‘개인 금융 정보, 함부로 입력하지 마세요.’
해외 유명 금융 사이트 등으로 위장해 인터넷 이용자의 금융 정보를 빼내가는 ‘피싱’ 사기가 최근 늘고 있다. 현재까지 피싱 메일은 대부분 영문으로 작성돼 실제 현금 인출 등의 피해를 보는 경우는 드물지만 중요한 개인 정보 유출을 막기 위해 이용자와 홈페이지 관리자의 각별한 주의가 요구된다.
◇5월 피싱 사고 전월대비 50% 가까이 증가=피싱(Phishing)이란 정상적인 웹서버를 해킹해 위장 사이트를 개설한 뒤 인터넷 이용자들의 금융정보를 빼내는 신종 사기 수법이다. 한국정보보호진흥원(KISA)에 따르면 지난달 피싱 사고 건수는 97건으로, 전월 대비 46.9%나 증가했다. 특히 지난해 6월부터 12월까지 7개월간 피싱 사고 건수가 총 220건이었던 것에 비해 올해 1월부터 5월까지 사고 건수만 352건으로, 관련 피해가 지속적으로 늘어나는 추세이다. 피싱 대상 기관은 이베이 관련 위장 사이트 신고가 31건으로 전체의 42%를 차지했다. 또 피해대상 기관별 신고 건수를 살펴보면 금융기관대상 신고가 46%를 차지해 여전히 금융기관이 피싱 사고의 주요 대상이 되고 있다.
◇개인 신상정보 유출 가장 높아= 피싱 공격자는 보안이 취약한 웹서버를 해킹해 주요 금융기관의 홈페이지처럼 위장된 페이지를 삽입해둔다. 다음 단계로 공격자는 주요 금융기관의 고객만족팀 담당자 등이 발송한 고객정보 수정 요청 등의 메일로 위장해 불특정 다수에게 발송한다. 이 때 메일을 받은 사용자가 삽입된 링크 사이트를 클릭해 자신의 금융정보나 개인정보를 입력하면 정보가 유출되는 형태이다. KISA에 따르면 공격자가 얻고자 하는 정보는 개인의 아이디, 비밀번호 등 개인신상 정보가 65건으로 가장 많았다. 따라서 개인이 유명 금융기관을 사칭한 이메일을 받았을 때 정보를 입력하기 이전에 확인하는 절차가 반드시 필요하다. KT문화재단이 20∼40대 전국 남·녀 500명을 대상으로 실시한 조사에 따르면 피싱 피해 종류로는 ‘이벤트를 사칭한 개인정보 수집(87.3%)’이 가장 높은 비중을 차지했다. 또 연령이 높을수록 피싱 피해 경험이 높은 것으로 분석됐다.
◇ 사용자·관리자 주의 요구돼=KISA측은 해외 유명 포털이나 금융사이트 등을 사칭하는 사이트를 방문하라는 이메일에 대해 사용자의 지속적인 주의를 당부했다. 또 대학이나 개인의 서버 등 보안이 다소 취약한 서버가 피싱 경유지로 악용되는 만큼 관리자들도 주요 웹애플리케이션에 대한 꾸준한 취약점 분석 및 최신 패치 설치로 피싱 사고를 근본적으로 예방해야 한다는 지적이다. 김유경기자@전자신문, yukyung@
전자신문·KT문화재단 공동기획