공무원 시험을 앞둔 수험생 박모씨는 이메일을 확인하다가 정부기관에서 보내온 '전자민원 서비스 안내(벌과금 납부 안내)'라는 제목의 메일을 발견했다.

왜 이런 메일이 왔을까 의아해하며 메일을 열어본 박씨는 깜짝 놀랐다.

불법도박 사이트에 가입했으니 도박죄로 벌금을 내야 한다는 내용이었기 때문이다.

게임사이트 이름을 보니 오래 전에 가입했던 것 같기도 했다.

납부기한 내에 벌금을 안 내면 처벌을 받는다고 하니 공무원 임용에 문제가 생길까 불안해진 박씨는 세부내용을 보려면 설치해야 한다는 전용뷰어파일을 아무런 의심 없이 다운로드 받았다.

그 파일에 악성코드가 숨겨져 있는 것을 몰랐던 박씨는 벌금 내역 조회를 위해 메일에서 안내한 홈페이지에 접속했다가 피싱 사이트로 연결된 것.결국 안내문을 믿고 위조된 홈페이지에서 주민등록번호와 이름을 입력했고 벌과금 미납 사실을 확인했다.

박씨는 가짜 민원안내상담원이 알려준 계좌번호로 수십만원을 송금하고 말았다.

박씨의 사례는 지난 1월 발생했던 '검찰청 사칭 피싱사고'로 점점 교묘해지는 피싱 피해유형을 보여준다.

피싱이란 이메일 등을 보고 클릭하면 진짜처럼 보이는 가짜 홈페이지로 유도해 개인정보를 빼내거나 악성코드를 심는 등의 해킹 수법을 말한다.

금융회사를 사칭해 돈을 빼가는 수법으로 자주 쓰인다.

지난 4월 한국정보보호진흥원(KISA)에 접수된 피싱 경유지 신고건수 중 85.1%가 금융회사일 정도다.

피싱을 예방하려면 일단 믿을 수 없는 이메일이나 게시판 글을 클릭하지 말아야 한다.

의심쩍으면 직접 공식홈페이지 주소를 입력해서 방문하거나 고객센터로 전화를 걸어 확인하는 것이 안전하다.

로그인하기 전에 한 화면에 여러 가지 개인정보를 한꺼번에 입력하도록 요구하는 경우에도 일단 의심해 보는 게 좋다.

또다른 예방 방법은 평소에 컴퓨터 보안관리를 철저히 하는 것이다.

보안이 취약한 상황에서는 악성코드가 숨겨진 웹사이트를 방문하기만 해도 감염될 수 있기 때문이다.

백신프로그램을 실시간으로 구동되게 하고 윈도 보안패치를 자동으로 업데이트하는 게 좋다.

보호나라 홈페이지(boho.or.kr)에서 제공하는 'PC 자동보안 업데이트' 프로그램을 이용하는 것도 방법이다.

피싱인지 아닌지 의심될 때는 관계기관에 직접 확인해야 한다.

피싱사이트로 확인되면 KISA 인터넷침해사고대응지원센터로 신고하면 된다.

방법은 국번없이 118번으로 전화하거나 홈페이지(krcert.or.kr)에 접속하면 된다.

민지혜 기자 spop@hankyung.com

도움말=허창열 KISA 인터넷침해사고대응지원센터 대응지원팀장