지금 '사이버 보안'을 말하는 이유는? - ‘아차’하는 순간, 당신도 ‘스미싱 사기’

지금 '사이버 보안'을 말하는 이유는?            

• 2018-02-21

 지난 1월 미국에서 개최된 세계 최대의 가전전시회 CES 2018 전시장에 사상 초유의 정전 사태가 발생했다. 모든 디바이스를 연결해준다는 와이파이 네트워크도 마비되면서 인공지능(AI), 사물인터넷(IoT), 자율주행 등 스마트 시티를 모토로 내세운 행사장의 모든 최첨단 디지털 디바이스들이 2시간 동안 무용지물이 됐다. 아주 잠깐 해킹 가능성이 제기됐으나 곧 빗물 누수로 인한 변압기의 누전으로 발생한 정전으로 확인됐다. 

 

다행히 보안 사고는 아니었지만 4차 산업혁명을 대표하는 이들 디바이스들이 순식간에 쓸모 없는 쇳덩어리로 돌변한 사건이 시사하는 바가 크다. 인공지능과 사물인터넷이 중심이 되는 세상에서 보안에 문제가 생기면 단순 정전과는 비교할 수 없는 더 큰 혼란이 생길 것은 자명한 일이다. 4차 산업혁명 시대에 사이버 보안의 중요성에 대해 정리해본다.

 

 

(*이미지 제공: shutterstock.com) 

 

일본에서 5800억 원 상당의 가상화폐 거래소 해킹 사건이 발생한지 한 달도 채 안 돼 이탈리아 가상화폐 거래소가 해킹돼 1800억 원 정도의 가상화폐가 무단 인출됐다. 4차 산업혁명의 혁신 기술로 꼽혀온 블록체인 기반 가상화폐 기술이 이처럼 허무하게 뚫린 건 아무리 인공지능의 시대니 무인자동차의 시대니 해도 보안은 화려한 수식어와 별개라는 걸 말해준다. 

 

천정부지로 치솟는 가상화폐 시장을 비롯해 4차 산업혁명과 관련된 다양한 시장엔 각종 사이버 테러단체들과 범죄자들이 몰려들고 있다. 4차 산업혁명이라는 단어에 걸맞게 인공지능과 빅데이터 기술에 기반한 로봇 해커까지 등장해 사이버 위협의 위험수위를 높이고 있다. 

 

현실이 된 4차 산업혁명 시대, 현실이 될 ‘사이버 보안 위협’은?

이른바 ICBMA로 일컬어지는 사물인터넷(IoT), 클라우드컴퓨팅(Cloud Computing), 빅데이터(Big Data), 모바일 네트워크(Mobile Network), 인공지능(AI) 기술이 우리의 일상 생활 중심에 자리잡았다. ‘4차 산업혁명’이 현실이 되고 있는 것이다.

 

초연결 사회(Hyper-connected society)로 대변되는 4차 산업혁명 시대에는 모든 디바이스가 네트워크로 연결되기 때문에 지금과는 비교할 수 없는 보안문제가 발생할 것이라는 게 전문가들의 진단이다. 그래서 4차 산업혁명 시대의 보안은 지금과는 다른 관점에서 접근해야 한다고 입을 모은다. 4차 산업혁명은 사이버 보안의 측면에서는 ‘양날의 검’과 같다. 삶의 질 개선이라는 긍정적 측면과 함께 한층 고도화된 사이버 공격을 야기할 수 있기 때문이다.

 

앞서 CES 행사장에서 일어난 정전처럼 만약 나쁜 의도를 가진 사람들이 인터넷에 연결된 디바이스들의 통제권을 탈취하는 경우, 상황은 완전히 달라질 수 있다. 자율주행차가 엉뚱한 곳으로 가거나 다른 차량이나 사람을 의도적으로 충돌할 수 있고, 집안에 있는 모든 디바이스의 카메라를 통해 사람들의 일거수일투족이 노출될 수 있고, 클라우드 컴퓨팅 역시 하나의 서버가 해킹되면 다른 서버도 영향을 받을 수 밖에 없으며 사물인터넷으로 연결된 디지털 기기들의 오작동으로 사회가 대혼란에 빠질 수 있다. 이는 4차 산업혁명의 ICBMA 중에 어떤 것도 보안이 뒷받침되지 않으면 정상적인 서비스가 불가능하다는 걸 의미한다. 

