"모바일게임 이기면 300만원"…코로나 집콕族 노린 보이스피싱 기승
입력
수정
지면A8
온라인 생활 일상화…IT 기반 피싱 공격에 쉽게 노출“우승상금 300만원 보내드리겠습니다.”
가짜 검사 사무실 차려놓고 영상통화로 거액 뜯기도
신체관련 영상물 미끼로 돈 뺏는 '몸캠피싱'도 급증
‘사회적 거리두기’ 강화로 대부분 시간을 집에서 보내던 20대 남성 A씨는 휴대폰을 보던 중 한 광고를 접했다. 게임에서 이기면 300만원을 준다는 말에 도전해 보니 ‘우승 축하’ 메시지가 도착했다. 이어 “상금을 받으려면 우리 계좌로 보증금 10%를 먼저 보내야 한다”는 안내가 나왔다. 30만원을 보냈지만 상금이 오지 않자 A씨는 그제야 사기라는 것을 깨달았다.신종 코로나바이러스 감염증(코로나19) 확산으로 비대면 온라인 생활이 일상이 되면서 개인정보 보호 조치를 강화해야 한다는 목소리가 높아지고 있다. 금융사기 방지 플랫폼 더치트의 김화랑 대표는 “온라인 쇼핑, 게임 또는 도박 사이트 등을 통한 ‘코로나19형 피싱’이 성행하고 있다”고 11일 말했다. 가해자들은 정보기술(IT)에 미숙하고 코로나19로 인해 경제적으로 어려워진 사람들의 주머니를 주로 노리고 있다.
악성 앱 설치 후 가짜 사이트로 유도
경찰청에 따르면 지난해 보이스피싱 범죄 검거 건수는 3만9278건으로 집계됐다. 2017년 1만9618건, 2018년 2만9952건으로 2년 새 두 배가량으로 증가했다. 올해는 7월 기준 2만517건으로, 이미 2017년 한 해 검거 건수를 넘어섰다. 법무부와 금융감독원에 따르면 2016년부터 올해 6월까지 국내에서 발생한 보이스피싱 피해자 수는 17만8700여 명으로 나타났다.보이스피싱 수법은 IT를 기반으로 날로 진화하고 있다. 단순히 전화로 입금을 유도하는 건 구식이 됐다. 금융회사의 앱과 비슷한 악성 앱을 설치하도록 유도하거나 화상채팅까지 동원한다. 한국인터넷진흥원(KISA)에 따르면 악성앱은 2016년 1635건에서 작년 9051건으로 다섯 배 이상 증가했다. 피해자 휴대폰과 보이스피싱 조직을 자동 연결하는 악성 앱도 있다. 경찰 관계자는 “피해자가 의심이 들어 대출회사나 경찰에 전화해도 악성 앱이 설치된 경우엔 보이스피싱 조직으로 연결되기 때문에 다른 사람의 휴대폰으로 확인해야 한다”고 설명했다.지난달엔 가짜 검사실을 차려놓고 영상통화까지 하며 거액을 가로챈 사건도 발생했다. 서울중앙지방검찰청 수사관을 사칭한 보이스피싱 일당들은 피해자 휴대폰에 법무부 공증 앱으로 꾸민 피싱 앱을 설치하도록 하고, ‘화상공증’을 한다며 검사실처럼 꾸민 장소에서 영상통화를 해 실제인 것처럼 믿게 했다. 서울동부지검은 지난달 한 사람에게만 26억원을 뜯어낸 보이스피싱 일당을 구속기소했다. 1인 피해액으론 역대 최대 금액이다.
피싱·스미싱도 코로나19 타고 활개
코로나19로 비대면 거래가 늘면서 택배를 가장하거나 재난지원금 등 코로나19와 관련된 내용으로 위장한 문자 스미싱도 급증하고 있다. 택배 도착 안내를 위장한 스미싱, 소상공인 대상 재난지원금 지급을 내건 스미싱 등이다. 한국경제신문이 KISA를 통해 확인한 결과 올 1~8월 스미싱 탐지 건수는 70만 건을 넘어섰다. 지난해 발생한 36만4586건의 두 배에 달했다.신체 관련 영상물 등을 미끼로 돈을 뜯어내는 범죄인 ‘몸캠피싱’도 빈번해지고 있다. 지난 6월 대학생 최모씨는 몸캠피싱을 당한 뒤 협박범에게 200만원을 송금했다. 디지털성범죄 대응 기업 라바웨이브 관계자는 “해킹 기술이 고도화되면서 전화번호부뿐만 아니라 카메라, 실시간 녹음까지 원격제어가 가능해지고 있다”고 설명했다.보안소프트웨어 업체 이니텍 관계자는 “예전에는 기업이나 공공기관의 중앙서버를 뚫는 게 주요 목표였다면 요즘엔 보안 시스템을 갖추지 못한 개인을 공격하는 해커가 급증하고 있다”며 “여러 사람에게 박리다매식으로 돈을 뜯어내는 수법이 효율적이라고 보는 것”이라고 설명했다.
보이스피싱은 수사 자체에 시간이 오래 걸리는 데다 이미 돈이 중국 등 해외로 빠져나간 경우 회수하기도 쉽지 않다. 금융감독원에 따르면 2018년부터 올 6월까지 18개 시중은행 계좌에서 보이스피싱으로 유출된 피해금액 1조289억원 가운데 70%가량인 7176억원이 회수되지 않은 것으로 나타났다.김주환 서울지방경찰청 사이버안전팀장은 “사고 발생 전에 어떻게든 막는 것이 최선”이라며 “개인 단말기나 기업 네트워크 단계에서 각자 보안 조치를 강화해야 한다”고 말했다.
한국기업 표적 '해커 공격' 전방위 확대
"당장 침투 가능한 韓기업 700곳 정보 팔아요"
한국 기업을 노린 전 세계 해커들의 공격이 전방위로 확대되고 있다. 올해 한국인터넷진흥원(KISA)이 접수한 민간 기업 피해사례는 최근 10년 새 최대치를 기록했다. 2010년 53건에 그쳤던 신고 건수가 올해 9월까지만 455건으로 집계됐다. 정보보호업계 관계자는 “(기업들이) 신고를 꺼려 알려지지 않은 사례까지 합하면 해킹 피해 건수는 올해만 수천 건에 달할 것”이라고 분석했다.세계 해커들은 인터넷주소(IP) 파악이 불가능한 ‘다크웹’에서 국내 기업을 대상으로 해킹을 모의하고 있는 것으로 알려졌다. 11일 보안 소프트웨어 업체 에스투더블유랩에 따르면 ‘내부 네트워크에 침투 가능한 한국 기업 700여 개 목록’을 판매한다는 글이 다크웹에서 발견됐다. 기업·하나·국민은행 등을 언급하며 관련 데이터를 사겠다는 글도 올라와 있다. 또 다른 다크웹 사이트에서는 네이버, 한화그룹, 연세대, 서울 중구 등 국내 기업과 대학, 지방자치단체 소속 직원의 전화번호, 이메일 주소와 비밀번호가 고스란히 노출됐다.
최근 해커들은 전통적 해킹 방식인 디도스(DDoS:분산서비스거부), 랜섬웨어 공격 수법을 변주하고 있다. 추석 연휴 기간인 지난 1~4일 내내 CJ, 한화, 포스코 등 대기업과 한국전력공사, 우리·하나·기업·부산은행 등이 한 해커그룹(펜시베어)으로부터 ‘랜섬 디도스’ 공격을 받았다. 일시적으로 막대한 트래픽을 일으켜 서비스를 마비시킨 뒤 추가 공격을 받기 싫으면 돈을 내라고 요구하는 방식이다.
랜섬웨어 해커들도 공격 방식을 바꿨다. 기존 랜섬웨어 공격은 기업 네트워크에 침입해 데이터를 탈취, 암호화한 뒤 풀어주는 조건으로 돈을 요구했다. 최근 해커들은 탈취한 데이터를 ‘세상에 뿌리겠다’고 으름장을 놓고 있다. SK하이닉스, LG전자 등 국내 기업뿐 아니라 폭스바겐, 메리어트인터내셔널, 푸조 등 글로벌 기업도 비슷한 방식으로 피해를 봤다.
