피싱

내위키

Phishing.

물고기를 낚는 fishing을 살짝 뒤튼 것으로 물고기 대신에 사람을 낚는 사기다. 전화, 이메일, 메시지, 웹사이트를 비롯한 각종 통신 수단을 사용하여 상대를 속이고 중요한 정보나 돈을 가로채는 사기를 뜻한다. 대중들이 가장 많이 당하는 피싱은 뭐니뭐니해도 전화를 이용한 보이스 피싱. 그밖에도 메신저나 문자 메시지를 이용한 스미싱, 목표를 특정하고 그에 최적화된 형태의 미끼를 던져서 성공 확률을 높이는 스피어 피싱도 넓게 보면 피싱 범주 안에 들어간다.

보통은 사회공학적 해킹과 연계되어 인간 심리의 약점을 파고 드는 방법으로 상대를 조종해서 자신이 시키는 대로 무엇인가를 하게 한다. 그 '무엇인가'는 로그인 암호, 신용카드 번호와 같은 금융정보를 탈취하거나 범죄자의 계좌로 돈을 이체하도록 만드는 것일 수도 있고, 컴퓨터에 악성코드를 심는 것일 수도 있다. 이를 위해서 크게 세 가지 수법이 쓰인다.

첫째 방법은 권위를 이용해서 상대를 불안하게 만들고 압박하게 만드는 방법이 있다. 주로 수사기관이나 정부기관을 사칭한다. 예를 들어, 경찰이나 검찰을 사칭해서 '당신의 계좌가 범죄 조직에 악용되고 있다'는 식으로 상대방을 놀라게 하는 한편, '출두해서 조사를 받으라', '수사에 협조하지 않으면 처벌을 받을 수 있다.'와 같은 식으로 상대를 겁먹게 만든다. 이렇게 되면 침착하게 사고하기 힘들게 되고, 불안하고 당황스러운 상황을 빨리 모면하고 싶어져서 범죄자의 지시에 쉽게 따르게 된다.

둘째 방법은 잘 아는 사람인 척 위장하는 것. 첫째 방법과는 달리 상대의 경계심을 누그러뜨리는 것이 목적이다. 스미싱이나 스피어 피싱에서 이 수법이 특히 자주 쓰인다. 예를 들어 어떤 사람의 메일을 해킹한 다음, 이 사람이 자주 메일을 주고받았던 사람들에게 그 사람인 척하고 메일을 보내는 식으로 속인다. 문자나 메신저로 지인을 가장해서 돈을 보내달라고 요구하는 수법도 이런 유형이다.

셋째 방법은 뭔가 큰 이익을 볼 수 있을 것이라고 상대를 속이는 것. 종종 스팸메일로 자기가 어떤 국가나 대기업의 자금 담당이라느니 하면서 비밀자금을 정리해야 하는데 도와주면 거액을 주겠다는 식으로 꼬드기는 것을 볼 수 있다. 불특정 다수에게 스팸문자나 메시지를 뿌려서 어떤 주식 종목이 대박이 날 거니까 빨리 사라고 권하는데, 이런 건 십중팔구 작전주일 가능성이 높다. 심지어 얼마 뒤에 거래정지나 상장폐지를 맞는 일도 있다.