 

보험개발원이 최근 발표한 ‘4차 산업혁명 시대의 사이버 보안 및 시사점’이라는 보고서에서 사물인터넷(IoT), 인공지능(AI) 등 4차 산업혁명의 주요 강점인 초연결성, 초지능성이 보안 측면에서 약점으로 부각될 수 있어 취약점에 대한 선제적 대응이 필요하다는 지적이 나왔다. 보고서에 따르면 미국의 보험사 프로그레시브는 운전습관을 분석하기 위해 보험 가입자에게 제공하는 스냅숏이라는 장치의 해킹 가능성을 시연한 결과 해커가 차량 관련 정보를 탈취하고 차량을 원격으로 제어할 수 있는 공격에 대한 방어수단이 부재한 것으로 나타났다.

 

지난해 미국에서는 해커가 가정용 폐쇄회로(CCTV) 등 IoT 기기 20만대를 분산서비스공격(DDos)에 악용해 아마존, 뉴욕타임스 등 주요 웹사이트를 마비시키기도 했다. 이 같은 4차 산업혁명 기술의 취약점과 관련해 최근 스위스 다보스에서 개최한 세계경제포럼(WEF)에서는 4차 산업혁명 시대에 대비해 사이버 보안 이슈에 대한 심도 깊은 논의가 있었다. 사이버 보안을 기후변화와 함께 전 세계가 극복해야 할 핵심 사안으로 거론했으며, 올해 내에 글로벌 사이버 보안 센터를 개설하자는 의견도 개진됐다.

 

4차 산업혁명 시대의 보안, 어떻게? 

우리 곁에 성큼 다가온 4차 산업혁명에 대비하기 위해 통신, 교통, 에너지, 물류, 의료, 교육, 안전 등 인프라 산업에 투자해야 한다는 지적이 나오고 있다. 기업 회계법인인 삼정KPMG '인프라산업, 4차 산업혁명과 만나다'란 산업동향보고서를 통해 4차산업혁명 기반기술을 산업과 사회전반에 도입하기 위해 보안과 같은 기반 인프라 투자를 강화해야 하며, 이 같은 인프라는 자동차, 미디어, 보안, 라이프케어, 에너지 등 타산업과 융합해 가치를 만들고 차세대 네트워크 핵심 인프라가 될 것이라 내다봤다

 

인프라에 대한 투자가 절실한 시점이다. 지난해 6월, 랜섬웨어 공격으로 웹호스팅업체의 서버 300여 대 중 153대가 감염되어 이 서버에 저장된 고객사 웹사이트 3,400여개가 일시에 마비되는 참사가 발생했다. 이 업체는 해커들에게 13억 원에 달하는 비트코인을 건넸다. 또한 지난해 12월 국내 모 가상화폐 거래소는 해킹으로 전체 자산의 17%에 달하는 코인이 탈취 당해 파산을 선언하기도 했다. 이 사례들은 4차 산업혁명 시대에 가장 중요한 보안 인프라가 부실했던 탓이다.

 

4차 산업혁명 바람을 타고 산업 전반에 새로운 변화와 혁신이 일어나고 있지만 오히려 블록체인과 같은 4차 산업혁명의 신기술이 사이버 공격에 활용되면서 사이버 보안에 위협이 되고 있다. 4차 산업혁명에서 가장 중요한 통신 인프라인 사물인터넷(IoT) 망이 사이버 범죄의 주요 타깃이 되고 있는 것도 이 때문이다. 

 

이런 상황에 최근 글로벌 시장조사 기관인 가트너는 “인공지능이 디지털 보안이나 사물인터넷과 관련한 문제 해결에 핵심적인 역할을 할 것이며, 인공지능이 필수적 방어 역할을 할 것”이라고 발표해 주목을 끌었다. 이에 맞춰 국내외 보안 관련 기업들은 ‘알려지지 않은 공격에 대한 효과적인 방어’를 위해 인공지능을 활용한 보안 제품을 속속 출시하고 있다. 

 

안랩도 이러한 트렌드에 맞춰 새로운 환경의 보안 위협에 대응하기 위한 전략을 다각도로 준비하고 있다. 대표적으로 4차 산업혁명의 핵심이라 할 수 있는 스마트 공장 보안을 위한 특수 목적 전용 보안 솔루션인 ‘안랩 EPS’가 있다. 또 지능형 위협 대응 솔루션 ‘안랩 MDS’에 머신러닝 기반의 의심파일 추출 기능을 제공하고 있으며, AI 기반의 보안 기술 개발을 준비 중이다. 

