구글 지메일에 이어 MS 핫메일, 야후메일 등이 잇달아 해킹 공격을 사실이 알려져 충격을 주고 있는 가운데 직장동료나 친구, 가족을 사칭한 이메일 사기인 `스피어 피싱(Spear Phishing)`이 기승을 부리고 있다고 뉴욕타임스(NYT)와 연합뉴스 등이 3일 보도했다.
보도에 따르면 전통적인 이메일 사기 방법은 정상적인 사고를 가진 사람이라면 누구라도 이상한 점을 눈치챌 수 있는 것들이다. 예를 들어 은행 계좌 번호를 알려주면 거액을 송금해주겠다는 나이지리아 왕자의 이메일은 누가 봐도 사기라는 것을 알 수 있다. 그러나 직장 동료가 회사 데이터베이스 저장에 필요하다며 개인 신상정보를 알려달라는 메일을 보냈다면, 또 어머니가 주민등록번호를 알려달라는 메일을 보냈다면 이를 사기라고 알아차리기 힘들다.
이처럼 스피어 피싱은 불특정 다수를 상대로 신상정보를 빼내려는 일반적인 이메일 사기와 달리 특정한 사람을 표적으로 삼아 개인정보를 알아내려는 이메일 사기 공격을 말한다. 구글의 이번 지메일 해킹에서도 지메일 계정 수 백 개의 패스워드를 빼내기 위해 이런 정교한 소셜엔지니어링 전략이 사용됐기 때문이다. 실제로 이 같은 이메일 해킹 전략은 최근 정보보안 업체 RSA를 통해 이뤄진 록히드 마틴에 대한 공격에도 사용됐다.
전문가들은 이런 이메일 해킹이 기존의 피싱 공격과는 전혀 상이한 것이며 수신자가 사기 여부를 재빨리 알아차리기가 쉽지 않다고 지적한다. 특히 수신자가 잘 알고 있는 친구나 동료, 심지어 가족의 이메일 계정을 직접적으로 도용하는데다, 개인 정보를 요구하는 내용 또한 그럴듯한 논리로 포장돼 있어 의심하기가 어렵다. 시만텍 관계자는 인터뷰에서 “이런 특정표적을 노린 공격이 지난 3월에만 1일 85건 가량 적발됐다”며 “대부분 정부 부처 관계자나 기업의 임원 등이 표적이었다”고 말했다. 사기 메일이 워낙 정교하고 그럴 듯하기 때문에 심지어 일부 기업체 보안 담당자들도 피해를 본 경우가 있는 것으로 알려졌다.
▶원문
http://www.nytimes.com/2011/06/03/technology/03hack.html?_r=1&scp=1&sq=Spear%20Phishing&st=cse
전자신문미디어 테크트렌드팀 trend@etnews.co.kr, 연합뉴스
