업체와 기관을 사칭, 할인과 당첨 등을 미끼로 개인정보를 빼내는 피싱(phishing) 사기가 기승을 부리고 있다. 피싱은 과거에는 특정 개인의 이메일을 해킹, 타지에서 빈털터리가 됐다며 송금을 요청하는 수준에 그쳤지만 최근에는 대기업과 공기관을 사칭해 개인정보를 빼내는 등 방법이 지능적이고 복잡해지고 있다. 특히 경기 부진을 악용, 유틸리티 할인 등을 내세우는 신종 기법으로 피해가 우려되고 있다.

▲금융기관 사칭
플러싱의 김모씨는 이번 주 체이스 은행을 사칭, 개인정보 입력을 요청하는 이메일을 받았다. 마지막으로 로그인한 컴퓨터를 인식하기 어려우니 타인이 계좌에 접근하지 못하도록 링크를 방문, 정보를 새로 입력해달라는 내용이었다. 김씨는 “이메일에는 체이스 은행 로고와 함께 컴퓨터를 인식할 수 없는 몇가지 가능한 예까지 나와 있어 의심의 여지가 없었다”며 “다행히 이메일 주소가 이상해 은행에 문의한 결과, 사칭 이메일이라는 걸 확인, 정보 유출을 막을 수 있었다”며 안도의 한숨을 쉬었다.

사칭 범위가 HSBC와 시티, 뱅크 오브 아메리카, 페이팔 등 대형 금융기관들에게까지 퍼져 있지만 이들 가짜 이메일을 구분해내기란 쉽지가 않다. 해당 금융기관의 웹페이지로 연결됐다고 착각할 정도로, 웹페이지 구성과 로고 등이 진짜와 차이가 없기 때문이다.

▲유틸리티 사칭
올초 알래스카에서 시작, 서부지역에서 기승을 부리던 유틸리티 빌 할인 피싱은 뉴저지까지 퍼졌다. 뉴저지의 전기공급업체 PSE&G에 피싱 사례가 5월 처음 보고된 이후 현재까지 개인정보 유출의 피해를 입은 뉴저지 주민은 1만명을 넘어선다.

내용은 연방정부의 새로운 경기부양책의 일환으로 이달의 유틸리티를 최대 1,000달러까지 할인한다는 것으로, 연결된 웹페이지에 소셜 시큐리티 넘버와 은행 라우팅 코드를 입력하면 가짜 연방은행 라우팅 넘버가 발급된다. 이를 이용해 PSE&G에 유틸리티를 지불할 수 있다는 것이다. 문제는 이 연방은행 라우팅 넘버가 가짜라는 것이 확인되기까지 2-3일이 걸린다는 점이다. 일단 입력에 문제가 없기 때문에 이용자들은 이 넘버를 통해 지불이 완료됐다고 착각, 페이스북과 이메일을 통해 친지들에게까지 소개하면서 피해가 무섭게 확산되고 있다.

개인정보 유출 사례 신고가 몰리면서 PSE&G는 최근 아예 연방은행 라우팅 넘버를 통한 페이먼트 지불을 중단, 혼란을 막고 있다. PSE&G의 캐런 존슨 대변인은 “피해가 산불처럼 확산되고 있다는 점이 가장 큰 걱정”이라고 말했다. 이외에도 스프린트와 버라이즌 AT&T등의 가짜 이메일도 올 여름 기승이다. 전화 비용이 1,000달러 이상 나왔다는 가짜 고지서로, 홈페이지에서 소셜 시큐리티 넘버 등 개인정보를 입력하라는 내용이다.

▲기타
연방 정부가 노인들을 위한 무료 크레딧 카드 발급을 시작했다는 사기 이메일도 등장했다. 지난주 필라델피아의 한 노인은 “정부에서 노인층을 위한 새로운 은행 카드 발급을 시작하니 은행 정보를 알려달라”는 전화와 이메일을 받았다며 경찰에 신고했다.

지난주 올림픽 개막과 함께 올림픽 경품 피싱 이메일도 퍼지고 있다. 영국국립복권과 국제 올림픽위원회가 함께 실시하고 있는 복권에 당첨됐다는 내용이다. 50만달러~1,000만달러까지 당첨 금액도 다양하다. 당첨금 수령을 위해 전화번호와 은행구좌, 여권 정보 등 개인정보를 입력해야 한다는 안내가 뒤따른다.

한편 전문가들은 의심 가는 이메일과 전화를 받았다면 해당기관에 꼭 확인하는 것이 바람직하며, 이미 정보가 유출됐을 가능성에 대비, 본인의 크레딧을 수시로 확인해야 한다고 말했다. 이들은 “소셜시큐리티 넘버를 빼내는 것이 이들 피싱 사기의 목적”이라며 “이들은 이들 개인 정보를 활용, 새로운 크레딧 카드를 만들어 사용하기 때문에 이미 정보가 유출된 피해자들은 지속적으로 자신의 크레딧 정보를 확인해야 한다“고 설명했다. <최희은 기자>
C1