경기남부지방경찰청 사이버안전과, 예방 컨텐츠 제작해 무역협회 등 집중 홍보

[보안뉴스 권 준] 얼마 전 국내 굴지의 대기업에서 이메일 무역사기로 240억원의 피해를 입은 사실이 알려지면서 대기업 및 중소 무역업체들에게 스피어피싱(Spear Phishing) 주의보가 내려진 상황이다.



이러한 가운데 경기남부지방경찰청 사이버안전과에서 유사한 수법의 스피어피싱 예방을 위한 콘텐츠를 제작해 관내 무역협회와 상공회의소 등에 집중 홍보하고 있어 주목 받고 있다.

스피어피싱은 특정인을 대상으로 이들의 개인정보를 캐내기 위한 피싱 공격을 지칭하는 용어로, 물 속에 있는 물고기를 작살로 잡는 작살 낚시(spear-fishing)에 빗댄 것이다. 불특정 다수를 대상으로 하는 일반적인 피싱(Phishing)과 구분된다.

최근 가장 큰 피해사례로는 앞서 언급했듯 국내 모 기업에서 납품대금 계좌가 변경됐다는 가짜 이메일을 받고 신중한 확인절차 없이 변경된 범죄계좌로 240억원을 이체한 금융사기가 발생했다.

무역대금을 가로채는 스피어피싱 과정은 다음과 같다. 사이버범죄자들은 먼저 무역회사인 A사의 이메일 서버를 해킹하거나 A사의 특정인에게 악성코드가 들어간 이메일을 발송한다. 이러한 해킹이나 악성코드로 A사의 PC에서 거래업체 및 거래정보를 유출시키는 것. 그런 다음 사이버범죄자들은 평소 거래내역, 결제내역 등 A사 PC에서 확인한 정보를 악용해 거래업체 B사에 대금 결제를 요청하는 허위 이메일을 발송하게 되는 것이다.

이렇듯 점차 지능화되고 있는 이메일 사기수법인 스피어피싱을 예방하기 위해서는 어떤 노력을 기울여야 할까? 경기남부경찰청 사이버안전과에서는 예방법 4가지를 제시했다.

1. 기업간 계좌송금시(특히, 계좌변경시) 필히 담당자와 전화 확인(전화통화시 이메일에 나온 번호 대신 반드시 기존 전화번호로 통화해야 함)
2. 주로 쓰는 문서 프로그램이나 윈도우 OS 등 업그레이드
3. 모르는 이메일 및 첨부파일은 절대 열지 말 것
4. 온라인 상에 자신의 개인정보 노출 최소화

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>