  

오는 2020년에는 전 세계 약 40억 명, 300억 개의 디바이스가 사물인터넷으로 연결된다고 한다. 온라인 연결이 증가한다는 것은 그만큼 사이버 공격에 대한 범위가 더욱 넓어질 수밖에 없다는 것을 의미한다. 4차 산업혁명이 진행될수록 그 위협의 정도는 더욱 커질 것이다. 이것이 보안을 강화할 수밖에 없는 이유다.

‘아차’하는 순간, 당신도 ‘스미싱 사기’에 당할 수 있습니다

택배 송장 조회 가장, 파격적인 물건 판매, 저렴한 입장권 등 조심해야

정락인 객원기자 ㅣ sisa@sisajournal.com | 승인 2018.02.23(금) 08:03:09 | 1478호

설 명절 연휴가 지나갔다. 해마다 이맘때가 되면 인터넷 사기와 스미싱(소액결제 사기)이 연례행사처럼 기승을 부린다. 인터넷 사기는 상품권이나 콘서트 예매권 등을 저렴하게 판다고 속이고 돈을 입금하면 물건을 보내지 않고 잠적하는 수법이다. 명절인사나 택배 송장 조회를 가장한 ‘스미싱 사기’도 명절에 들뜬 사람들의 주머니를 노리고 있다.

 

경기남부지방경찰청에 따르면, 지난해 설 연휴를 전후해 10일 동안 337건의 인터넷 사기가 발생했다. 이것은 2016년 같은 기간보다 26.7%(266건) 증가한 수치다. 사기 유형은 상품권을 저렴하게 판다고 속여 돈만 받아 챙기는 ‘상품권 사기’가 41건으로 가장 많았고, ‘콘서트 예매권 사기’ 10건, ‘열차승차권 사기’ 1건 등이 뒤를 이었다. 이 밖에 항공권 판매, 저가 숙박권 등 명절 기간 수요가 많은 부분에서 집중적으로 이뤄지고 있다. 명절 전에는 급전이 필요한 사람들이 많다는 점을 노려 개인정보 탈취와 가짜 사기대출을 유도하는 ‘대출권유’ 스미싱 또한 주의해야 한다. 올해는 강원도 평창에서 올림픽이 개최되면서 ‘입장권 사기’ 등이 극성을 부릴 것으로 예상된다.

 

© 시사저널 이종현

 

택배회사 문자 함부로 클릭하면 위험

 

스미싱의 경우 주로 휴대전화 문자를 보내 해당 문자나 첨부된 인터넷 주소(링크)의 클릭을 유도한다. 만약 의심 없이 클릭하면 악성코드가 설치돼 소액결제가 되거나 휴대전화에 저장된 연락처·사진·공인인증서 등 개인정보와 금융정보가 유출될 수 있다. 실제 포털사이트 커뮤니티 등에는 피해사례가 속속 올라오고 있다.

 

가정주부인 임아무개씨(52)도 얼마 전 택배사로부터 문자를 받았다. 임씨는 “1월22일 오전 CJ대한통운에서 문자가 왔다. 처음에는 아무것도 시킨 것이 없어서 무시하고 넘어갔다. 그런데 오후에 또 다른 전화번호로 문자가 왔는데 ‘배송불가’라고 해서 해당 번호로 전화를 걸었더니 받지 않았다. 그래서 문자와 함께 전송된 인터넷 주소를 클릭하고, 주소를 남겼다가 피해를 입었다”고 말했다. 임씨는 “평소 자주 이용하는 택배사라 전혀 의심하지 않았다”고 덧붙였다.

 

직장인 김아무개씨(47)도 자칫 스미싱 피해를 입을 뻔했으나 침착하게 대응해 피해를 막았다. 김씨는 1월10일 한진택배로부터 문자메시지를 받았다. 주소지가 확인이 안 돼 반송처리를 해야 하는데 주소를 확인하라는 것이었고, 인터넷 주소가 링크로 첨부돼 있었다.

 

김씨는 해당 주소를 바로 클릭하지 않고 PC를 통해 문자에 첨부된 인터넷 주소를 검색해 봤더니 ‘CJ대한통운’이 검색됐다. 문자에는 ‘한진택배’로 돼 있는데 주소검색에서는 ‘CJ대한통운’이 나온 것이다. 김씨는 다행히 해당 택배사에 ‘스미싱 주의 안내문’이 있어 자신에게 보낸 문자가 사기라는 것을 알 수 있었다. 김씨의 경우 문자를 의심하고 조심했기 때문에 피해를 당하지 않았다.

