직장인 A 씨가 최근 받은 공정위 사칭 해킹 이메일. 정체를 알 수 없는 직인까지 찍혀있다. [이메일 캡처]

[헤럴드경제=이슬기 기자] 직장인 A 씨는 최근 황당한 일을 겪었다. 출근 후 이메일을 확인하던 중 공정거래위원회 명의로 발송된 ‘전자상거래 위반행위 조사통지서’를 발견했기 때문. 공문서 양식에는 담당 조사관의 이름과 직위는 물론 복잡한 모양의 직인까지 버젓이 찍혀 있었다. 놀란 마음에 첨부 파일을 열어본 A 씨는 컴퓨터에 설치된 백신 프로그램이 ‘트로이목마 바이러스’ 경고를 보내고 나서야 해당 이메일이 개인정보 탈취를 위한 ‘사칭 이메일’이란 것을 깨달았다.

A 씨의 사례처럼 공공기관을 사칭한 ‘스피어 피싱(Spear phishing)’이 다시 기승을 부리고 있다. 이달 연말정산과 오는 4월 총선을 앞두고 국세청, 중앙선거관리위원회 등을 사칭한 스피어 피싱 이메일의 가능성도 있어 우려된다.

14일 헤럴드경제 취재에 따르면 스피어 피싱은 불특정 다수를 대상으로 한 ‘스미싱(Smishing)’과 달리 특정 개인, 회사 등 특정 조직의 구성원을 표적으로 ‘맞춤형 메시지’를 보내는 것이 특징이다. 그만큼 공격 성공 확률도 높다. 앞서 언급한 공정위 사칭 이메일이 대표적인 예다. 당황한 수신자가 자세한 내용을 파악하기 위해 첨부된 압축 파일을 여는 순간 컴퓨터에는 순식간에 바이러스가 퍼진다.

김진욱 이스트시큐리티 홍보팀장은 “수신자의 친구부터 수신자가 최근 물건을 구매한 온라인 쇼핑몰의 계정, 택배 회사의 계정까지 스피어 피싱 사례는 굉장히 다양한 형태로 나타난다”고 설명했다.

문제는 발신자가 똑같은 것으로 보이는 스피어 피싱 이메일이 반복해서 발송되고 있다는 것이다. 범인 검거가 사실상 불가능하다는 얘기다. 공정위는 지난해 7월에도 A 씨 사례와 똑같은 내용의 이메일을 발견, 사용자들에게 주의를 당부하고 경찰에 수사를 의뢰한 바 있다. 그러나 별다른 수사 성과는 없었다. 공정위 관계자는 “당시 경찰에 수사를 의뢰했지만 결국 범인을 잡지 못해 수사 종료 통보를 받은 것으로 안다”며 “홍보 강화 등 자구책에 집중하고 있는 상황”이라고 했다.

보안업계에서는 “스피어 피싱이 계절 맞춤형으로 진화하는 것을 고려하면, 공공기관을 사칭한 해킹 이메일이 급증할 수 있다”는 전망도 나온다. 다가오는 연말정산 시즌에는 국세청을 빙자한 스피어 피싱이, 이후 선거철에는 선관위를 사칭한 이메일이 난무할 수 있다는 것이다. 서상혁 서울지방경찰청 사이버수사대장은 “사이버 범죄는 익명성과 국제성이 강해 수사가 쉽지 않은 게 사실”이라며 “이에 따라 인터폴과 협력 등 국제 공조 강화에 최선을 다하고 있다”고 했다.

yesyep@heraldcorp.com