(보안세상 기고글 원본)
국내뿐만 아니라 세계 곳곳은 피싱에 대한 피해가 계속 발생하고 있다. 다양한 피싱에 대해 안철수연구소는 SNS와 블로그를 통해 예방책과 사례에 대해 알려왔다. 이번 포스팅에서는 최근 세계적인 금융 중심지인 영국에서 유행하고 있는 신용 피싱에 대해 필자가 피싱자와 메일과 전화를 주고 받으며 그 과정을 살펴보았다. 

참고로 이 피싱은 신용피싱(개인정보 탈취로 금융자산 탈취, 차량 구입등), 영국 국민의 1/4이 경험이 있고, 이 중 1/3이 피해를 당한것으로 영국 금융당국과 경찰이 특별수사팀까지 만들면서 수사에 힘을 쏟고 있을 정도로 현지에서는 대단한 이슈가 되고 있는 사례이다. 더욱이, 전화 통화를 한 사람이 중동계 사람이라 추측되고, 영국이 주요 해적국과 테러국의 브로커,  전 세계 금융자산들이 모여있다는 점에서 한 건의 피해도 파급력은 무시무시하다고 생각된다. 

(요약) 사업제안을 하겠다. 나는 Eddie Shileds이고, 런던의 금융회사 책임자로서 근무중이다. $4.500만 달러에 해당하는 보험 예수금이 한국 국적의 김우철이라는 사람 앞으로 있는데, 교통사고로 10년전 사망했다. 아무리 친인척을 찾아도 찾을 수 없다. 영국 금융법상 10년이 넘어가는 보험금은 정부로 귀속되는데, 이것에 대해 당신과 함께 노력하여 보험금을 찾아 50%씩 나눠 갖자. 자금에 대한 것은 나의 풍부한 경험상 안전하고 당신의 협조에 따라 매우 손쉽게 처리가 가능하다. 이 거래는 100% 비밀로 해야 하며, 관심이 있으면 아래의 개인 메일주소로 연락 바란다.

-> 지금껏 발생한 메일 피싱의 경우, 메일을 열었을 시 악성코드가 포함 되었거나 금융사의 복제된 홈페이지로 이동되어 개인정보를 탈취하겠금 되어, V3와 같은 백신 프로그램의 실시간 감시로 막을 수 있었다. 또한, 다양한 이메일 호스팅 회사의 자체 필터링으로 스팸메일로 분류되어 고객이 메일을 읽는것 조차 쉽지 않았다. 하지만, 이번 신용피싱의 경우 일정한 패턴이 존재하지 않고 동일한 내용의 메일이 두 번 다시 오지 않는다. 2개월간 살펴본 결과, 매번 발송되는 메일의 내용은 변경되고 주기적이지도 않다. 그렇기 때문에 패턴을 통해 예방을 하는 각 보안 엔진과 보안 필터들을 손쉽게 피해 갈 수 있었다.

기자 : 제안에 대한 메일을 잘 보았다. 좀 더 자세한 이야기를 듣고 싶다. 그리고 가장 중요한건, 내 연락처를 어떻게 알았는지 궁금하다. 

Eddie: 인터넷을 통해 당신의 신념이 자금에 대해 같이 일하면 좋을것 같아 연락하게 되었다. 

Eddie: 그리고 미국 시민으로서 런던의 금융회사에서 감사장으로서 고객들의 계좌를 감독 관리하고 있다. 금융업계에서 20년여의 경험으로 현재 52살이다. 

그 밖에 돈의 성격, 사고 경위, 앞으로 일처리에 대한 세세한 일정에 대해서도 메일 내용에 포함되었고, 거래의 성격한 "신뢰"가 중요하다는 것을 강조하며 자신의 여권과 신분증을 스캔해서 보내기도 한다.

먼저 지적하지만,  이 Eddie Shield라는 사람 역시 피해자로서, 다른 피싱을 위해 자신의 신분증이 인터넷을 통해 전세계 각지에 뿌려지고 있다는 것이 금전적 피해뿐만 아니라 신분적인 피해도 야기 시킨다. 아울러, 이 신분증이 복제되고 테러국에서 사용한다면 복잡한 상황까지 염두해 두어야 한다는 것이다. 

