코로나19 확산으로 비대면 무역 거래가 늘면서 특정 업체에 악성 코드를 심은 이메일을 보내 정보를 빼내는 ‘스피어피싱’ 공격이 기승을 부리고 있다. 스피어피싱은 불특정 다수의 개인정보를 빼내는 피싱(phising)과 달리 특정인의 정보를 캐내기 위한 피싱 공격으로, 열대지방 어민이 하는 작살낚시(spearfishing)에 빗댄 표현이다.

주로 수신자에게 익숙하고 믿을만한 송신자 혹은 지인으로부터의 메일을 사용한다. 수신자의 친구, 혹은 물건을 구입한 온라인 쇼핑몰의 계정으로 가장해 메일을 보내 수신자의 개인 정보를 요청하거나 정상적인 문서 파일로 위장한 악성코드를 실행하도록 하는 방식이 많다.

국정원이 최근 국내 기업과 정부기관을 상대로 스피어피싱 주의보를 내렸다. 국내 업체 A사는 해외 거래처 B사로부터 “방역 마스크를 구해달라”는 요청을 받았고, A사는 또 다른 해외기업 C사로부터 마스크를 사서 재판매하기로 하고 물품대금을 보냈으나 마스크를 받지는 못했다. 알고 보니, A사를 해킹해 거래처 정보를 파악한 국제범죄조직이 B사와 C사 2곳을 동시 사칭해, 거래 시작부터 끝까지 A사를 속인 것이었다. 국내 D사의 이메일 계정을 뚫어버린 한 범죄조직은 싱가포르 거래처에 허위 계좌를 보냈고, “이 계좌가 맞느냐”는 거래처 확인 요청 메일까지 실시간으로 삭제해 물품대금을 가로챈 경우도 있었다.

스피어피싱을 막기 위해서는 해외 거래처가 결제대금 계좌 변경을 요청할 경우 반드시 전화 등으로 진위를 확인하고, 출처 불명 파일은 바로 지우고, 악성 코드를 주기적으로 검사하는 등 보안 수칙을 철저히 지켜야한다. 비대면시대, 낯선 유형의 범죄인 만큼 한층 경각심을 높여야 막을 수 있다.

/김진호(서울취재본부장)