"고객센터에서 보낸 줄 알았는데..." 정보 탈취형 사칭 이메일 급증

넷플릭스, 애플 등 유명 서비스 사칭해 로그인 정보 입력 유도

금융 피해는 물론 기업 내부정보 접근 권한까지 유출 우려

2단계 인증, 서비스별 다른 비밀번호 적용 등 보안 수칙 지켜야

[사진=게티이미지뱅크]

#1. 평소 OTT를 즐겨 보는 A씨는 최근 '넷플릭스 구독 갱신과 계정 확인'이라는 제목의 이메일을 받았다. 구독이 곧 만료된다는 내용이다. 메일 본문에 있는 인터넷 주소가 넷픽스(Netfix)라 이상하기는 했지만, 링크를 눌러보니 보안접속 확인 페이지가 나와 의심을 풀었다. 확인 페이지에서 '사람입니다'를 클릭하니 넷플릭스 홈페이지가 나왔고, 구독 갱신을 위해 카드 번호와 만료일자 등을 입력했다. 며칠 뒤 여기에 입력한 카드 정보가 해외 결제에 악용되면서, A씨는 자신이 피싱에 속았다는 것을 알게 됐다.
 
#2. 아이폰을 사용하는 B씨는 최근 애플 고객지원 팀으로부터 이메일을 받았다. '누군가가 당신의 애플 계정으로 결제했으니, 본인이 구매한 것이 아니라면 지원 부서에 문의하라'는 내용이다. 자신도 모르는 결제 내역에 당황한 B씨는 메일에 있는 지원센터 아이콘을 눌러 사이트에 접속하고, 아이디와 비밀번호를 입력해 로그인을 시도했다. 실제 문제는 이후에 발생했다. 자신의 아이클라우드에 해커가 무단으로 로그인해, 사진이나 연락처 등을 유출했다. 공식 사이트로 알았던 곳은 계정 탈취를 위해 만들어진 가짜 사이트였다.

최근 넷플릭스나 애플 등 유명 서비스 고객센터를 사칭해 사용자 계정(아이디, 비밀번호 등)과 금융 정보를 빼내려는 시도가 이어지고 있다. 특히 챗GPT 등 생성형 인공지능(AI)이 발달하면서 공격자는 이전보다 더 쉽게 이들을 사칭하는 이메일을 작성할 수 있다. 이에 따라 사용자의 계정 보안 강화 필요성도 더 커지고 있다.

카카오 등 국내 서비스 역시 사칭 대상이 되고 있다. 국가정보원에 따르면 북한 사이버 공격 조직은 사용자가 이메일 발송자를 확인할 때 '발신자명'만 보는 점을 악용한다. 북한이 국내 포털 사이트를 사칭하는 비율은 전체 피싱 이메일의 68%나 된다는 것이 국정원의 설명이다.

피싱 이메일 건수도 크게 늘었다. 글로벌 보안 기업 아크로니스는 2023년 상반기 피싱 이메일이 전년 동기 대비 464%나 급증했다고 발표했다. 특히 공격자는 생성형 AI와 대화형 챗봇 등을 공격에 도입하는 추세다. 메시지를 대량으로 생산하는 것은 물론, 이메일 필터링을 회피할 수 있도록 자연스러운 문장을 만들어낸다.

이렇게 유출된 개인 정보는 금전적인 피해뿐만 아니라 기업 내부정보 접근에도 악용될 수 있다. 특히 동일한 아이디와 비밀번호를 여러 서비스에 이용할 경우, 공격자가 여러 웹사이트에 대입을 시도하는 '크리덴셜 스터핑' 공격에도 노출될 수 있다.

보안 업계에선 이를 예방하기 위해 사용자 스스로 보안 수칙을 준수해야 한다고 강조한다. 우선 아이디·비밀번호 외에 스마트폰 등을 이용한 2단계 인증을 설정해야 한다. 공격자가 유출된 계정정보로 로그인을 시도하더라도, 2단계 인증 수단 없이는 접속이 불가능하기 때문에 피해를 예방할 수 있다.

또한 계정마다 서로 다른 아이디와 비밀번호를 적용해야 하며, 특히 개인용 계정과 업무용 계정을 완전히 구분하는 것이 좋다. 이 밖에도 수신한 이메일 주소가 실제 해당 기업의 공식 이메일이 맞는지 확인하고, 메일에 포함된 URL은 함부로 클릭하지 말아야 한다.