"이게 뭐야?"…연말정산 이메일 무심코 클릭 하다가는 [최예린의 사기꾼 피하기]

입력 2023-01-21 09:00
수정 2023-01-21 10:20


‘13월의 월급’을 챙길 수 있는 연말정산, 잘 준비하고 계신가요? 세금을 되돌려받는 것도 중요하지만, 이맘때쯤 한 가지 더 기억하셔야 할 사실이 있습니다. 연말정산 시기엔 정부 기관을 사칭한 각종 피싱이 들끓는다는 점입니다. 국세청인 척 네이버 아이디·비밀번호 요구최근 국세청을 사칭한 각종 악성 이메일이 유포되고 있습니다. 국세청은 각별한 주의를 당부했는데요. 악성 이메일은 제목에 ‘국세청 세무조사 출석요구 안내통지문’이라는 문구를 넣어 마치 국세청에서 보낸 이메일처럼 위장하고 있습니다. 발송 주소도 실제 국세청의 도메인처럼 보이도록 조작했습니다.

컴퓨터 보안업체 이스트시큐리티는 메일 발송주소가 기관의 공식 주소와 동일해도 경계해야 한다고 조언했습니다. 이스트시큐리티 측은 “발신지의 공식 주소인지 여부를 확인하는 것은 해킹 메일을 구분하는 대표적인 방법의 하나인데, 공격자가 이메일 발송 서버를 구축하거나 별도 설정을 통해 실제 주소처럼 보이도록 조작하는 경우도 있다”며 “또 실제 주소를 도용하는 경우도 있으므로 발신지 주소를 100% 신뢰해선 안 된다”고 설명했습니다.



첨부된 PDF 파일을 클릭할 경우, 네이버나 카카오 등 포털사이트로 위장한 로그인 화면으로 연결됩니다. 화면 구성은 실제 포털 사이트와 거의 똑같고, 주소창의 URL도 실제 사이트와 유사합니다. 실제 주소에 영어 스펠링을 3~4개만 추가한 위장 URL입니다. 여기에 사용자가 아이디와 비밀번호를 입력하도록 유도해 계정 정보를 탈취하는 겁니다.

이렇게 입력된 개인 정보는 범죄자들에게 전달되는데요. 네이버와 카카오톡에 연결된 신용카드나 계좌 정보가 노출돼 금전적 피해로 직결될 수 있습니다. 하나의 아이디와 비밀번호만 유출돼도, 사용자가 가입한 다른 웹사이트도 해킹당할 수 있습니다. 보통 여러 사이트에서 같은 비밀번호를 사용하는 사용자들의 경향을 이용하는 건데요. 범죄자들은 자동화된 ‘봇넷’을 이용해 하나의 아이디, 비밀번호를 가지고 수많은 다른 웹사이트에 로그인을 시도합니다. 2021년 보안업체 아카마이에서 발표한 보고서에 따르면, 1개 봇넷에서 시간당 최대 30만건의 부정 로그인을 시도한다고 합니다.



개인정보 유출을 피하기 위해 기억할 점은, 국세청 등의 공공기관은 이메일을 통해 이런 정보를 요구하지 않는다는 사실입니다. 국세청 측은 “국세청은 이메일을 통해 세무조사 출석요구 안내는 물론 연말정산 관련 일체의 자료요구를 하지 않는다”며 “포털사이트 로그인 화면 연결을 통해 계정 정보를 요구하는 메일을 받은 경우 해당 메일을 즉시 삭제해야 한다”고 강조했습니다.

국세청은 피싱 메일을 인지하고 대응에 나섰습니다. 네이버, 다음 등 포털사이트에 해당 메일을 차단해달라고 요청했고, 홈페이지에 주의 안내문을 게시했습니다.
'세금' 미끼로 한 피싱, 전체 웹공격 56% 차지다양한 피싱 소재 중에서도 세금은 범죄자들이 가장 많이 사용하는 소재 중 하나입니다. 아카마이의 보안 리서치 매니저인 오어 카츠는 2021년 보고서에서 “세금 사기는 범죄자의 사전에서 가장 오래된 사기 중 하나”라며 “민감한 금융 정보를 탈취해 금전적 이득을 얻을 수 있고, 세금 납부는 매년 정기적으로 일어나는 반복 활동이기 때문”이라고 설명했습니다. 연말정산이나 세금 납부 기간에 피싱이 집중적으로 일어나는 이유입니다.

아카마이에 따르면 2020년에 공공 부문에 대한 사이버 공격의 56%는 과세 시즌에 집중됐습니다. 미국 국세청인 IRS로 위장해 PIN, 비밀번호, 아이디 등을 요구한 겁니다.

최근엔 ‘시의적절’한 피싱이 늘고 있습니다. 대학 입시 기간에 합격 발표나 입학 등록을 기다리는 사람들을 상대로 대학을 사칭하거나, 코로나로 대출 수요가 늘었을 땐 은행을 사칭하는 식입니다. 설날, 추석 등 명절도 피싱 범죄자들에겐 대목입니다.

피싱의 소재도 점점 다양해지고 있는데요. 택배사를 사칭해 링크에 들어가 배송 주소를 수정하라고 한다든가, 명절 선물로 모바일 상품권을 보내니 링크에 들어가 확인하라고 하는 식입니다. 공통점은 특정 링크로 사용자를 유도한다는 점입니다. 링크를 클릭하고 개인 정보를 입력하게 만들거나, 악성 앱을 설치하게 합니다. 일단 링크를 클릭하라는 메시지나 이메일은 주의깊게 살펴볼 필요가 있습니다.

<svg version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0" y="0" viewBox="0 0 27.4 20" class="svg-quote" xml:space="preserve" style="fill:#666; display:block; width:28px; height:20px; margin-bottom:10px"><path class="st0" d="M0,12.9C0,0.2,12.4,0,12.4,0C6.7,3.2,7.8,6.2,7.5,8.5c2.8,0.4,5,2.9,5,5.9c0,3.6-2.9,5.7-5.9,5.7 C3.2,20,0,17.4,0,12.9z M14.8,12.9C14.8,0.2,27.2,0,27.2,0c-5.7,3.2-4.6,6.2-4.8,8.5c2.8,0.4,5,2.9,5,5.9c0,3.6-2.9,5.7-5.9,5.7 C18,20,14.8,17.4,14.8,12.9z"></path></svg>
우리나라에서는 매일 859건씩 사기 범죄가 벌어지고 있습니다. '사기공화국'이라는 부끄러운 별명까지 있을 정도입니다. ‘사기꾼 피하기’는 사기 범죄가 넘치는 한국 사회에서 피해자들이 어떤 과정으로 사기 피해를 입는지, 나날이 진화하는 새로운 사기 수법은 무엇인지, 피해를 입지 않기 위해 주의할 점은 무엇인지 살펴보고자 합니다.

기자 페이지를 구독하시면 놓치지 않고 연재기사를 받아보실 수 있습니다.

최예린 기자 rambutan@hankyung.com