스팸의 피해는 비단 문자 메시지에만 한정되는 것은 아닙니다.
단순한 광고성 스팸 메일뿐만 아니라 특정 메일 주소를 사칭하여 수신자에게 개인 정보 유출이나 금전적 피해를 입히는 피싱 메일도 지속적인 증가 추세이며, 그 수법 또한 날이 갈수록 교묘해지고 있습니다.
수신자에게 직/간접적인 피해를 입히는 스팸 메일의 유형을 알아보고, 스팸 메일 수신을 예방하고, 구분하는 방법을 알아보겠습니다.
스팸 메일 유형 파헤치기
스팸 메일 유형은 크게 광고성 스팸과 피싱 스팸으로 나뉠 수 있습니다.
광고성 스팸 메일은 수신자가 수신을 원치 않았음에도 불구하고 발송된 메일을 의미합니다. 시도때도 없이 쏟아지는 광고성 스팸은 불과 몇 시간 만에 메일 수신함을 가득 채워 정작 필요한 이메일을 구분할 수 없게 만들곤 합니다. 광고성 스팸을 더 이상 수신하지 않기 위해서는 해당 사이트로 직접 접속하여 수신 거부 설정을 진행하는 번거로운 과정을 거쳐야 합니다. 수신 거부 설정에도 불구하고 계속해서 동일한 광고 메일을 수신하게 되는 경우도 적지 않습니다.
광고성 스팸 메일과는 달리 수신자에게 직접적인 피해를 야기하는 메일도 있습니다. 바로 피싱 스팸 메일입니다. 피싱 메일은 다양한 속임수를 통해 메일을 수신하는 사람을 속여 자신들이 원하는 행동을 하도록 유도하고, 궁극적으로는 불법적 금전 이득을 취하려는 목적이 있습니다. 아래에서 피싱 메일의 대표적인 수법을 살펴보도록 하겠습니다.
피싱 메일의 대표적인 수법
> 공공기관 등을 사칭하여 심리적 불안감을 조성합니다.
경찰을 사칭하며 교통범칙금 납부 통지서를 보내거나, 법원으로부터 온 피고인 소환장을 가장하는 등 공공기관을 사칭하여 부정적인 사건에 휘말렸음을 암시하는 메일을 보냅니다. 이와 같은 수법은 고전적이지만 지속적으로 유행하여 아직까지도 많은 피해를 야기하고 있습니다.
>기업의 경우 실제 담당자의 업무 범위에 해당하는 내용의 메일을 발신합니다.
기업을 그 타깃으로 하는 경우 실제 담당자의 업무 영역 내에 속하는 내용의 메일을 통해 메일을 받은 담당자의 클릭을 유도합니다. 입사 지원서를 가장하거나 거래 은행을 사칭하고, 견적서를 요청하는 등의 내용이 대표적입니다. 위와 같은 경우 기업의 담당자들은 대부분 의심 없이 첨부된 파일을 다운 받거나 링크를 클릭하여 피싱 피해를 입게 됩니다.
>유명 웹사이트나 브랜드를 사칭하며 해당 서비스를 이용중인 고객을 타겟으로 합니다.
많은 사람들이 이용하는 유명한 브랜드나 웹사이트를 사칭하여 피싱 메일을 발송합니다. 불특정 다수에게 메일을 발송하지만 그 중 일정 수의 사람들은 해당 브랜드나 웹사이트를 이용중인 고객일 가능성이 높다는 점에 착안한 방식입니다. 대부분의 경우 해당 업체에서 보낸 공지 메일 형태나 개인의 계정에 문제가 발생했다는 내용의 메일이 주를 이룹니다.
최근에는 하이웍스를 사칭한 피싱 이메일이 유포되기도 하였습니다. hiworks.comhiworks_cs.com과 같이 하이웍스 공식 도메인과 흡사한 형태의 도메인으로 메일을 발송하여 하이웍스를 이용중인 다수의 고객들에게 피싱 사기를 시도한 바 있습니다.
피싱 메일은 그 수법이 다양하지만 공통적으로 첨부 파일이나 본문 내의 링크를 클릭하도록 유도합니다. 피싱 메일을 수신한 사람이 첨부파일이나 링크를 클릭할 경우 악성 코드가 PC에 설치되거나, 피싱 사이트(실제 사이트와 매우 흡사하게 생겼으나, 개인 정보나 금전 탈취를 목적으로 만들어진 가짜 사이트)로 연결됩니다. 개인의 경우 적게는 수십만 원에서 많게는 수천만 원까지 그 피해 금액의 규모는 상당한 수준입니다. 또한 한 번 탈취된 개인 정보는 2차 피싱 사기를 목적으로 재활용될 수 있습니다. 기업의 경우 단 한 명의 직원 PC가 악성 코드에 감염되더라도 내부 망을 통하여 기업 전체의 PC로 감염이 확산되어 내부 기밀이나 고객 정보 등이 유출될 수 있으며 이는 기업에게 막대한 피해를 야기할 수 있습니다.
피해를 최소화하기 위해 수신한 메일이 피싱 메일에 해당하는지를 구분할 수 있는 방법을 알아보겠습니다.
피싱 메일 구분법
>보낸 사람의 이메일 주소(도메인)을 면밀히 확인하세요.
