중요한 금융 관련 개인 정보를 빼내는 피싱(Phishing) 피해가 해외에서 사회문제로 번지고 있는 가운데 상당수의 국내 웹 사이트가 피싱에 이용되고 있으며 그 사례가 점점 늘고 있는 것으로 나타나 충격을 주고 있다.
한국정보보호진흥원(KISA·원장 이홍섭)이 9일 발표한 국내 피싱 사고 분석 자료에 따르면 올 들어 5월까지 국내 웹 사이트가 피싱에 이용된 사례는 단 15건에 불과했지만 6월과 7월에 각각 21건과 22건으로 급증했으며 8월에는 27건으로 늘어났다.
KISA는 이 수치에 대해 “해외 정보보호 관련 기관이나 피해 당사자에게 받은 신고를 토대로 작성된 것”이라고 밝혀 본격적인 조사에 착수할 경우 그 수치는 크게 늘어날 전망이다. KISA는 또 “버전이 낮은 웹 서버 소프트웨어 아파치를 사용하는 리눅스 기반의 웹 서버가 주로 해킹의 대상이 되고 있다”고 설명했다.
피싱은 정상적인 웹 서버를 해킹해 위장 웹 사이트를 만든 후 네티즌에게 메일 등을 통해 금융정보를 빼내는 신종 인터넷 사기다. 금융기관이나 전자상거래업체가 보낸 메일로 가장해 계좌번호나 비밀번호, 신용카드번호 등을 빼낸다.
이번에 조사된 국내 피싱 사고는 위장 웹 사이트로 악용된 것으로, 피싱에 이용된 국내 웹 사이트는 씨티뱅크나 US뱅크 등 금융기관을 비롯해 이베이처럼 유명 전자상거래업체까지 다양한 형태로 위장한 것으로 밝혀졌다.
국내 보안업계의 한 전문가는 “국내 다수의 웹 사이트가 피싱에 악용되고 있다는 사실은 우리나라의 보안 취약성 문제뿐 아니라 국제적인 법적 분쟁이 발생할 가능성도 배제할 수 없기 때문에 관계기관의 조속한 대책이 시급한 상황”이라고 지적했다.
이처럼 피싱에 악용되는 사례가 늘어나자 국내 금융권도 모방 범죄를 막을 수 있도록 대책 마련에 나서고 있다.
국민은행은 최근 은행 및 신용카드 고객을 대상으로 ‘금융기관을 사칭해 금융정보를 요구하는 메일을 받으면 정보를 입력하지 말고 신고하라’는 내용의 메일을 일괄 발송했다. LG카드 역시 자사 웹 사이트가 아닌 다른 웹 사이트를 통해서 카드정보를 요구하는 경우에는 해당 정보를 제공하지 말 것을 회원에게 공지했다.
장동준기자@전자신문, djjang@