온라인 커뮤니티 캡처·구글 AI 스튜디오 캡처최근 고속도로 통행료 미납 고지서를 위장한 피싱 메일이 유포돼 주의가 요구된다. 이메일과 문자로 발송되는 고지서 사칭 사기가 매년 증가하는 등 기승을 부리고 있다.
4일 온라인 커뮤니티에 가짜 고속도로 통행료 미납 고지서를 받았다는 글이 게시됐다. 작성자는 "근처도 가보지 않은 곳에서 날아온 미납 통행료 고지서"라며 "클릭하는 순간 개인정보들이 유출된다"고 경고했다.
작성자가 공개한 캡처 사진을 보면 실제 기관에서 발부한 듯한 미납 통행료 고지서로 보인다.
공개된 피싱 메일. 민자고속도로관리지원센터·수도권서부고속도로 홈페이지 캡처해당 피싱 메일에 사용된 기관인 '민자고속도로관리지원센터'에 따르면 "센터는 이메일로 미납통행료를 고지하지 않는다"며 "최근 센터를 사칭하여 미납통행료 안내문 형태로 발송되는 피싱메일 사례가 발생하고 있다"고 주의를 당부했다.
피싱(Phishing)은 개인정보(Private data)와 낚시(Fishing)의 합성어다. 전화·문자·메신저·가짜사이트 등 전기통신수단을 이용해 피해자를 기망·공갈함으로써 이용자의 개인정보나 금융정보를 빼낸 후, 타인의 재산을 갈취하는 사기 수법을 말한다.
최근에는 대한빙상경기연맹이 피싱 이메일에 속아 수천만원의 피해를 입은 사실이 뒤늦게 알려졌다.
사진은 기사와 직접적 관련 없음. 박종민 기자연맹은 지난 1월 쇼트트랙 국가대표팀을 국제 대회에 출전시키는 과정에서 국제 대회 조직위를 사칭한 이메일에 속아 6천만원의 피해를 당했다.
당시 연맹은 쇼트트랙 월드투어 6차 대회를 앞두고 대회 조직위원회로부터 현지 체류비 사전 청구서와 입금 계좌를 이메일로 받았다. 담당자는 쇼트트랙 대표팀의 이탈리아 밀라노 현지 호텔 숙박비, 식비 등을 포함해 약 3900만원을 송금했다.
이와 비슷한 시기에 연맹은 캐나다 퀘벡에서 열린 쇼트트랙 주니어 월드컵 3차 대회 관계자로부터도 비슷한 이메일을 수신해 2100만원을 보냈다. 그러나 해당 메일은 실제 대회 조직위나 관계자가 보낸 것이 아니었다.
이 같은 피싱 사기는 개인 또는 단체, 기관까지도 노리고 빈번하게 발생하고 있다.
이스트시큐리티 시큐리티대응센터에 따르면 최근 수 년간 국세청 전자세금계산서를 위장한 피싱 메일이 대규모로 유포되는 등의 사례도 발생했다.
국세청 사칭 메일은 국세청 전자세금계산서를 발급해 발송한 메일로 위장했다. 내용을 확인하기 위해 첨부파일을 클릭하게끔 다운로드를 유도했다.
'HTML' 형태 첨부파일을 열면, '문서에 액세스(접근)하려면 연결돼 활성화된 이메일 계정으로 로그인하세요'라며 사용자 신원 확인을 이유로 아이디(ID)·패스워드(PW)를 요구한다. 사용자가 ID·PW 입력 후 문서 보기를 누르면 해커 서버로 사용자 인증 정보 전송된다.
국세청은 '부가가치세 수정 신고 안내'나 '탈세 제보 신고에 따른 소명자료 제출 요청 안내' 등 제목의 사칭 메일에 대해 각별한 주의를 요구했다.
이스트시큐리티 시큐리티대응센터를 위장한 피싱 메일. 이스트시큐리티 시큐리티대응센터 제공해커들은 대담하게도 피싱 범죄 위험을 알리던 이스트시큐리티 시큐리티대응센터를 사칭한 메일도 유포하기도 했다.
당시 센터는 "해당 이메일은 특정 분야의 전문가들을 대상으로 유포되고 있는것으로 확인됐다"며 피싱사이트의 주소와 이메일, 아이피 등을 공개해 피해를 차단했다.
보이스피싱과 달리 대책이 부족한 피싱 범죄
윤창렬 국무조정실장이 지난달 28일 정부서울청사에서 보이스피싱 근절 종합대책을 발표하고 있다. 박종민 기자피싱 범죄의 경우 보이스피싱과 달리 정부 차원의 특별대책이 아직 마련되지 않은 상황이다.
피싱은 이메일, 가짜 웹사이트 등을 활용해 사람들을 속이는 방식인 반면, 보이스피싱은 전화(음성 통화)를 이용해 한다는 점에서 차이가 있다. 스미싱은 문자를 통해 가짜 웹사이트 링크를 보내는 식의 방식이다.
경찰청 통계에 따르면 보이스피싱 범죄 발생건수는 2018년 3만 7667건에서 2022년 1만 8902건까지 감소했지만 이듬해 2만 839건으로 늘어났고, 피싱과 스미싱은 2018년 2271건에서 2023년 5318건까지 증가했다.

정부는 보이스피싱 범죄에 관련해 상황을 심각하게 받아들이고 강력 대응에 나섰다.
윤창렬 국무조정실장은 지난달 28일 '보이스피싱 근절 종합대책'을 발표하면서 "정부는 이번 대책으로 보이스피싱을 반드시 근절하겠다"며 "지금까지는 피해자 혼자 감당해야 했지만 이제는 금융회사도 피해 예방 의무를 지고 범죄 피해가 발생한 경우 피해액의 일부나 전부를 배상하도록 법제화하겠다"고 밝혔다.
이와 대조적으로 피싱 범죄는 한국인터넷진흥원 등이 피싱 예방 및 대응 업무를 담당하고 있지만, 보이스피싱과 같은 범정부 차원의 종합대책은 부재한 실정이다.
피해를 예방하려면 각종 기관을 사칭한 고지서를 받았을 때 발신자와 URL을 반드시 확인하고, 의심스러운 경우 해당 기관에 직접 문의해 진위를 확인해야 한다. 만약 피싱 페이지에 계정정보를 입력했다면 즉시 비밀번호를 변경하고 '2단계 인증' 등과 같은 추가 보안을 설정해 피해를 방지해야 한다.
피싱이 의심되는 상황에서는 한국인터넷진흥원 보호나라나 국번없이 118로 신고해야 한다.