[아주 돋보기] 카카오톡 어장서 물고기 노리는 낚싯바늘 더 교묘해졌다

2021-11-09 16:33
유명 기업 사칭 메일로 카카오톡 채널 추가 유도하는 피싱 기승
큰 금액이 결제됐단 내용으로 수신자 불안감 높여 계정 탈취

[사진=게티이미지뱅크]

개인정보를 낚으려는 미끼가 점점 교묘해지고 있다. 과거 피싱 메일은 어색한 번역체와 서툰 한국어로 작성돼 사기라는 점을 쉽게 알아챘다. 하지만 최근 배포되고 있는 피싱 메일은 유명 서비스를 사칭하고, 내용도 공식 메일과 크게 다르지 않아 구분하기 어려워지고 있다. 이 중 국민 메신저 '카카오톡'을 이용한 피싱 사기가 대표적이다. 하지만 금융당국은 은행권 메시지를 카카오톡으로 일원화하는 방안을 추진하고 있어 피해를 키울 수 있다는 지적이 나온다.

9일 온라인 커뮤니티 등에는 최근 카카오톡 채널 추가를 유도한 뒤 개인정보를 요구하는 메일을 주의하라는 글이 공유되고 있다. 경기도 화성에 사는 주부 A씨는 지역 주민들이 모인 온라인 카페에 "최근 카카오 게임즈에서 약 50만원이 결제됐다는 메일이 왔다. 순간 가슴이 철렁해 아이들에게 확인했으나 게임 결제를 한 적이 없다더라"며 해당 메일이 피싱 사기인지를 물었다. A씨가 받은 메일 내용을 보면 발신인에는 카카오게임즈라고 적혀 있다. 본문에는 인증번호를 비롯해 서비스명과 상품명, 결제수단, IP 등 구매내역이 구체적으로 적혀 있다. 카카오게임즈 공식 로고까지 갖추고 있어 공식 메일로 오해하기 쉽다.
 

[사진=이스트시큐리티 시큐리티대응센터(ESRC) 제공]

이어 발신인은 "직접 결제요청을 하지 않았으나 이 메일을 받았다면 카카오톡 검색창에 ○○○ 채널을 검색해 추가한 뒤 상담원에게 상담 요청을 하라고 요구했다. 실제로 메일에 언급된 채널명을 카카오톡에 검색하면 해당 이름을 가진 채널이 하나 등장한다. 하지만 이는 피싱 사기범들이 숨겨놓은 '지뢰'다. 해당 채널에 상담 요청을 하면 상담원은 개인정보 유출피해와 피싱 등의 이유로 비정상적인 로그인 감지가 발생한다며 카카오 계정에 등록된 휴대폰 번호와 비밀번호를 요구한다. 하지만 이런 개인정보 요구에 절대 응해선 안 된다. 모두 피싱 사기에 해당하기 때문이다.

이스트소프트의 보안 사업 전문 자회사인 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이런 수법은 지난 9월에 처음 등장한 뒤 꾸준히 내용이 바뀌며 유포되고 있다. ESRC는 "최근 넥슨과 카카오게임즈, 멜론 등 여러 사람이 이용하는 서비스를 사칭한 피싱 메일이 유포되고 있다. 이들은 결제가 됐다는 내용으로 메일 수신자의 불안감을 높인 뒤 카카오톡 내 특정 채널 검색을 유도한다"고 경고했다.

이어 해당 카카오톡 채널의 친구 수를 보면 사칭 계정이라는 점을 알 수 있다고도 덧붙였다. ESRC는 "피싱 메일에서 안내한 채널이 실제 카카오톡에서 검색되더라도 공식 채널이라기엔 친구 수가 없거나 적은 수준"이라며 "특정 서비스나 브랜드의 카카오톡 채널로 유도할 경우 친구 수를 확인하면 피싱이라는 점을 알아챌 수 있다"고 설명했다.
 

[사진=게티이미지뱅크]

이처럼 카카오톡을 이용한 피싱 수법이 점차 교묘해지면서 피해 규모는 커지고 있다. 국회 정무위원회 소속 국민의힘 강민국 의원이 금융감독원으로부터 받은 자료에 따르면 2018~2020년 메신저 피싱 피해 건수는 모두 2만6834건, 피해 금액은 931억원에 달한다. 이 중 상당수는 카카오톡이 연결고리였다. 같은 기간 카카오톡을 통해 발생한 메신저 피싱 건수는 전체의 81.1%(2만1768건)였으며, 피해 금액도 전체의 77.2%(719억원)에 달했다.

하지만 금융당국은 대부분의 메신저 피싱이 카카오톡에서 발생하는 점을 고려하지 않고 은행권 메시지를 카카오 알림톡으로 일원화하는 방안을 추진하고 있어 피싱 피해를 키울 수 있다는 지적이 나온다. 강 의원은 "메신저 피싱 피해사례 대부분이 카카오톡을 통해 발생하고 있다"며 피해 최소화를 위한 대책 마련이 필요하다는 입장을 밝혔다. 이어 "최근 정부가 메신저 피싱을 방지하기 위해 은행권의 광고 메시지를 한시적으로 카카오 알림톡으로 일원화하는 방안을 추진하고 있지만, 오히려 스팸 사기 조직의 표적이 돼 사기가 증가할 가능성이 높다"고 지적했다.

한편 ESRC는 "무단결제나 계정도용과 같은 메일을 받았다면 반드시 공식 고객센터를 통해 관련 내용을 문의해야 한다"고 당부했다. 또 "어떤 경우에도 비밀번호를 요구하는 공식 채널은 없다"고도 강조했다.
 

[그래픽=아주경제DB]