이메일피싱

기업들 낚는 문자/메일 피싱 사기


문자와 메일을 이용해 부정하게 개인정보를 탈취하거나 금융 피해를 입히는, 이른바 피싱(fishing)은 날이 갈수록 심각한 범죄로 문제가 되고 있습니다.

경찰청이 발표한 ‘2019년 상반기 사이버위협 분석보고서’에 따르면 피싱은 지난해 같은 기간 대비 178.6% 증가해 최대 증가폭을 기록했으며, 금융감독원이 밝힌 2018년 피해액 규모는 저년 대비 82.7% 증가한 4440억 원 규모로 추산되었습니다.

더 이상 개인정보를 낚는(fishing) 수준의 ‘피싱’이라는 표현으로는 부족한, 중대한 범죄 행위로 몸집이 커진 것입니다. 전화, 문자, 메일 등을 이용한 사기, 통칭하여 ‘전자금융사기’는 그 이름처럼 개인정보를 낚는 수준을 넘어 사회에 막대한 금융 손실을 입히고 있습니다. 금융위원회와 금융감독원이 범죄를 감독하는 것도 이 때문입니다.

전자금융사기는 다양한 수단과 수법으로 교묘해지고 있지만, 본질은 개인정보를 탈취한 뒤 금전적 피해를 입힌다는 것입니다. 그리고 막대한 금융거래와 높은 신용을 보유한 기업들은 범죄의 주요 타깃일 뿐만 아니라 범죄를 위해 끊임없이 이용되고 있습니다.


기업들은 많은 고객정보를 보유하고 있으며, 거래처와의 잦은 금융거래로 인해 범죄의 표적이 됩니다. ‘관리자 계정 탈취’나 ‘이메일 무역사기’ 같은 기업 전용 사기 수법들은 1차적으로 직원의 PC를 악성코드에 감염시켜 중요한 거래 및 계정 정보를 빼돌린 뒤, 거래처로 보내는 계좌 정보를 중간에서 날조하는 방식으로 기업에 금전적 피해를 입힙니다. 이메일 무역사기의 1건 당 평균 피해액은 무려 4천186만 원으로 사이버 범죄 중 가장 규모가 큽니다.

기업이 입는 피해는 범죄의 직접적인 타깃이 되는 것만이 아닙니다. 기업을 사칭한 문자와 메일은 기업과 기업 고객들에게까지 심각한 고통을 주고 있습니다. 이 경우에도 전자금융사기는 유사한 방식으로 피해를 입힙니다. 택배회사, 은행, 공공기관 등을 사칭하여 사용자들을 방심하게 한 뒤, 개인정보를 탈취한 후 금전적 피해를 입히는 것입니다.

전자자금융사기의 피해자가 되지 않기 위해서는 범죄의 작동 방식을 이해하고 있어야 합니다. 공격자는 1차적으로 로그인 정보를 비롯한 개인정보를 탈취하는 것을 목표합니다. 정보 탈취는 사용자가 정보를 직접 입력하도록 교묘하게 유도하거나, 악성코드를 설치한 뒤 사용자가 눈치채지 못하게 정보를 빼돌리는 방식을 이용합니다.

예를 들어 문자나 메일을 통해 받은 링크를 클릭하면 금융기관이나 공공기관, 택배사 등의 웹사이트를 그대로 베낀 페이지가 열리며, 로그인 정보 입력 시 그 정보가 공격자에게로 넘어가게 됩니다.

최근 이슈가 된 하이웍스 사칭 이메일의 경우, 공식 도메인과 유사하게 ‘hiworks’가 들어가는 가짜 도메인을 사용해 공지 등을 발송한 뒤 계정 정보 입력을 요청하여 관리자 계정을 탈취하는 것으로 나타났습니다.

<하이웍스 사칭 메일>


그러나 직접 정보를 입력하지 않더라도 정보가 유출될 수 있습니다. 공격자는 첨부파일을 다운로드하거나 앱을 설치하도록 유도하여 악성코드 파일을 실행시킵니다. 설치된 악성코드는 백그라운드에서 동작하며 사용자가 눈치챌 수 없게 은행 로그인 비밀번호나 공인인증서 비밀번호, 보안카드 사진 등 금융거래 정보를 빼돌립니다. 이렇게 유출된 개인정보 및 계정정보는 다시 금전 탈취에 악용됩니다.

많은 기업들이 내부 정보보안을 강화하고, 고객들에게 금융사기 예방을 위한 안내문을 배포하고 있지만 기업 안팎에서 여전히 피해가 끊이지 않고 있습니다.

어떻게 하면 피해를 예방할 수 있을까요? 피싱 예방을 위한 체크리스트를 통해 보안 수준을 확인해보세요. 피싱 사기 피해 예방은 간단한 보안 수칙을 지키는 데서부터 시작됩니다.


[피싱 사기 예방을 위한 체크리스트]

  – 보낸 사람이 공식 메일 주소나 연락처를 사용하는지 확인한다.
 – 올바른 주소 및 연락처를 확인하기 전까지 링크를 클릭하거나 첨부파일을 다운로드하지 않는다.
 – 상대방이 중요한 정보(계정정보, 계좌번호 등)를 요구하거나 변경되었다고 알려오는 경우, 상대와 대면 또는 유선을 통해 사실 여부를 확인한다.
– 계정 및 기기 보안을 점검한다. (이메일 2단계 인증 설정, 주기적인 비밀번호 변경, 출처가 불분명한 앱 설치 차단 등 스마트폰 보안 설정 강화)

댓글 남기기

avatar
  Subscribe  
알리기: