누르는 순간 개인정보 줄줄 샌다…"카카오 사칭메일 조심"

카카오톡 가입 인증 메일로 위장
갈수록 정교화되는 불법메일
"내용 따라 처벌 어려운 경우도"
카카오 사칭 메일. 사진=온라인 커뮤니티 캡처
"카카오계정 가입을 위한 인증번호입니다. 아래 인증번호를 확인해 이메일 주소 인증을 완료해주세요."
최근 온라인 커뮤니티와 사회관계망서비스(SNS)에서 이같은 내용의 카카오 사칭메일 수신 사례가 잇따라 공유되고 있다. 카카오나 네이버 등 유명 회사나 기관을 사칭한 이른바 '피싱메일'이 최근 유포되고 있어 개인정보 유출 피해 등이 우려된다는 얘기가 나온다.

카카오 가입인증 메일, 누르는 순간 개인정보 유출

25일 정보기술(IT) 업계에 따르면 최근 카카오 사칭 메일을 수신했다는 카카오톡 이용자들이 잇따르고 있다. 최근 한 온라인 커뮤니티에서 한 누리꾼은 "특정한 사이트에 가입하지도 않았는데 갑자기 카카오톡으로 가입 인증 메일이 와 확인해보니 사칭 메일이었다"며 "카카오팀 메일 주소는 'noreply' 인데, 자세히 보니 noreplay로 적혀 있었다"고 했다.또 다른 누리꾼도 "최근에 사용하는 이메일 주소로 아이디를 만들었다는 인증메일이 와 그냥 지나쳤는데, 며칠 후 똑같은 메일이 또 왔다"며 "알고보니 피싱을 유도하는 메일이었다"고 밝혔다. 이 누리꾼은 "메일 내용 안에 작은 동그라미(링크)를 눌러 탭을 열었다면 개인정보 유출로 인한 피해를 봤을지도 모른다"고 했다.

지난 1월 카카오톡 메신저 다운로드 사이트와 똑같은 가짜 피싱 사이트가 기승을 부린데 이어 최근에는 카카오톡 가입 인증 피싱 메일이 확산되고 있다. 카카오톡은 가입시 전화번호 인증을 통해 가입을 할 수 있고, 그 이후에는 이메일 계정을 등록하면 다음·멜론 등 카카오 내 다양한 서비스를 손쉽게 이용할 수 있다. 카카오계정 신규 가입시 거쳐야 하는 인증메일 발송 절차를 '판에 박은듯' 그대로 복사해 피싱 사기에 이용하고 있는 것이다.

카카오 관계자는 "최근 알 수 없는 경로로 이메일 주소를 대량으로 갈취해 카카오 사칭 메일을 보내는 사례가 확인되고 있다"며 "가입인증 메일 피싱 사례를 비롯해 다른 기기 로그인 사례, 해외 접속 사례 등 유형별로 여러가지 피싱 신고가 들어오고 있다"고 말했다. 이 관계자는 "카카오는 개인정보 요구 및 파일을 첨부한 형태(링크 포함)의 메일을 발송하지 않는다"고 덧붙였다.
이미지=한국인터넷진흥원 보고서 캡처

갈수록 정교화되는 불법메일…내용 따라 처벌 어려운 경우도

회사나 기관을 사칭해 개인정보를 탈취해가는 피싱메일이 여전히 이어지고 있어 이용자들의 개인정보 유출 피해가 우려되고 있다. 피싱메일은 공개된 홈페이지나 게시글 등 각종 경로로 수집한 이메일에 대량으로 메일을 보내 이용자들의 개인 정보 또는 기업 내부 민감 정보를 불법 수집한다.

특히 네이버와 카카오 등 포털 운영사의 경우 계정 접속기록과 비밀번호 변경 기록 등을 메일로 알려주고 있는데, 이를 악용하는 사례가 대표적 수법이다. 기업의 경우 발주, 구매, 견적 등 업무 관련 피싱메일 사례가 주로 나타나고 있다. 최근 신종 코로나바이러스 감염증(코로나19) 확산으로 재택근무, 원격교육, 온라인 쇼핑 등이 늘어나면서 이를 악용한 범죄가 갈수록 늘어나고 있다.한국인터넷진흥원에 따르면 지난해 상반기 기준 1인당 1일 이메일 스팸 수신량은 0.31통으로 2019년 하반기(0.29통)보다 0.02통 증가했다. 한 달 동안 약 9.4통의 스팸메일을 받는 셈이다. 최근 5년간 1인당 하루 평균 이메일 스팸 수신량은 2016년 하반기 0.51통에서 2017년 하반기 0.41통으로 점차 감소하고 있으나 최근에는 전문가들도 구별하기 어려울 만큼 정교한 위장술을 갖추고 있어 여전히 피해가 우려되는 상황이다.

다만 이런 불법 사칭 및 스팸메일 등은 내용에 따라 처벌 대상이 아닌 경우가 있어 피해 차단이 쉽지 않은 실정이다. 정보통신망법 제50조에 따르면 '영리목적의 광고성 정보를 전송'하는 불법스팸은 과태료 부과 및 형사 처벌의 대상이 될 수 있다. 하지만 카카오 메일인증 사례의 경우 해당 요건이 충족되지 않는다. 방송통신위원회 관계자는 "카카오 인증메일의 경우 개인정보 탈취 등이 예상되는 사례"라면서 "재화나 서비스 판매 목적의 광고전송에 해당하지 않으므로 스팸으로 분류하기 어려워 처벌하기 쉽지 않은 사례"라고 말했다.

조아라 한경닷컴 기자 rrang123@hankyung.com