 

직장인 윤아무개씨(32)는 황당한 일을 당했다. 그는 최근 유명 쇼핑몰에서 신용카드로 물건을 결제했다. 그런데 곧바로 택배사에서 ‘소포 배송불가(도로명 불일치) 주소지 확인’이라는 안내 휴대전화 문자와 함께 인터넷 주소가 첨부돼 왔다. 윤씨는 “해당 문자가 스미싱 사기인 것을 알겠는데, 어떻게 내가 결제한 것을 알고 바로 문자를 보낼 수 있느냐”며 “내 개인정보를 알고 있을뿐더러 결제하는 방식과 결제내역까지 알고 있는 것 아니냐”며 불안감을 나타냈다.

 

이런 경우는 해당 택배사 홈페이지에 접속해 배송조회를 통해 문자 내역이 사실인지를 확인해야 한다. 개인정보는 여러 곳에서 유출됐을 가능성이 있기 때문에 자신도 모르는 사이에 스미싱 피해를 당할 수 있다.

 

CJ대한통운 측은 “우리 회사는 택배 앱 설치 주소 외에 운송장 번호나 택배 조회를 하도록 별도의 안내를 하지 않는다. 인터넷 주소가 포함된 문자를 수신한 고객은 인터넷 주소에 접속하지 말고 바로 삭제해야 한다”고 당부했다.

 

특히 명절 연휴 기간을 전후해 택배 물량이 급증하면서 ‘택배 배송 조회’ ‘물품 반송 확인’ 등  택배 관련 키워드를 포함한 스미싱 사례가 가장 빈번하게 일어난다. 별다른 의심 없이 문자내용을 클릭할 확률이 높기 때문이다.

 

명절 연휴 해외여행을 떠나는 사람들을 노린 ‘항공권 사기’도 있다. 이것도 방식은 택배 스미싱과 비슷하다. 대부분 여행사나 항공사를 사칭해 “항공권 잔여석이 남았는데, 저렴하게 구입할 수 있다”는 문자를 보내고 인터넷 주소의 클릭을 유도하는 방식이다. 추석 선물로 많이 애용되는 상품권을 미끼로 한 스미싱도 있다.

 

이처럼 스미싱 사기는 순간의 방심을 노린다. ‘아차’하는 순간 사기 피해를 당하기 때문이다. 스미싱 사기를 당하지 않으려면 예방이 최선이다. 먼저 휴대전화 문자가 오더라도 출처가 불분명한 링크나 파일은 가급적 실행하지 말아야 한다. 만약 거래를 해야 한다면 결제 전에 ‘서울시 전자상거래센터’ 등을 통해 사기에 이용된 전화번호·계좌번호인지 확인할 필요가 있다.

 

휴대전화 보안을 강화하는 방법도 있다. 문자에 포함된 악성 링크를 클릭했을 경우를 대비해 ‘보안 설정’에서 ‘출처를 알 수 없는 앱’을 ‘허용하지 않음’으로 설정하는 것이 좋다. 이렇게 하면 링크를 클릭한 후에 자신도 모르는 사이에 정체불명의 앱이 내 스마트폰에 설치되는 것을 막을 수 있다.

 

 

현금결제 사기 판매 가능성 높아

 

통신사 고객센터를 통해 소액결제 한도를 축소해 놓거나 차단해 놓는 것도 피해를 막거나 줄이는 방법 중 하나다. 그래도 불안하다면 스미싱 여부를 판별할 수 있는 관련 앱을 설치하는 것을 권하고 있다.

 

이들 앱은 스미싱 탐지기능이 제공되기 때문에 의심되는 휴대전화 문자가 오면 ‘위험 정보’가 뜬다. 이렇게 이중 삼중 보안을 강화하면 스미싱 사기 피해를 당할 확률이 훨씬 적어진다. 만약 피해를 당했을 경우에는 경찰청사이버테러 대응센터(전화번호 182)로 신고한다.

