상하이방

中 정재계 큰손들 신상 털려
LG화학 이메일 피싱 240억 사기

최근 중국은 알리바바의 마윈, 텅쉰의 마화텅, 바이두의 리옌홍 등 재계 큰손들의 신분증번호, 주소 등이 인터넷에 나돌아 개인정보 유출의 심각성을 드러냈다. 한국은 LG화학이 해킹 이메일로 인한 240억원의 무역대금 사기를 당해 떠들썩했다. 개인이 각별히 조심하지 않으면 유명인과 대기업도 해커들의 공격을 피할 수 없는 일이다.

확인 또 확인 ‘피싱’ 주의

최근 LG화학이 해킹 이메일에 속아 240억원을 송금한 일이 발생했다. 해킹을 통한 무역대금 사기사건이 간혹 회자돼 왔는데 대기업의 대규모 피해액이라 파장이 크다. LG화학은 지난달 사우디 국영기업 아람코의 자회사 명의로 된 이메일을 받았다. 납품대금 계좌가 변경됐다는 내용이었다. 이에 LG화학은 240억을 송금했지만 해당 계좌는 아람코와 관계가 없는 것으로 확인됐다. 이메일 해킹으로 자세한 내용을 파악하고 연락을 취했던 것이다.

이 같은 피해소식에 상하이 의류무역업 종사자 문 모씨도 거액의 무역대금 사기를 당할 뻔 했다며 가슴을 쓸어 내린다. 지난해 지속적으로 업무를 해온 공급상으로부터 대금계좌가 변경됐다는 이메일을 받았다. 자신이 보낸 이메일에 회신메일로 왔기 때문에 의심없이 송금하려던 순간, 변경된 은행계좌명이 풀네임이 아닌 ‘ICBC’로만 돼있어서 정확한 은행명과 지점을 확인하는 과정에서 해킹임이 드러났다는 것. 그는 아찔했던 순간이라며 교민들도 피싱(Phishing)에 낚이지 않도록 주의해야 할 것이라고 말했다.

이메일 해킹을 예방하기 위해서는 ▲정기적인 비밀번호 변경 ▲OTP(일회성 비밀번호생성기), 보안토큰(비밀정보 복사방지) 사용 ▲출처불명 또는 금융기관 주소와 '다른 주소'로 발송된 이메일 즉시 삭제 ▲이메일 첨부파일에 확장자가 '.exe, .bat, .src 등 압축파일'이면 절대 열람하지 말아야 한다.

‘스미싱’ 수법 진화

보이스피싱에서 이메일피싱으로 진화하듯, 이용자들이 인터넷뱅킹에서 모바일뱅킹으로 옮겨가는 추세에 맞춰 해커들의 공격시장도 바뀌고 있다. 문자 메시지(SMS)와 피싱(Phishing)의 합성어인 ‘스미싱(Smishing)’이 그것이다. 문자메시지 내 인터넷 주소나 전화번호를 클릭하면 스마트폰에 악성코드가 설치되어 범인에게 결제 인증번호가 전송되는 경우다.

최근 웨이신(微信) 송금을 통한 새로운 스미싱 수법의 피해사례도 발생하고 있다. 웨이신으로 일정 금액을 보낸 후 실수했다며 일단 보낸 금액을 ‘수락’한 후 다시 보내줄 것을 요구한다는 것이다. 기다리면 취소될 것이라도 해도, 급하다며 재촉한다는 것. 그러나 금액을 수락하는 순간 휴대폰에 악성코드가 설치되어 계좌정보가 전송돼 버린다고 한다. 최근 웨이신 결제를 활용하는 교민들이 늘고 있으므로 모르는 사람이 송금할 경우 받지 말아야 하며, 웨이신, 즈푸바오 등과 연동된 계좌에는 최소한의 금액만을 입금해 두는 것도 피해를 줄이는 하나의 방법이다.

‘피싱’보다 더 무서운 ‘파밍’

우중루에 근무하는 김 모씨는 열흘 간격으로 수상한 이메일을 서너차례 받았다. 주변 지인들의 이름으로 발송된 이메일에는 첨부된 한글파일을 알려준 비밀번호를 입력해 열어보라는 내용이다. 비밀스럽지 않는 제목의 파일을 암호를 넣고 열어보라고 하니 미심쩍어 삭제했다.

전문업체들은 “이메일 해킹으로 악성코드에 감염된 사용자 PC를 조작해 개인정보나 금융정보를 빼내는 ‘파밍(Pharming)’”이라며 만약 파일을 열었더라면 개인 아이디와 비밀번호, 각종 중요한 정보들이 해커들에게 그대로 노출돼 피싱보다 더 큰 피해를 입을 수 있다”고 전했다. 또 ▲출처불명의 파일이나 이메일은 즉시 삭제하고 ▲컴퓨터와 이메일 등에 공인인증서, 보안카드 사진, 비밀번호를 저장하지 말아야 한다고 조언했다.

고수미 기자