메일을 보낸 사람의 주소가 모르는 주소에 해당하거나, 공식 도메인이 아닌 경우 피싱 메일이 아닌지 의심해보아야 합니다. 공식 도메인 이름에 _cs, _marketing 등의 문자를 추가하거나, 수신자와 동일한 주소로 메일을 발송한 경우 피싱 메일에 해당할 가능성이 높습니다.
>이메일 본문 내의 링크 URL을 확인하세요.
이메일 본문 내에 클릭을 유도하는 URL이 있는 경우 해당 URL에 마우스를 올려 실제 하이퍼링크 주소를 확인하세요. 하이퍼링크 주소가 무작위의 문자들의 조합이거나 실제 메일을 보낸 업체의 웹사이트 주소와 다르다면 무작정 클릭하지 않아야 합니다.
>제목과 본문의 철자나 문법이 정확한지 확인하세요.
수신한 메일의 제목이나 본문의 철자나 문법이 어색하지 않은지 확인하세요. 업무 담당자의 경우 메일을 발송하기 전에 맞춤법 검사나 퇴고를 진행하는 것이 일반적입니다. 한 눈에 보기에도 어색한 어투와 맞춤법은 해당 메일이 피싱 메일임을 암시하는 강력한 신호일 수 있습니다.
>이메일 인증에 통과되었는지 확인하세요.
설령 표시된 발신자의 주소가 공식 도메인에 해당한다고 해도 이메일 인증에 통과하지 못한 경우라면 피싱 메일에 해당할 수 있습니다. ‘이 메일은 안전하지 않습니다.’와 같은 경고 문구가 메일 상단에 노출된다면 피싱 메일임을 의심해보아야 합니다.
>첨부파일을 함부로 열지 마세요.
출처가 불분명하거나, 발신자가 의심되는 상황에서 메일에 첨부된 파일을 열지 말아야 합니다. 악성 코드와는 관련이 없을 법한 PDF나 ZIP 형식의 파일 또한 악성 코드를 포함하고 있을 수 있습니다.
대부분의 피싱 메일은 불특정 다수를 타겟으로 발송되기 때문에 개인적 차원의 합리적인 의심만으로도 상당수의 피해를 사전에 예방할 수 있습니다. 지속적으로 보안 업데이트를 진행하고 의심이 드는 링크나 첨부파일을 클릭하지 않는 습관이 필요합니다. 스팸 메일의 피해로부터 안전할 수 있는 가장 궁극적인 방법은 스팸 메일 발송 대상에 포함되지 않는 것입니다. 아래에서는 스팸 메일 수신을 최소화할 수 있는 방안에 대하여 알아보겠습니다.
스팸 메일 수신 최소화하기
>이메일 주소를 남길 때 주의하세요.
각 사이트 별로 이메일 주소를 무단으로 수집하는 것을 거부하는 정책을 세워 이를 공시하고 있음에도 불구하고 여전히 자동으로 웹 상의 정보를 긁어오는 크롤링 등의 방식으로 불특정 다수의 이메일을 확보합니다. 각종 게시판이나 웹사이트에 이메일 주소를 남기는 경우 각종 스팸 메일의 타깃이 될 수 있으므로 주의를 요합니다.
>사이트 회원가입 시 광고성 메일 수신 여부를 확인하세요.
광고성 메일을 발송하기 위해서는 사전에 수신 동의를 받아야만 합니다. 따라서 대부분의 웹사이트는 회원가입 시 광고성 메일 수신 동의 여부를 묻는 문항을 두고 있습니다.(정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조 제 1항) 하지만 이와 같은 동의 여부를 아주 작은 글씨로 적어놓거나, ‘모두 동의하기’ 버튼을 통해 일괄적으로 동의하도록 유도합니다. ‘회원가입’ 버튼 클릭에 앞서 광고성 메일 수신 여부에 체크되어있지는 않은지 확인이 필요합니다.
>너무 짧거나 간단한 이메일 주소를 지양하세요.
lee@, designer@ 과 같은 이메일 주소는 스팸 메일의 주된 타깃이 될 수 있습니다. 스팸 메일을 보내는 스패머들은 웹 크롤링 기법뿐만 아니라 임의로 이메일 주소를 생성하는 프로그램을 활용하여 이메일 주소를 수집하기도 합니다. 단순하고 짧은 이메일 주소는 주소 생성 프로그램을 통해 스팸 메일의 대상이 되기 쉽습니다.
>스팸 메일 필터링 서비스를 활용하세요.
이메일 서비스에서 제공하는 스팸 메일 필터링 서비스를 적극 활용하세요. 특정한 문구나 주소, 도메인 등을 등록하여 스팸 메일을 차단하거나, 한국인터넷진흥원(KISA)에서 관리/운영하는 실시간 스팸 차단 리스트(KISA-RLB)를 설정하여 국내외 스팸 메일들을 차단할 수 있습니다.
여기까지 스팸 메일의 유형과 구별 방법, 그리고 스팸 메일을 사전에 예방하는 방법에 대하여 알아보았습니다. 스팸 메일을 보내는 수법은 시간이 지남에 따라 더욱 더 고도화되고, 그 피해 규모 또한 지속적으로 증가하는 추세입니다. 그럼에도 위의 내용들을 기억하시고, 수신한 메일의 사소한 부분에도 세심한 주의를 기울인다면 스팸으로 인한 대다수의 피해를 방지할 수 있습니다. 개인적 차원의 합리적인 의심과 인식이야말로 스팸 메일로 인한 2차 피해를 최소화할 수 있는 가장 효과적인 예방책일 것입니다.