“네이버랑 똑같은데 가짜”…‘최저가’ 미끼 불법 피싱사이트 주의보
호기심 자극하는 게시물 가득한 피싱 사이트…넋 놓고 누르면 나도 모르는 사이에 정보 유출돼
소비자들의 호기심을 자극하는 게시물이 가득한 피싱 사이트가 최근 범죄에 이용되고 있다. 또 결제 창 등을 사칭해 사용자의 정보 탈취 혹은 사기 행위를 벌이는 피싱 사이트도 다수 발견되고 있다. 주의 깊게 살피지 않는다면 누구나 피해를 입을 수 있어 주의가 필요하다.
피싱 범죄란 개인정보(Private data)와 낚시의 피싱(Fishing)의 합성어로 개인 정보를 낚시한다는 의미를 지니고 있다. 기술적인 취약점보다는 사회적 공학 기법을 기반으로 해 인간의 심리를 교묘하게 이용한 기만 공격으로 정의할 수 있다.
소비자들의 호기심을 자극하는 게시글, 메일, 문자 등 통신매체를 이용해 미리 구축된 피싱 사이트에 접속을 유도한다. 공격자의 목적에 따라 정보 유출 및 악성코드 감염, 허위 사실 유포, 금융 정보 유출 등 생각지도 못했던 다양한 피해가 발생하고 있다. 특히 로그인, 카드 결제 등 사람들이 생각없이 이용하고 있는 곳에서 피싱 사이트가 활용되고 있다.
각 피싱 사이트마다 유출되는 정보가 다르다. 로그인을 유도하는 피싱 사이트의 경우 포털이나 메일 계정이 유출되는 경우가 많다. 금융 정보 유출을 목적으로 한다면 온라인 사이트를 피싱 사이트로 제작하고 있다. 특히 온라인 청첩장처럼 짧은 시간 필요에 의해 제작된 사이트의 경우에는 악성코드에 감염될 우려가 있어 주의가 필요하다.
피싱 사이트는 간단하고 조악하게 제작된 사이트부터 코드 난독화 기법을 활용해 교묘하게 만들어진 사이트까지 존재한다. 모바일 접속만 가능한 사이트, 실시간 이미지 등 콘텐츠 복사가 연동되는 사이트 등 다양한 유형으로 존재하다 보니 화면에 나타난 콘텐츠만으로는 정상적으로 운영되는 사이트인지 피싱 사이트인지 쉽게 구별하기 어렵다.
피싱 사이트와 관련된 소비자들의 인식과 주의가 높아지면서 사용자들의 의심을 줄이기 위해 최근에는 더욱 교묘해진 방법이 적용된 피싱 사이트들이 발견되고 있다. 정상 사이트에서 제공하는 서비스까지 제작해주는 피싱 키트가 유포되는 등 다양한 방면으로 진화되고 있는 모습이다.
기존에는 네이버 로그인 페이지를 복제해 사용자들의 로그인을 유도했다. 최근에는 실시간으로 원본 사이트에서 볼 수 있는 콘텐츠까지 복제하는 방식으로 뉴스, 광고, 증권 등 세부 서비스까지 동일하게 모방해 제작해 놓은 것이 특징이다.
8일 국내 한 커뮤니티에는 100만원짜리 이어폰을 저렴하게 구매하려고 하다가 피싱 사이트에 속을 뻔했다는 글이 올라왔다. 작성자에 따르면 “새 상품 기준 100만원이 넘는 상품이 20만원에 판매되고 있는 것을 확인하고 가장 저렴하게 판매하고 있는 판매자에게 자세한 유닛 사진을 보여 달라고 채팅을 걸었는데 답장이 없었다”며 “이후 다른 아이디를 이용해 구매하겠다는 메시지를 판매자에게 보내니 결제할 수 있는 사이트 주소를 받았다”고 했다.
이후 작성자는 “결제 방식이 이상해 사이트에 들어가 보니 주소도 이상하고 안전 결제를 제외하고는 아무것도 클릭할 수 없었다”며 “실제 네이버 중고나라 사이트에는 해당 제품이 판매되지 않았고 네이버 페이도 실제 사이트와 유사하게 만들었지만, 내 배송지가 입력돼 있지 않은 모습이 이상해 결제를 취소했다”고 덧붙였다.
소비자들은 자체적으로 이러한 피해를 막기 위한 방법도 공유하고 있다. 판매자가 채팅으로 안전 결제를 요구할 경우에는 거래를 피하는 것이 좋고, 사기 신고 내역이 있는 계좌일 경우 송금 전 경고 문자가 뜨는 카카오뱅크와 토스를 이용하는 것을 권하고 있다.
전문가들도 이러한 피해를 예방하기 위해서 중고 거래를 할 때도 신뢰하지 않는 사이트는 이용하지 않는 것이 좋으며, 새로운 사이트를 접속할 경우에는 습관적으로 url을 확인할 필요가 있다다고 조언했다.
곽대경 동국대 경찰행정학과 교수는 “여러 기관에서 피싱 사이트를 막기 위한 노력은 하고 있지만 기술도 계속해서 발달하고 있기 때문에 이를 활용 위협은 더욱 증가할 것으로 예상되기 때문에 개인적으로도 피해를 막기 위한 노력이 필요하다”며 “가장 먼저 이러한 피해를 막기 위해서는 신뢰할 수 없는 사이트는 이용하지 않는 것이 좋고 습관적으로 url을 확인하는 버릇을 가지는 것이 좋다”고 말했다.
#피싱 #사기 #이어폰 #커뮤니티