 

인터넷 사기 유형도 스미싱만큼 다양하다. 대부분 파격적인 가격을 미끼로 내걸고 있다. 최근 전북 완주경찰서는 유아용품을 싸게 판다고 속여 수억여원을 챙긴 주부 A씨(37)를 붙잡았다. A씨는 지난해 3월 포털사이트에 카페를 개설하고 11월까지 8개월간 ‘분유와 기저귀 등을 저렴하게 판다’고 사기 광고를 게재했다.

 

개설 초기 A씨는 카페 회원을 늘리기 위해 유아용품을 시중보다 50% 싼 가격으로 판매하면서 미끼를 던졌다. 회원들은 유아용품을 싼 가격에 받자 A씨를 믿고 지속적으로 구매를 신청했다. 이렇게 해서 회원 350여 명은 A씨가 올려놓은 계좌로 4억여원을 입금했다. 그때부터 A씨는 돈만 받고 유아용품은 보내지 않았다. 한 회원은 유아용품을 대량으로 구매할 목적으로 2억원을 입금했다가 사기를 당한 것으로 드러났다.

 

1월23일 인천에서는 유명 중고판매 사이트에서 가전제품을 판매한다고 속여 피해자 37명으로부터 3700여만원을 편취한 사기 업자와 대포폰 명의자 5명이 경찰에 검거됐다. 인천강화경찰서에 따르면, 이들은 지난해 9월부터 12월까지 3개월 동안 타인 명의 휴대폰과 포털사이트 아이디를 이용해 신형 휴대폰, 컴퓨터 본체 등 가전제품을 판매한다는 허위 글을 올렸다.

 

구매를 원하는 피해자들에게는 문화상품권 판매업자의 계좌로 물품 금액을 받는 수법을 사용했다. 경찰의 추적을 피하기 위해 타인 명의 휴대전화 14대와 포털사이트 아이디 440개를 사용하기도 했다.

 

인터넷 사기 중 이벤트를 통해 경품에 당첨됐다며 일부 비용을 입금하면 보내주겠다는 것도 자주 악용되는 수법이다. 때문에 인터넷 카페, 블로그 등을 통해 상품권이나 추석 선물, 기차표 등을 판매하는 경우 시가보다 매우 낮은 가격으로 판매한다면 인터넷 사기일 확률이 높다. 이런 경우 물품거래를 하지 않는 것이 좋다. 또 현금결제만 가능하거나, 고가 물건을 파격적인 할인가격에 판매한다고 광고하는 행위 등도 허위일 가능성이 높다.

 

 “나는 안 당한다” 방심하다 당해

 

인터넷 물품 사기 또한 예방이 최선이다. 만약 거래를 할 경우에는 ‘돌다리도 두드린다’는 옛 속담을 상기하면 된다. 경찰에서 제시하는 ‘안전한 거래 수칙’을 보면 우선 판매자의 아이디와 회원정보를 확인하고 해당 화면을 반드시 캡처해 놓아야 한다.

 

보통 사기 판매업자들은 다른 사람의 아이디를 도용해 이용하는 경우가 많아 방문 횟수가 적다는 특징이 있다. 사기 판매 후에는 증거를 없애기 때문에 반드시 사전에 캡처해 증거를 확보해야 한다.

 

물품 사기 판매는 대부분 ‘선 입금’을 원칙으로 하고 있다. 사기 광고를 그대로 믿고 현금으로 입금하면 고스란히 피해를 입을 수 있다. 이를 막기 위해서는 판매자가 믿을 수 있는 사람인지를 파악해야 한다. 경찰은 “판매자의 주민등록증, 학생증, 통장사본, 제품 실제 사진 등의 사본을 반드시 확인하고 입금하라”고 당부한다. 이렇게 하면 피해가 발생할 경우 증거물로 활용될 수 있다. 마지막으로 이용약관 등을 꼼꼼하게 따져보고 살펴봐야 한다. 경찰청에서 운영하는 ‘사이버캅 앱’을 활용하는 것도 안전거래를 위한 방법이다. ‘사이버캅’은 사이버범죄 예방정보의 모바일서비스 제공을 위해 배포된 앱이다. 여기에는 인터넷 사기에 이용된 휴대전화 및 계좌번호 알림, 신종 사이버범죄 예방주의보 발령, 생활 속 예방수칙 등의 기능이 탑재돼 있다.

 

사기는 “나는 절대 안 당한다”는 절대적 자신감이 가장 위험하다. 설날 명절을 전후해 전개될 인터넷 사기나 스미싱 사기 피해자가 되지 않으려면 이와 관련한 예방이 최선이라는 것을 명심해야 한다.