특정인 겨냥한 '스피어피싱'…대규모 해킹 불씨

회사에서 개인 메일 열람 피해야

인터파크 해킹 사건의 시발이 직원 1명을 표적으로 삼은 '스피어피싱'(작살형 피싱)이었던 것으로 확인되면서 이런 지능형 해킹에 대한 주의가 필요할 것으로 보인다.

스피어피싱은 개인의 정보를 미리 캐내서 의심 못 할 '맹점'을 찾고 이를 작살(스피어)로 찍듯 공략하는 해킹 방법이다.

특정 인사의 개인 이메일을 해킹해 연락을 많이 하는 지인을 알아내고, 이 사람을 교묘하게 사칭한 악성 코드 메일을 보내는 방식이다.

스피어피싱이 평소 자주 주고받는 메시지를 쉽게 믿는 인간의 특성을 악용한 탓에 일단 표적이 되면 피하기가 어렵다.


친구·가족·교류 단체 등의 이메일 주소를 도용해 문체를 비슷하게 따라 하면서 사진 등 첨부 파일을 열라고 유도하면 이를 의심하지도 못하고 피해를 보는 경우가 많다는 것이 보안 전문가들의 설명이다.

올해 인터파크 사태 때도 해커는 경영관리 직원인 A씨가 개인적으로 쓰는 국내 한 포털 메일의 ID·비밀번호를 가로채고 A씨가 사적으로 누구와 연락하는지를 면밀히 관찰한 것으로 추정된다.

A씨가 동생 등 가족과 이메일로 사진을 많이 주고받는다는 것을 알아낸 해커는 이후 동생의 이메일 주소가 적힌 가짜 이메일을 만들어 A 씨의 포털 메일 계정으로 전송했다.

메일에는 '우리 가족 사진으로 PC의 화면 보호기 화면을 만들었으니 열어보라'는 내용과 함께 압축 파일(zip 파일)이 첨부돼 있었다. 첨부 파일을 열면 바로 A씨 PC에 악성 코드가 설치되도록 만든 '덫'이었다.

A씨는 회사에서 이메일을 확인하면서도 수상하게 생각하지 못했다. 압축 파일에는 해커가 A씨 메일함에서 빼돌린 가족사진이 버젓이 들어 있었다.

이렇게 A 씨의 회사 PC에 몰래 침투한 악성 코드는 인터파크 사내 전산망을 돌며 여러 PC를 감염시켰고 이후 개인정보 관리 PC까지 장악해 1천만 명이 넘는 고객 정보를 유출하는 대형 사고를 일으켰다.

인터파크 사건의 민·관 조사단에 참여한 한국인터넷진흥원의 관계자는 "개인 각자가 스피어피싱을 예방한다는 것은 매우 어려운 일"이라며 "개인 메일을 사내 PC에서 열어보는 일을 가급적 피하고 업무용 이메일 시스템에는 악성 코드를 걸러내는 기능을 탑재해 피해를 막을 수밖에 없다"고 설명했다.

이 관계자는 "첨부 파일을 열어보라거나 자기가 쓰는 비밀번호를 입력해보라는 등의 메일을 받으면 가급적 상대방에게 연락해 진위를 재차 확인하는 것도 필요한 습관"이라고 덧붙였다.

스피어피싱이 개인정보 탈취에만 쓰이는 것은 아니다. 특히 외국 해커들이 우리의 중소 수출 기업에 거래처를 사칭한 메일을 보내 결제 대금을 가로채는 사건은 한해 수십 건 이상 일어나는 것으로 알려졌다.

올해 3월에는 LG화학이 국내 대기업으로는 처음으로 이런 사기 메일에 속아 240억 원을 날리는 일이 있었다.

세계 최대 석유기업인 사우디 아람코 측과 LG 화학 사이의 거래 연락 메일을 미리 해킹해 내용을 연구한 사기범이 사칭 이메일로 '입금 계좌가 변경됐다'고 둘러대자 대기업의 체계적 업무 절차로도 이를 걸러내지 못한 것이다.

작년 12월 우크라이나에서는 스피어피싱 때문에 8만 가구에 전기가 끊기는 테러 의심 사건이 일어났다. 발전소의 특정 직원에게 악성코드 이메일을 보내 발전 시설의 전산망을 망가뜨린 것이다. 우크라이나는 사건의 배후에 영토 분쟁 앙숙인 러시아가 있을 것으로 보고 있다.

실시간 랭킹 뉴스