피해신고를 해 지급정지 상태로 만든 다음에 해제를 해주는 대가로 금전을 요구하는 통장 협박 신종 피싱사기 수법
#2 ‘naver.com’이라는 정상 도메인 대신 ‘nevercorp.com’이라는 가짜 도메인을 이용해 ‘해외 국가에서 네이버 계정이 로그인되었다’는 메일을 보내고, 네이버 보안 강화 메일로 착각하게 만들어 비밀번호 등을 입력하도록 유도
#3 설날 명절을 맞아 ‘설날 이벤트에 당첨되어 선물을 보내드린다’거나 ‘설날 연휴 가족과 함께 드실 수 있는 모바일 쿠폰을 보낸다’, 혹은 ‘설날 배송 물량 증가로 배송이 지연되고 있으니 배송 일정을 확인하라’는 링크가 적힌 문자를 보내 스미싱하는 사례가 급증
#4 ‘ㅇㅇㅇ 의원실 비서입니다. 어제 세미나에 참석해 주셔서 감사합니다. 사례비 지급을 위해 지급 의뢰서를 작성해서 회신해주세요’라는 이메일을 보내며, 첨부파일을 클릭하는 순간 PC 장악 및 정보 유출 기능의 악성 프로그램이 설치됨
#5 드라마 <이상한 변호사 우영우>에 소개된 사례로, 온라인 쇼핑몰의 DB를 운영하는 팀장을 타깃으로 피싱 메일을 보내고 이를 열어본 PC에서 스피어 피싱을 당함
일반인들을 속여 금품 등을 챙기는 해킹 수법이 날이 갈수록 더욱 교묘해지고 다양해지고 있다. 통장 계좌에 돈을 입금해 계좌를 정지시키거나 해킹용 도메인으로 보안 강화 메일을 보내 개인정보를 빼내거나 문자 메시지를 보내 링크를 통해 정보를 빼내고, 이메일로 첨부파일을 클릭하게 하는 식이다. 교묘한 수법에 자칫하면 눈 뜨고 코 베일 수 있어 주의가 요구된다.
먼저 통장 협박이라는 신종 피싱 사기 수법이다. 모바일 뱅킹 사용이 일상화된 요즘 하루 아침에 지급정지가 되어 금융거래가 불가능하게 함으로써 어쩔 수 없이 돈을 송금하게 만드는 지능적인 사기 수법이 최근 등장했다.
이는 보이스피싱에 대응하기 위해 시행된 전기통신 금융사기 피해 장비 및 피해금 환급에 관한 특별법을 역으로 이용한 수법인데, 이 법에 따르면 금융회사는 보이스피싱 의심 계좌로 추정되는 이용자의 계좌를 즉시 지급정지 조치를 해야 한다고 명시하고 있다. 이른바 ‘통장 협박’은 이를 악용해서 일반인의 계좌를 사기 이용계좌로 신고한 뒤 계좌를 동결시키는 것이다.
이처럼 피해자들은 억울하게 은행거래 제한을 받게 되지만 현재로서는 마땅한 대응책이 없는 상황이다. 정지된 계좌를 다시 풀기 위해서는 은행에서 이의신청을 승인해주거나 경찰조사에서 무혐의 처분을 받아야 한다.
특히 송금된 금액이 범죄조직이 직접 이체한 것이 아닌 다른 피해자를 속여 편취한 돈이라면 실제 피해자는 해당 계좌가 범죄조직의 것이라 생각하고 더욱 빠져나오기 힘든 상황이 된다. 현재 통장 협박을 예방할 수 있는 방법은 함부로 자신의 계좌를 인터넷 상에 노출하는 것을 조심하고 알 수 없는 돈이 통장에 입금되었다면 은행과 경찰에 신고하는 것이 최선이다.
두 번째는 국내 최대 포털사이트의 도메인을 모방한 사례이다. 이들은 인기 블로그 운영자 500여명에게 해킹 메일을 보내 얻은 개인정보를 제3자에게 판매해 이득을 취했다. 네이버에서 사용하는 도메인 주소와 유사한 형태의 메일 주소를 만들어 블로거들을 속인 것으로 나타났다.
정상적인 주소의 도메인인 'naver.com' 대신 'nevercorp.com'이라는 가짜 도메인을 사용해 '해외 국가에서 네이버 계정이 로그인되었다'고 메일을 보낸 것이다. 이를 네이버에서 보낸 보안 강화 메일로 착각한 블로그 주인은 메일에서 요구하는 대로 비밀번호 등을 입력했다가 해킹 피해를 보게 됐다.
세 번째는 명절 때 주로 보내는 스미싱 사기다. 조만간 설날도 다가오는 시기라 특히 조심해야 한다. 특히 명절에는 선물이 오가는 점을 이용해 선물이나 상품권, 택배, 기프티콘 등을 사칭한 범죄들이 주로 많이 발생하고 있다.
이를 예방하기 위해서는 택배 조회, 명절 인사 등의 문자에 포함된 출처가 확인되지 않은 인터넷 주소, 전화번호는 절대 클릭하지 않아야 한다. 또 PC나 스마트폰에 백신 프로그램을 설치해 업데이트 및 실시간 감시 상태를 유지하고 애플리케이션 설치는 문자 속 링크가 아닌 공식 앱스토어를 이용해야 한다.
의원실을 사칭한 이메일 해킹도 실제 있었던 일이다. 북한 해킹 조직인 김수키가 태영호 국민의 힘 의원실 비서를 사칭해 보낸 것으로 추정된다. 이들은 태 의원실 비서 외에도 대통령실 인수위원회 출입기자, 국립외교원 관계자 등으로 속여 모두 892명에게 악성 프로그램이 담긴 이메일을 보낸 것으로 알려졌다. 실제로 세미나에 참석한 전문가들에게 20~25만원 상당의 사례비가 지급되는데 이 점을 노려 사칭 이메일을 보낸 것이다. 이메일을 받은 사람 중에서 무려 49명이 피싱 사이트에 접속해 아이디와 비밀번호를 입력했고, 해킹 조직은 피해자의 송수신 메일을 실시간으로 감시해 첨부 문서와 주소록 등을 탈취했다.
이 해킹 조직은 범행과정에서 랜섬웨어 프로그램을 유포해 금전을 요구하기도 했다. 국내 중소업체 13곳이 랜섬웨어를 통한 해킹 피해를 입었으며 이중 2곳이 가상화폐 계좌를 통해 돈을 지불한 것으로 나타났다. 이 같은 피해를 예방하기 위해서는 전산망 접근 통제, 이메일 암호 주기적 변경 및 2단계 인증 설정, 다른 국가로부터 접속 차단 등의 보안 설정을 강화하는 노력이 필요하다.
마지막은 스피어 피싱이다. 스피어 피싱 사례는 2500만명의 개인정보가 유출된 쇼핑몰 해킹 사건과 국방 산업전에서 대규모로 발송된 스피어 피싱 메일 등 수많은 사례가 있다. 드라마에서처럼 스피어 피싱으로 인한 해킹 피해는 중간관리자의 실수로 인해 발생했다고 볼 수 있지만 현실에서는 더 많은 변수가 존재한다.
스피어 피싱을 원천적으로 차단하기는 불가능하지만 정기적인 보안 교육은 물론 피싱 모의침투 훈련, 기술적인 솔루션 도입 및 설치, 공격 대상에 대한 내부 모니터링 등을 통해 예방할 수 있다.
출처 : AhnLab