1번의 메일에서 보듯, 이 신용피싱의 경우 보험금을 수령한 뒤 그것을 서로 나눈다고 제안 해 왔다. 그래서 보험금 수령을 위해 메일을 주고 받던 중, 한국의 계좌로 바로 받으면 영국 금융당국에서 감시를 받을 수 있고 무엇보다 세금에 대한 우려로 영국 내 계좌를 만들어야 한다고 제시해 왔다. 바로 그것이다. 이 계좌를 만들기 위해 상대방의 여권과 신분증 사본, 그리고 각종 개인 정보를 요구한다.  

-> 기자는 이름과 전화번호는 실제 정보를 건네고 나머지는 허위 정보로 보내 주었다. 그 결과 전화가 온다. 그 전화번호는 추적이 불가능한 인터넷 전화로서 국가번호 44번(영국)을 사용하는 번호로 오게 된다. (44)7759120060을 사용하고, 구글과 같은 검색엔진에서 검색하면 기자 검색 당시 아무런 검색결과가 없어 피싱에 걸린 사람으로 하여금 가장 최신의 전화번호만을 돌려 사용하며 피싱임을 눈치 못채게 되어 있다. 이점에서 매우 치밀한 피싱중 하나임을 확인하게 되었다. 

이후, 더이상의 메일이나 전화통화는 없었다. 재미있었던 점은, 전화가 국가번호 44번인 영국에서 전화를 했다가 찾기도 힘든 국가번호에서 발신되기도 한다는 점이다. 그리고, 영국이나 미국의 영어가 아닌 중동계 발음으로서 알자지라 방송에서 중동사람들 인터뷰때 들었던 그것 이었다는 것이다.

이러한 신용피싱의 메일을 통해 피해를 볼 수 도 있다. 자신도 모르게 해외에 있는 자산에 변동사항이 생기거나, 영국이 주 피해지역이다 보니, 본인의 대포통장이 해적이나 테러범들의 손에 들어가 이용당하는 것을 걱정해야 한다. 

먼저 경찰청에 문의 해본 결과, 실질적인 경제적인 피해가 발생하지 않는다면, 사이버경찰청이나 언터폴의 수사는 어렵다고 한다. 그렇기 때문에 주기적인 신용정보 변동에 대해 점검을 해 보는것을 권하는 수준이었다. 그리고 주무부처인 외교통상부의 경우 "특별한 주의"밖에 없다고 말을 하며, 유출된 여권에 대한 재발급을 통해 피해를 최소화 하는 수밖에 없다니, 만약 자신의 개인정보가 국제적으로 유출된다면 뽀족히 답을 찾기에는 한계가 있다. 역시 예방이 최선이라는 것이 답이다. 

SCAM, Phishing과 같은 키워드로 검색엔진에서 검색만 해도 여러 사례들이 검색된다. 점점 지능화 되는 피싱의 형태는 인터넷이라는 제한되지 않는 공간에서 막대한 피해를 발생시키고 있다. 보안프로그램을 업데이트하는 것도 좋지만, 기계가 업데이트 못해주는 사용자의 보안화 된 인터넷 사용습관은 보안 커뮤니티와 같은 전문 뉴스채널을 통해 업데이트 하길 권해본다.

Redgumbaeng2
Yongsoo 
ysibm86@gmail.com 

<보안세상 기고글>
지난 11월 5일 안철수연구소에서 신입사원 공채 시즌을 맞아 서류심사를 통과한 입사 신청자들을 대상으로 면접이 있었다. 우리가 아는 V3를 만들던 안철수연구소에서 세계를 무대로 각종 보안장비, 소프트웨어, 보안관제, 소셜게임등을 만드는 소프트웨어 기업으로 변신을 하고 있는 안랩이, 입사 지원자들을 향해 약간의 조언을 안철수연구소 학생기자자격으로 모의 면접을 통해 알아보았다.

면접장에 들어가기 전 대기실에 앉아 어떤 질문이 있을까 생각을 했다. A자형 인재란 무엇인가? 안철수연구소가 무슨 일을 하는가? 요즘 이슈되는 사회현상은 무엇일까? 영어자기소개는 어떻게 할까? 등등 여럿 예상질문들에 대한, 생각이 많았다.

모의 면접에 참석한 학생기자는 총 3명. 함께 힘차게 "안녕하세요" "안녕하십니까" 등 각각의 인사를 하며 자리에 앉았다. 모의면접도 면접이고, 면접관들도 실제 면접과 똑같이 진행하겠다는 말에 가슴이 콩당콩당에서 쿵당쿵당으로 바뀌었다.

