“당신의 비밀번호가 만료되었습니다. 즉시 업데이트하지 않으면 계정이 제한됩니다.”
혹시 이런 이메일을 받은 적이 있는가? 얼핏 보면 기업 보안팀이 보낸 것처럼 보이지만, 사실은 피싱(Phishing) 사기의 대표적인 수법이다. 이메일을 열어 링크를 클릭하는 순간, 당신의 로그인 정보는 해커의 손에 넘어간다.
문제는 이런 피싱 공격이 점점 더 정교해지고 있으며, 이제 단순한 개인 사용자가 아닌 기업과 공공기관까지 주요 타겟이 되고 있다는 점이다. 그렇다면, 실제로 어떤 방식으로 피싱 사기가 이루어지고 있으며, 우리는 어떻게 대응해야 할까?
피싱 사기, 신뢰를 무기로 한 공격
2024년 4월, 한 회계법인이 피싱 공격의 중간 매개체로 활용되는 사건이 발생했다. 공격자는 먼저 회계법인의 이메일 계정을 탈취한 후, 기존 고객들에게 정상적인 세금계산서 메일을 보내는 것처럼 위장했다. 그러나 몇 시간 후, 동일한 발신자로 보이는 피싱 이메일이 재발송되었고, 그 안에는 악성 파일이 포함되어 있었다. 수신자가 아무 의심 없이 파일을 열자, 악성 코드가 시스템에 설치되었고, 내부 문서와 금융 정보가 유출되는 피해가 발생했다.
이 사건은 해커들이 단순한 가짜 이메일을 보내는 것이 아니라, 이미 신뢰를 구축한 메일 계정을 악용하여 더욱 정교한 공격을 시도한다는 점에서 위험성이 크다. 단순히 이메일의 도메인을 확인하는 것만으로는 이런 공격을 막을 수 없다는 의미다.
2024년 12월, 국내 금융권을 대상으로 대규모 피싱 공격이 진행되었다. 공격자는 ‘계정 정보 업데이트’ 또는 ‘보안 강화를 위한 비밀번호 재설정’이 필요하다는 내용을 포함한 이메일을 대량 발송했다. 사용자가 해당 이메일 내 링크를 클릭하면, 실제 금융기관 웹사이트와 거의 동일한 가짜 로그인 페이지로 연결되었다. 여기서 로그인 정보를 입력하는 순간, 계정 정보가 해커에게 실시간으로 전송되었고, 이를 활용한 불법 금융 거래가 발생했다.
특히, 일부 기업에서는 직원들의 계정이 탈취되어 내부 시스템에 대한 접근이 시도되기도 했다. 다행히 보안팀이 신속하게 대응하여 추가 피해를 방지했지만, 이번 사건은 기업 차원에서의 보안 경각심이 필수적이라는 점을 다시 한 번 강조하는 계기가 되었다. 더 나아가, 공격자는 단순히 가짜 로그인 페이지를 만드는 것이 아니라, 이메일을 받는 사람의 회사와 똑같이 꾸민 가짜 사이트를 제작하여 피해자를 속이는 경우도 있었다.
정부 기관을 사칭한 피싱 공격도 빠르게 증가하고 있다. 2024년 초, 한 공공기관의 직원들은 정부 공식 메일과 유사한 발신 주소에서 ‘긴급 공문 다운로드’를 요청하는 이메일을 받았다. 많은 직원들이 별다른 의심 없이 문서를 다운로드하고 로그인 정보를 입력했으며, 이후 공격자는 이를 활용해 기관의 내부 시스템 침투를 시도했다. 결과적으로 기밀 문서가 유출되었고, 비슷한 방식의 공격이 연이어 발생했다.
이뿐만 아니라, 피싱 공격자들은 대기업의 이메일을 사칭하는 수법도 사용했다. 예를 들어, 글로벌 IT 기업이나 금융사를 사칭하여 직원들에게 이메일을 발송하고, 가짜 결제 요청이나 계약서 검토를 요구하는 사례가 보고되었다. 이러한 공격 방식은 실제 기업과 거의 동일한 이메일 형식을 갖추고 있어 더욱 위험하다.
피싱 사기의 주요 특징과 예방 방법
피싱 이메일은 보통 긴급성을 강조하며 사용자가 빠르게 반응하도록 만든다. ‘즉시 조치하지 않으면 계정이 정지된다’는 문구가 대표적이며, 사용자가 당황한 나머지 링크를 클릭하도록 유도한다. 하지만 기업이나 금융기관은 실제로 이런 방식으로 사용자에게 비밀번호 변경을 요구하지 않는다. 따라서, 이메일이 너무 긴급한 분위기를 조성한다면 한 번 더 의심해볼 필요가 있다.
이메일 내 링크를 클릭하기 전에는 반드시 URL을 확인해야 한다. 링크 위에 마우스를 올려놓으면 실제 연결될 주소가 나타나는데, 이 주소가 공식 기관과 다르다면 피싱 가능성이 크다. 발신자의 이메일 주소 또한 꼼꼼히 확인해야 한다. 공식 기관처럼 보이지만 도메인이 미세하게 다른 경우가 많기 때문이다.
이중 인증(2FA)을 활성화하는 것도 효과적인 예방책이다. 비밀번호가 유출되더라도 공격자가 추가 인증을 통과하지 못하면 피해를 막을 수 있다. 기업 차원에서는 정기적인 보안 교육과 피싱 이메일 모의 훈련을 통해 직원들의 대처 능력을 키워야 한다.
피싱 이메일을 받았다면?
피싱 이메일을 발견하면 즉시 기업의 IT 보안팀이나 한국인터넷진흥원(KISA)에 신고해야 한다. 또, 주변 동료들에게 공유하여 추가 피해를 방지하는 것이 중요하다.
피싱 공격은 점점 더 정교해지고 있으며, 개인뿐만 아니라 기업과 공공기관까지 주요 타겟이 되고 있다. 중요한 것은 ‘나는 속지 않는다’는 생각을 버리는 것이다. 보안은 개인의 경각심에서 시작된다. 작은 실수가 기업 전체를 위험에 빠뜨릴 수도 있다는 사실을 기억해야 한다.
