회사원 서모씨(28)는 최근 인터넷 홈페이지 단축 주소 때문에 곤욕을 치렀다. 거래처 직원이 보내온 메신저 쪽지글 끝의 단축 주소를 무심코 클릭했다가 악성코드에 감염됐다. 평소 잘 알고 지내는 사람이라 별 의심 없이 클릭했다가 '낚인' 것이다. 물론 거래처 직원의 아이디는 해킹당한 것으로,그는 서씨에게 해당 메신저를 보낸 일이 없다.

서씨와 같이 가짜 단축 주소에 당하는 사례가 늘고 있다. 단축 주소는 장황한 인터넷 접속 주소(URL)를 10자 내외의 짧은 주소로 압축시키는 것이다. 140자로 글자 수가 제한돼 있는 트위터 등 소셜네트워킹사이트(SNS)가 유행하면서 SNS 이용자들에게 단축 주소는 필수품처럼 인식되고 있다. 'bit.ly'나 'tinyurl.com'등 단축 주소 발급 사이트에 들어가 원래 URL을 입력하면 간단하게 단축 주소를 발급받을 수 있다.

문제는 '단축주소 피싱'이 스팸메일과 악성코드 전파의 온상이 되고 있다는 점이다. 서씨의 경우처럼 악성코드에 감염되면 심할 경우 '좀비PC'가 돼 스팸 메시지를 걸러내는 프로그램을 무력화시키면서,자신도 모르게 스팸메일 유통의 본거지가 될 수 있다. 과거 같았으면 눈에 익숙지 않은 짧은 하이퍼링크 형태의 단축 주소에 의심을 가졌겠지만,최근 단축 주소가 일반화된 데다 발신인도 지인으로 된 경우가 많아 별 의심 없이 클릭하게 된다. 사람들 사이의 관계를 이용한 '소셜 IT 서비스'의 허점을 단단히 파고들고 있는 셈이다.

보안업체 시만텍이 발간하는 '월간 스팸 및 피싱 현황 보고서' 7월호에 따르면 전체 스팸메일 가운데 단축 주소를 포함하는 스팸메일의 비율이 일일 기준 최대 18%로 전년 동기 대비 두 배 이상 늘었다. 트위터에서도 이용자들 간 일대일 메시지인 '다이렉트 메시지'에서 가짜 단축 주소를 이용해 스팸과 악성코드를 전달하는 사례가 증가하고 있다.

하지만 현 상황에서 뚜렷한 해결책은 찾기 어렵다. 보안 전문가들은 "현실적으로 단축 주소를 통한 스팸메일을 막을 묘안은 아직 없다"고 설명했다. 단축 주소 서비스를 규제하기가 불가능하다는 점도 지적된다. 네티즌의 '바이러스 보안'리스트 상단에 '단축주소 피싱'을 올려야 할 때가 됐다.

조귀동 기자 산업부 claymore@hankyung.com