업무 메일이 쏟아지는 오전, 메일 제목 하나가 눈에 들어왔다. 발신지는 한국인터넷진흥원(KISA). 취재하는 공공기관에서 보낸 메일이어서 열어보지 않을 수 없었다. 최근 웹메일 로그인 취약점을 노린 개인정보 유출사건이 발생하고 있다는 내용이었다.
기자의 계정에서 해킹 흔적이 발견됐으니 KISA가 제공하는 비정상적인 쿠키(인터넷 사용기록)를 삭제하라는 안내였다. KISA의 삭제기능을 이용할 수 있는 링크도 걸려 있었다. 궁금한 사항은 'drill2021@krcert.or.kr'로 연락해 달라고 했다. 'krcert.or.kr'은 KISA의 실제 홈페이지 주소이기도 하다.
그런데 의아한 부분이 있었다. 비정상적인 쿠키가 무엇인지, 어떤 해킹 흔적이 발견됐다는 건지 정확한 설명이 없었다. 웹 브라우저에 저장되는 쿠키는 구글 크롬 등에서 제공하는 쿠키 삭제 기능을 이용하면 될텐데, 굳이 KISA가 제공하는 서비스를 이용하라는 점도 이상했다. 담당자 이메일 주소는 있지만 이름이나 전화번호가 없는 것도 미심쩍었다.
이 메일은 KISA가 최근 과학기술정보통신부와 함께 진행한 '사이버 위기대응 모의훈련'에 실제 사용된 가상의 피싱메일이다. 피싱은 신뢰할 수 있는 사람이 보낸 메시지나 메일인 것처럼 가장해 개인정보를 탈취하는 해킹방식이다. 이번 훈련은 랜섬웨어가 주로 피싱메일을 통해 확산한다는 점에 착안해 진행됐다. 이용자가 피싱메일의 첨부파일이나 링크를 클릭하면 악성코드가 컴퓨터에 침투해 데이터를 모두 이용할 수 없도록 마비시킨다. 피싱메일은 특정 공공기관을 사칭하거나 교묘하게 내용을 꾸며 첨부파일 다운로드나 링크 클릭을 유도한다.
눈여겨 보지 않는다면 무심결에 링크를 누르기 십상이다. 과기정통부와 KISA가 이 메일을 이용해 올해 상반기 230개사 임직원 9만8599명을 대상으로 진행했던 모의훈련에서도 해킹메일 평균 열람율은 25.8%로 나타났다. 링크를 누르거나 파일을 다운로드 받은 비율(감염율)도 7.6%였다. 훈련을 거듭할 수록 피싱메일 인지도는 높아졌다. 모의해킹 훈련에 처음 참여한 기업 관계자들 피싱메일 열람율과 감염율은 36.4%, 11.1%였던 반면, 두 번째 참여한 기업의 경우 29.6%, 6.9%로 크게 낮아졌다. 그만큼 평상시 훈련과 경계심을 갖는게 중요하다는 뜻이다.
━
진짜처럼 진화하는 피싱메일..."관련없는 내용이면 일단 의심해야"━
해당 메일 내 담당자 이름만 바꿨을 뿐 소속과 직책, 담당업무는 물론 심지어 휴대전화 번호도 진짜다. 현대엔지니어링 관계자는 "어떤 방식으로 메일을 탈취했는지는 모르겠지만, 이 메일을 기업과 개인을 가리지 않고 무차별적으로 뿌린 것 같다"며 "진위여부를 확인해달라며 연락해온 곳이 수십 곳인데 그 중엔 대학교수도 있었다"고 말했다.
전문가들은 피싱메일을 활용한 랜섬웨어 공격이 많은 만큼, 이메일에 담긴 링크나 첨부파일에 특히 주의할 것을 당부한다. 남연수 KISA 대응협력팀 팀장은 "자신의 업무와 무관하거나 사전공지가 없던 내용을 담은 메일은 일단 의심해봐야 한다"며 "링크 주소나 보낸 사람의 이메일 주소가 'dauum.net'이나 'qmail.com' 등 이상하지 않은지를 살펴야 하며, 첨부파일도 함부로 다운로드 받지 말 것을 권장한다"고 말했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>