"군대 언제가?" BTS 멤버도 속은 카톡…정보 빼간 이 수법

스피어피싱 주의보…노드VPN "메시지 의심스러우면 직접 전화해야"

/사진=뉴스1

"아 참 전화번호가 없다. 백업이 안 됐나봐"(BTS 멤버로 사칭한 A씨)
"010-0000-0000 이겁니다"(빅히트뮤직 소속 가수)

"10월에 앨범 나오면 군대는 연말에 가나?"(전 BTS 담당 PD로 사칭한 A씨)
"아마 내년에 가지 싶어요! 한 번 미룰 기회 남아가지고, 죽겄습니다 형ㅜ"(BTS 멤버)

BTS(방탄소년단) 멤버·PD로 위장한 20대 남성 A씨가 다른 멤버 등에게 메시지를 보내 각종 미공개 정보를 탈취한 사건이 보안업계의 관심을 끌고 있다. 기술적 공격에 비해 언급이 덜했던 '스피어피싱(Spear-Phishing)'의 심각성을 보여준 사례다.

13일 보안업계에 따르면 노드VPN(NordVPN)은 지난달 28일 소셜 엔지니어링(인간 기반 해킹) 공격의 유형과 예방요령을 게시하고 주의를 당부했다. A씨가 징역 1년 실형을 선고받았다는 기사가 보도된지 나흘 뒤였다.

노드VPN에 따르면 스피어 피싱은 고객센터로 위장한 앵글러 피싱, 심리적 조종을 시도하는 캣 피싱, 허위 경고문·기술지원 메시지로 피해자를 압박하는 스케어웨어 공격 등과 함께 소셜 엔지니어링으로 분류된다. 디지털 시스템의 취약성보다 인간의 약점을 악용하는 수법이다.

스피어피싱은 사용자 정보, 컴퓨터 네트워크, 기업 자금 등에 대한 접근 권한을 가진 개인이 공격 대상이다. 노드VPN은 "해커는 SNS(사회관계망 서비스) 등을 통해 공격 대상을 물색하고. 이 공격 대상이 알고 있고 신뢰하는 사람이 보낸 것처럼 보이거나 이미 익숙한 상황을 언급하는 메시지를 작성한다"고 밝혔다.

노드VPN은 "해커는 스피어피싱 대상에 대해 미리 조사한다"며 "더 많은 노력이 필요하지만 성공률도 높은 사회공학 기법"이라고 설명했다. 아울러 "스피어피싱은 알아차리기 어렵지만 불가능하진 않다"며 "출처를 확인하고, 정상적인 요청인지 자문하고, 의심스러운 경우 답장하지 말고 직접 전화를 걸거나 통화할 때까지 기다리라"고 조언했다.


A씨는 인터넷 검색으로 BTS의 소속사 관계자의 카카오톡 ID를 알아낸 뒤 2022년 8~9월 BTS 멤버와 같은 소속사 PD·가수 등에게 차례로 메시지를 발송, 음반 준비 관련 정보와 입대 예정 시점 등을 수집한 혐의로 지난해 10월 재판에 넘겨졌다. A씨는 피해자들에게 각각 PD나 BTS 멤버 슈가·뷔 등으로 행세하며 정보유출을 유도한 것으로 조사됐다.

1심 재판부는 A씨에게 적용된 정보통신망법상 '속이는 행위에 의한 정보수집'과 형법상 업무방해 혐의에 대해 모두 유죄를 인정, 지난달 19일 징역 1년 실형을 선고했다. 이 사건은 A씨와 검찰 모두 항소해 현재 항소심 첫 공판을 앞뒀다.