피싱 사기

피싱은 1990년대 중반 미국 해커들이 AOL(America Online) 사용자를 대상으로 관리자를 사칭하며 처음 등장했다. 당시 해커들은 무료 접속 권한을 얻기 위해 신용카드 번호를 요구하는 방식을 사용했다. 용어는 낚시를 뜻하는 'Fishing'에 개인정보를 뜻하는 'Private data' 또는 전화망 해킹을 뜻하는 'Phreaking'이 결합된 형태이다. 공격자는 신뢰할 수 있는 출처로 위장한 메시지를 보내 피해자가 링크를 클릭하거나 첨부 파일을 열도록 유도하며, 이를 통해 악성코드를 설치하거나 가짜 웹사이트로 접속하게 하여 정보를 탈취한다.

피싱 사기는 전달 매체와 공격 대상에 따라 다음과 같이 분류된다.

• 스피어 피싱(Spear Phishing): 특정한 개인이나 기업을 표적으로 삼아 정교하게 시도하는 공격이다.
• 클론 피싱(Clone Phishing): 과거에 전달된 적법한 이메일을 복제하여 악성 링크나 파일을 포함시킨 뒤 재전송하는 방식이다.
• 웨일링(Whaling): 기업의 고위 경영진 등 사회적 지위가 높은 인물을 대상으로 하는 피싱이다.
• 스미싱(Smishing): 문자 메시지(SMS)를 이용해 악성 사이트 접속이나 앱 설치를 유도한다.
• 큐싱(Qshing): QR 코드를 악용하여 사용자를 악성 사이트로 연결한다.
• 보이스피싱(Voice Phishing): 전화를 통해 공공기관이나 금융기관을 사칭하여 금전을 가로챈다.

피싱은 기술적 취약점보다 사람의 실수나 심리적 압박을 이용하는 소셜 엔지니어링 기법을 주로 사용한다. 공격자는 다음과 같은 심리 조작 전술을 구사한다.

1. 권위 사칭: 경찰, 검찰, 금융감독원 등 공공기관이나 직장 상사, 유명 브랜드 대표를 사칭하여 신뢰를 얻는다.
2. 긴급성 조성: 계좌 보안 문제, 출금 안내, 택배 배송 오류 등을 명분으로 내세워 피해자가 이성적으로 판단할 시간적 여유를 주지 않고 급박하게 행동하도록 압박한다.
3. 호기심 및 이익 유혹: 경품 당첨, 저금리 대출, 구인 광고 등을 통해 사용자의 관심을 끈다.

피싱은 사이버 보안 위협 중 가장 흔한 데이터 유출 경로 중 하나이다. 안랩의 2026년 1분기 보고서에 따르면 피싱 문자의 유형별 비중은 다음과 같다.

2025년 1분기 기준 보이스피싱 범죄는 5,878건 발생하였으며, 총 피해액은 3,116억 원에 달했다. 건당 평균 피해액은 약 5,301만 원으로 집계되었으며, 피해자 중 50대 이상의 비중이 53%로 과반을 차지했다.

피싱 사기를 방지하기 위해 법적 규제, 사용자 교육, 기술적 도구가 활용된다.

• 사용자 주의: 출처가 불분명한 링크를 클릭하지 않아야 하며, 금융기관이나 공공기관이 문자나 전화로 계좌 비밀번호 또는 송금을 요구하지 않는다는 사실을 숙지해야 한다.
• 기술적 조치: 백신 프로그램을 최신 상태로 유지하고, 계정 보안을 위해 2단계 인증(2FA)을 사용하는 것이 권장된다.
• 기관 협력: 피싱 사고 발생 시 즉시 해당 금융기관이나 경찰청(112), 검찰청 등에 신고하여 계좌 지급 정지 등의 조치를 취해야 한다. 또한 지연인출·이체제도와 같은 예방 서비스를 활용할 수 있다.