최근 미국 버라이즌이 발표한 데이터 유출 조사 보고서(Data Breach Investigations Report)에 따르면 단순한 스팸 메일을 통해 피싱(phishing)에 걸리는 비율이 매우 높은 것으로 알려졌다.
피싱이란 불특정 다수에게 이메일 등을 보내 개인 정보를 불법으로 빼내는 해킹 수법을 말한다. 이번 조사에선 전 세계 각지에서 발생한 8만 건에 달하는 보안 취약점으로 인한 피해 상황을 분석하고 있다.
그런데 놀랍게도 그 중 3분의 2는 피해자가 이메일을 여는 것에서 시작됐다. 이메일 본문에 모호한 URL을 클릭하게 유도, 열린 페이지를 통해 중요한 개인 정보를 빼내는 건 물론 첨부 파일을 열게 해 악성코드를 넣는 식이다.
철지난 수법이라고 생각할지 모르지만 스팸 메일 15만 통의 개봉 상황을 추적한 결과 23%가 스펨 메일을 개봉해 피싱 사기로 이어질 메시지를 읽었던 것으로 밝혀졌다. 또 모든 수신자 중 11%는 심지어 아무런 의심 없이 스팸 메일의 첨부 파일도 열어버렸다고 한다.
결국 굳이 정교한 장치를 고안하지 않아도 인터넷 사용자 4명 가운데 1명은 스팸 메일을 열어 읽는다는 얘기다. 이번 조사 대상자는 G메일 같은 일반 메일 사용자는 물론 대기업과 정부기관 도메인 이메일 주소까지 포함된 것이라고 한다.
또 조사에 따르면 스팸 메일을 일제히 발송한 다음 첫 피싱 피해자가 나오기까지 걸리는 시간은 평균 잡아 82초에 불과하다고 한다. 피해자 대부분은 공격자가 이메을 전송하고 나서 1시간 정도면 이메일이나 첨부 파일을 연 것으로 나타났다.
결국 이런 스팸 메일로 인한 피싱 피해에 대한 효과적인 대책은 사용자 스스로 주의하는 방법 밖에 없는 만큼 주의가 필요하다. 낯선 사람이 보낸 이메일에는 세심한 주의가 필요하고 메일에 들어 있는 모호한 URL 링크는 되도록 클릭하지 않는 게 좋다. 첨부 파일도 마찬가지로 주의가 필요하다.
전자신문인터넷 테크홀릭팀
이원영IT칼럼니스트 techholic@etnews.com