해커들은 통상 데이터 몸값(랜섬)으로 10억원 전후를 요구해왔는데, 최근 들어 액수가 커지고 있다. 해커집단 넷워커는 파키스탄의 전력회사 K일렉트릭을 랜섬웨어로 공격한 뒤 대가로 385만달러(약 44억원)를 요구하기도 했다. 지난달엔 독일 뒤셀도르프대 대학병원이 랜섬웨어 공격을 받아 진료 시스템이 마비됐고, 인근 병원으로 환자를 긴급 수송하는 과정에서 사망자가 발생했다.
기업 공격용 랜섬웨어 수요가 국내외에서 높아지면서 일부 해킹 조직은 ‘글로벌 기업’으로 진화했다. 메이즈, 소디노키비, 콘티, 넷워커, 라그나로커 등이 대표적이다. 이들은 개발팀, 공격팀, 데이터 관리팀, 피해 기업 대응팀 등 특화된 조직을 짰다. LG전자와 SK하이닉스를 공격했던 곳이 메이즈다. 한 보안업체 관계자는 “해커들 사이에서 한국 기업은 돈을 뜯기 쉬운 곳으로 소문나 있다”며 “정기적인 모의 훈련 등을 통해 방어 능력을 키워야 한다”고 말했다.
정부·공공기관 절반이 사이버 공격에 '무방비'
해킹시도 작년에만 12만5천건
정부·공공기관을 노린 해킹도 기승을 부리고 있다. 11일 김태흠 국민의힘 의원이 국가정보자원관리원에서 제출받은 자료에 따르면 2015년 5만2795건이었던 중앙행정기관 해킹 시도는 지난해 12만4754건으로 두 배 이상으로 늘었다. 최근 5년 동안 중앙행정기관에선 34건, 지방자치단체에선 13건의 보안 사고가 일어난 것으로 전해졌다. 보안업계 관계자는 “정부·공공기관은 민간 기업에 비해 훨씬 폭넓은 국민 개인정보를 취급할 뿐만 아니라 원자력발전소 등 핵심 기간시설을 운영하고 있다”며 “중요 정보가 해킹되면 그 피해는 걷잡을 수 없이 커질 것”이라고 우려했다.보안 위협이 커지고 있지만 정부부처와 공공기관의 절반 가까이는 사이버 공격에 사실상 무방비 상태인 것으로 드러났다. 국가정보원 등이 최근 발간한 ‘2020 정보보호백서’에 따르면 정보보호 전담부서를 운영하는 정부부처 및 공공기관은 전체의 52.4%에 불과했다. 전담부서를 운영하는 경우에도 32.1%는 부서 인력 수가 2명 이하였다.
보안 관련 규정을 슬그머니 완화한 사례도 포착됐다. 한국전력공사는 최근 원격검침인프라(AMI) 구축사업 공고를 내며 주요 보안 지침을 삭제했다. 민간 사업자들이 검침기가 작동할 때마다 악성코드 감염 여부를 확인하는 ‘시큐어부트’ 기능을 제품에 적용하지 않아도 사업에 참여할 수 있도록 했다. 해당 규격에 맞는 제품을 생산하는 사업자가 드물다는 이유에서다. 한 보안 전문가는 “검침 기기가 해킹되면 통신망으로 연결된 한국전력공사의 시스템까지 위험할 수 있다”고 지적했다.부실한 보안 실태가 꾸준히 도마에 오르고 있지만 정부·공공기관의 보안 역량을 끌어올릴 법제도는 미비한 상태다. 지난해 6월 개정된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따르면 자산총액 5조원 등 일정 규모 이상의 민간 정보통신서비스 제공자는 임원급의 전담 최고정보보호책임자(CISO)를 지정하고 과학기술정보통신부에 신고해야 한다. 그러나 정부부처, 공공기관은 책임자를 지정해야 할 의무가 없다. 지난 20대 국회에서 모든 정부부처와 공공기관에 CISO 지정을 의무화하는 개정안이 발의됐지만 다른 법률에 밀려 통과되지 못했다.
최다은/김남영/김종우/최한종/이해성 기자 max@hankyung.com