소통 공간 SNS가 '피싱의 바다'로?

페이스북·트위터·카카오톡 등 피해자 속출

 

(아주경제 백수원 기자) #사업가 K모씨는 자신의 페이스북으로 낯선 이름의 외국인에게 쪽지를 받았다. 영어로 적힌 그 글에는 '세계 각지 5억 만명 중 무작위로 뽑힌 당신은 행운아, 페이스북 7주년 프로모션에 당첨되어 1,000,000.00달러를 받게 됐다'는 내용이 담겨있다. 전화번호와 함께 담당자 이메일이 표기돼 있다. 물론 사용자의 정보를 빼내는 '피싱'이다.


트위터, 페이스북 등 소셜 네트워크서비스(SNS)의 이용자가 급증하면서 소셜 미디어가 '피싱' 공격의 새로운 대상이 되고 있다. 사기 수법도 시대 흐름에 따라 변하듯이 전화로 일관됐던 보이스 피싱이 이젠 SNS로 옮겨가고 있는 실정이다.  

현재 국내 트위터, 페이스북 등 SNS 이용자는 각각 300만명 400만명을 넘어섰다. 소셜 전문가들은 스마트폰의 보급이 확대되면서 SNS 가입자 수가 1년 이내에 1000만명 이상이 될 것으로 전망하고 있다. 이와 함께 '공짜 문자'로 유명한 카카오톡의 경우 회원이 1500만명을 이미 돌파했다. 따라서 '소셜 피싱'에 의한 피해는 급속도로 퍼질 전망이고 이에 따라 개인 정보 보안에 대한 대책이 절실히 요구된다.


■급속하게 확산되는 'SNS 피싱' 피해

앞서 사업가 K모씨 외에 대학원생 S씨 언론인 P모씨 등 다수의 사람들도 페이스북 프로모션이 당첨됐다는 내용의 쪽지를 받았다. 어떤 경우는 URL 주소를 첨부해 링크를 클릭하도록 유도하고 있으며 지인에게까지 같은 동일한 내용의 메시지가 보내지도록 해 악성코드가 숨겨져 있는 경우도 있었다.

트위터하면 가장 먼저 떠오르는 것은 연예인 트위터 사칭이다. 메일 주소 하나면 쉽게 계정을 만들 수 있고 실명을 사용하지 않는 트위터 특성을 노린 수법이다. 연예인 사칭 트위터뿐만 아니라 트위터와 유사한 사이트에 각별한 주의를 요하기도 한다. 

전문가들은 "사용자가 어떤 메시지나 이메일을 받았을 때 twitter.com 로그인 페이지처럼 보이는 웹 사이트로 안내할 때 로그인하지 말고 주소창의 URL을 살펴보라"는 조언을 한다. 이는 트위터와 흡사한 웹페이지를 만들어 사용자가 아무런 의심 없이 개인 정보를 로그인해 개인 정보를 빼내는 수법이다. 

대학생 P씨는 얼마 전 자신의 친구가 카카오톡으로 돈이 급하게 필요하다며 200만원 송금을 요구받았다고 한다. 스마트폰을 분실하거나 도난당하면 이전 자신의 계정을 삭제하지 않을 경우, 쉽게 개인 정보 유출이 되기에 또 다른 범죄 도구가 될 수 있다. 

현재 스마트폰 메신저 프로그램인 카카오톡 이용자가 1,500만 명임을 생각했을 때 카카오 측은 사용자들을 위한 '보안'에 대한 뚜렷한 대책이 절대적으로 필요하다.


■아차 하는 순간,  개인 정보 '콸콸콸'

작년에는 SNS를 이용한 가짜 설문 조사도 발생했다. 설문조사에 응하면 아이튠스 서비스 이용권을 준다는 식으로 설문을 유도한 후, 배송지 및 개인정보를 정확히 입력해야 선물을 준다며 개인정보를 불법 취득하는 일이 일어났다. 아차 하는 순간에 개인정보를 스스로 발설하는 경우다.

얼마 전 농협 전산망 대란 시에는 농협 지점임을 사칭하면서 개인정보를 요구하는 SNS 피싱이 기승을 부리기도 했으며 SNS를 이용해 이슈화되는 기사를 링크해 도박 및 성인 사이트 등 여타 불법사이트로 유도하는 사례도 비일비재하게 일어나고 있다. 

소셜네트워크는 이용자가 많을 뿐만 아니라 친구나 지인들이 보내는 메시지라 생각에 '피싱'에 대한 심리적 의심이 다소 느슨해진다. 그렇기 때문에 악성 코드나 악성 링크를 손쉽게 퍼뜨릴 수 있다. 보안전문업체 시만텍에 따르면 SNS에 대한 공격 유형은 가짜 초대, 계정 통합, 사진 댓글, 애플리케이션 정보, 악성코드 유포, 가짜 설문조사 등의 형태로 분석됐다고 전했다.


■SNS, 소셜커머스와 결합땐 문제 더 심각

SNS의 개인정보 유출이 문제가 되는 이유는 SNS서비스의 무차별적인 전파성 때문이다.  

이런 무차별적인 개인정보 유출에 카카오톡도 한 몫 단단히 하고 있다. 작년 스마트폰 무료 메신저 카카오톡은 개인정보를 수집할 수 있는 이용 약관 개정을 사전고지 없이 실시해 많은 논란을 일으켰다. 실명, 주민등록번호, 집 주소, 이메일 및 전화번호, 통신사, 결제승인번호까지 승인할 수 있다고 약관을 변경했다가 사용자들의 큰 반발을 불러일으킨 것이다. 

당시 카카오 측에서 "약관의 내용은 사용자분들에게 이후 이벤트 같은 것을 할 때 사용자가 직접 우리에게 입력해주는 정보들이 있을 수 있다는 이야기"라는 해명 글을 올리기도 했다.

만약 SNS가 소셜커머스와 결합으로 이어지면 더욱 심각한 문제를 초래한다. 결제정보나 위치정보의 제공 등 개인 정보의 확산이 더욱 급속도로 퍼질 수 있기 때문이다. 

기술은 진화하고 업체들은 이익을 찾는 데 반해 정작 보호돼야 할 개인 정보 유출은 술술 새어나가는 셈이다.


■다음 3가지는 꼭 알아두자

첫째, SNS는 사용자 정보가 자동으로 트위터 등을 통해 전달되는 구조이기 때문에 정보유출에 취약할 수밖에 없다. 따라서 본인이 기본 정보의 노출을 최소화 해야 한다. 한 예로 트위터에 올리는 프로필 사진이 독이 될 수도 있다. 사진을 이용해 '이 사람을 납치했으니 돈을 보내라'는 형식으로 피싱을 해 범죄를 저지르는 경우도 있었다. 

둘째, '컴퓨터'가 감염됐다는 팝업창을 조심하라. 사용자들은 감염 관련 팝업창이 뜨면 자연히 바이러스 퇴치 스프트웨어를 클릭하는 경우가 많은데 이 프로그램 역시 '바이러스 퇴치'란 이름을 가장한 악성코드이다.
 
마지막으로 SNS를 통해 유포되는 악성코드, 웜 등으로 인한 개인정보 유출을 막기 위해선 OS(운영체제)의 최신 업데이트 버전이나 패치를 설치해야 한다. 또한, 백신도 계속 업데이트해 꾸준히 감시 기능을 돌려야 한다.