그리고 물 한잔과 총 1시간의 면접시간이 시작되었다.

주파수의 고주파(FM)과 저주파(AM)가 있다. 좋고 깨끗한 음질을 제공하는 고주파가 좋아 보이지만, 산과 빌딩과 같이 장애물을 만나면, 목적지까지 전파가 도달하지 못하고 끊어진다. 반면, 저주파의 경우 슬금슬금 그 장애물을 구렁이 처럼 넘어 결국 목적지가 도달한다. 이것이 면접자의 이력이 보여준다는 내용을 말했다.

영어 자기소개에 대해 여행을 다니며 외국친구들과 했던 내용들이 입에 붙어있던 터라 부담없이 이야기 하려고 했다. 하지만, 내가 누군지 보다, 나의 어떤 점이 지원하는 회사에 어필할 수 있을지를 생각하여 나름, IT컨퍼런스 참석과 블로그 활동, 그리고 개인공부를 통해 아이폰 어플리케이션 제작까지 영어로 소개를 했다.

공통질문이 어느정도 끝나고, 창의성과 사고의 한계를 측정하기 위한 과정이 있었다. 미션은 일반 종이컵 3개씩 3명에게 각각 주어지고, 1분이내에 이것을 가장 높이 쌓으라는 것이다.

탑을 쌓을까 하는 생각이 있었지만, 그것은 다른사람들도 생각하는 것이기 때문에 생각을 바꿔보아, 면접장에서 가장 높은곳의 형광등을 생각했다. 신발을 벗고 손수 형광등에 종이컵을 구겨넣어 면접자들 중에는 가장 높이 종이컵이 놓인 경우였다.

질문의 의도를 파악하는게 가장 중요하다.

재무 회계쪽을 지원한 학생기자는, 첫 질문에 IFRS(국제회계기준)과 K-GAAP(기업 회계기준)에 대한 차이점을 설명했고, 그 다음으로 대차대조표와 손익계산서에 대한 차이점을 설명했다.

시사적인 부분에 대해서도 공통질문이 있었다. 3명의 면접자 중 4대강 개발의 찬성과 반대로 나뉘어 면접관은 각각의 의견들을 토대로 지속적인 의견 교환을 갖게끔 하는 방식이었다. 면접관은 면접자들이 의견을 각각 말할 때 상대방의 의견을 잘 듣고 그부분에 대하여 흑과 백으로 판단하는것이 아닌 토론이 무엇인가 하는 토론문화에 대한 모습을 볼 수 있는 모습을 평가한다고 한다. 

"면접인 이로써 모두 끝났습니다. 마지막으로 안철수연구소에 궁금한 점이 있다면 질문 해 주십시오"

마지막에 대한 주의도 있었다. 긴장을 했던 면접자들이 면접이 끝남으로서, 긴장을 풀게 한다음 그들의 행동을 살핀다는 것이다. 이 상황에서 연봉이 얼마나 되나요? 야근은 많이 하나요? 라는 식의 질문이 나온다면 그 면접자는 지원한 회사와 좋은 인연으로 남지 못할 가능성이 크다고 말한다. 즉, 면접장을 뜨기 전까지 어떠한 상황에서도 긴장의 끈을 풀지 않고 진지하게 대처하라는게 그 해답이었다.

독특하지만 학생기자의 경우 안철수연구소 주주이기에 "왜 안철수연구소 주가는 않오르나요?" 라는 질물을 하여 면접관에게 난감함을 주긴 했지만, 주식이야기 역시 회사에 대한 애정으로 봐 주는것이 아니니, 꺼내지 말라는 조언을 듣기도 했다.

마지막으로 모의면접이기에 1시간여의 면접이 끝난 후 위와 같은 리뷰들을 쏟아내고 전반적인 요즘 대학생들의 특징을 말했다. 그것은 바로, "대학생들은 너무 순진하다." 라는 것이다. 면접은, 회사에 입사하기 위한 것이기 때문에 자신의 단점을 순진하게 내비치는것은 어리석은 짓이라고 한다. 순진한것이 정직한게 아니라는 말이다.

즉, 면접속에서 영화배우 처럼 연기를 통해 자신의 강점을 내비치라는 것이 이번 모의 면접을 통해 면접자가 갖추어야 할 항목중 하나이다.