SNS ‘사진 태그’ ‘위치정보’는 해커의 ‘먹이’

보이스 피싱을 막기 위해 홍보를 강화하고 은행 출금 때 다양한 안전장치를 거치도록 하고 있지만, 메신저 피싱은 오히려 늘고 있다. 지난해 가족·지인을 사칭한 메신저 피싱 피해액은 373억원으로, 전년보다 9.1% 증가했다. 피싱 기술과 전략이 진화하는 까닭이다.

메신저 피싱은 어느날 갑자기 계정을 탈취해 시도되는 게 아니다. 대상자를 오래 관찰하고 정보를 축적해오며 틈을 기다리다가 가족이나 친구라고 믿을 수밖에 없는 정보를 활용해 접근한다. 그런데 메신저 피싱에 활용되는 정보 상당 부분은 피해자가 자발적으로 공개한 개인정보인 경우가 많다.

<월스트리트저널>은 지난 8일 ‘해커가 당신의 소셜미디어에서 뽑아낼 수 있는 개인정보’라는 글을 실어, 소셜미디어에서 삼가야 할 정보를 전달했다. 보안회사 소셜프루프 시큐리티의 최고경영자 레이철 토베이크는 “감쪽같은 피싱에 필요한 정보의 60%를 인스타그램만으로 구할 수 있다. 누군가의 소셜미디어를 뒤지면 대부분 30분 안에 필요한 모든 정보를 구할 수 있다”고 말했다.

인스타그램, 페이스북, 링크트인 등 소셜미디어엔 다양한 정보가 노출돼 있는데 해커는 유출된 개인정보와 결합해 손쉽게 대상을 공략할 수 있다. 특히 최근 해커들은 인공지능과 소프트웨어 도구를 이용해 소셜미디어 계정을 빠른 속도로 검색해 필요 정보를 찾아내고 프로파일링한다. 피싱 사기범이 소셜미디어를 통해 피해자가 최근 방문한 장소와 옷차림을 묘사하며 접근하면 사기에 넘어갈 확률이 높아진다. 인공지능이 대상자가 ‘좋아요’과 ‘공유’를 누른 정보를 분석하면, 손쉽게 취향도 파악할 수 있다.

보안전문가들은 소셜미디어별로 다른 프로필 사진을 사용하라고 권한다. 인스타그램이나 핀터레스트에서 사용자 이름이 달라도 사진이 같으면 인공지능은 순식간에 동일인 계정임을 알아낸다. 또한 사진에는 위치정보나 태그를 지정하지 않는 게 좋다. 사진에 위치태그를 입력해놓으면 대상자가 최근 방문한 장소를 기반으로 정교한 피싱용 정보를 만들어낼 수 있다.

데이팅 앱과 채용정보 사이트는 특별히 위험한 곳이다. 이력서와 내밀한 정보 등 민감정보를 자발적으로 공개하는 플랫폼인만큼 해커에게 취약한 곳이기 때문이다. 전문가들은 해커와 피싱범들은 대상자에게 접근하기 위해 인내심을 갖고 몇 달 이상 적절한 도구와 시기를 기다린다고 말한다.

또한 소셜미디어에서는 회사 이메일 주소를 되도록 노출하지 말라고 추천한다. 해커들은 대상자의 이메일 주소를 이용해, 회사에서 보내는 메일로 속여 범죄에 활용하기 때문이다.

구본권 사람과디지털연구소장 starry9@hani.co.kr