“스팸메일을 아예 피해가거나 공격대상자가 자주 방문하는 사이트에 특정 날짜, 시간대 잠깐 악성코드를 심어놓고 감염시키는 등 해킹·피싱수법으로 진화하고 있습니다. 금융사들도 이를 인지하고 대비하는 게 필요합니다.”
금융보안원에서 화이트해커로 활약 중인 이민희(사진) 주임은 7월 정보보호의 달을 맞아 진행한 본지와 인터뷰에서 지능화되고 있는 해킹·피싱 수법에 이같이 말했다. 화이트해커란 보안 취약점을 찾아내 해커로부터 공격받지 않게 도와주는 보안 전문가를 뜻한다. 불과 2~3년 전까지만 해도 국내 금융회사를 대상으로 대규모 동시다발의 해킹·피싱 공격시도가 쏟아졌다. 최근 들어서는 해킹 수법이 좀 더 개인화로 바뀌었다는 게 이 주임의 설명이다.
대표적인 공격 수법으로 그는 워터링홀을 꼽았다. 워터링홀이란 공격 목표가 자주 방문하는 웹사이트에 미리 악성코드를 심어놓고 공격목표가 접속하면 악성코드에 감염되는 기법으로 대형사고의 시발점이 될 수 있다. 그는 “요즘은 날짜를 길게 설정해 악성코드를 감염시키는 게 아니라 특정 날짜, 특정 시간에 ‘반짝’ 악성코드를 감염시키고 흔적을 지워 수사기관에서 탐지하기 어렵다”며 “공격대상자들이 주로 방문하는 블로그, 온라인 커뮤니티 등에서 이뤄진다”고 설명했다.
악성코드를 심어놓은 파일을 유포하는 피싱 메일 또한 교묘해졌다. 금융사, 직원들의 보안의식이 높아지면서 메일 안 첨부파일, 링크를 열어보지 않게 되자 해킹 조직도 덩달아 수법을 바꾼 것이다. 메일 내용 외에 더 많은 정보가 첨부파일에 있으니 비밀번호를 입력해 첨부파일을 열어보라고 하거나 실제로는 악성코드를 심은 실행파일을 pdf, doc와 같은 문서 형태로 숨겨 설치를 유도한다. 교묘해지는 신종금융사기와 관련해 이 주임은 “보이스피싱 역시 통신사에서 의심 번호를 차단하고 있지만 문자 메시지 형태로 시도가 많이 이뤄지고 있다”며 “(악성코드에 감염된) 피해자가 금융사, 관공서에 전화를 걸면 이를 가로채 보이스피싱 조직에 전화를 거는 식으로 다양해졌다”고 덧붙였다.
해킹 공격·신종금융사기 시도가 이뤄지면 금융보안원 관제센터가 이를 탐지해 분석한다. 이후 해당 내용을 금융사에 공유해 주의를 촉구한다. 2019년부터 국내 금융사를 대상으로 장기간 대규모 피싱 시도를 한 TA505그룹의 60만여 건 피싱 메일을 분석해 우크라이나에서 피의자를 검거할 수 있었던 것도 이 같은 분석 활동에서 비롯됐다. 금융보안원 관제센터를 통한 탐지·분석되는 정보는 은행, 증권, 보험, 전자금융업체 등 203개 회사에 공유된다. 금융보안원이 침해시도 분석 및 대응에 나선 것만 올해 상반기 361만4931건에 달한다. 2020년 853만여 건에서 지난해 887만여 건으로 늘어나는 추세다.
이 주임은 “보안원 내부에서도 직원들이 눌러볼 법한 성과급 지급, 과태료지급, 연말 보너스, 이직 제안 등을 내세워 피싱 메일을 보내고 속아 넘어가는지 확인하는 모의 훈련을 주기적으로 실시한다”며 “신뢰가 중요한 금융산업에서 대규모 금융사고는 용납하기 어려운 만큼 금융회사가 철저히 보안을 수행하도록 보안원에서 지원하고 있다”고 강조했다.
