은행계좌 번호를 알려주면 거액을 송금해주겠다는 나이지리아 왕자의 이메일은 누가 봐도 한눈에 사기라는 걸 알 수 있다. 하지만 직장 동료가 회사 데이터베이스 저장에 필요하다며 개인 신상정보를 알려달라는 메일을 보냈다면,또 어머니가 주민등록번호를 알려달라는 메일을 보냈다면 이를 사기라고 생각할 수 있을까?
구글의 지메일(Gmail)이 해킹당한 사실이 알려져 충격을 주고 있는 가운데 직장동료나 친구, 가족을 사칭한 이메일 사기인 (Spear Phishing)이 기승을 부리고 있다고 뉴욕타임스(NYT)가 3일 보도했다. 스피어 피싱은 불특정 다수를 상대로 신상정보를 빼내려는 일반적인 이메일 사기와 달리 특정한 사람을 표적으로 삼아 개인정보를 알아내려는 이메일 사기 공격을 지칭한다. 구글의 이번 지메일 해킹에서도 지메일 계정 수백개의 패스워드를 빼내기 위해 이런 정교한 전략이 사용됐다. 힐러리 클린턴 연방국무장관은 연방수사국(FBI)이 이번 해킹 공격에 대해 조사를 진행하고 있다고 밝혔으며 구글은 공격의 진원지가 중국 중부 산둥성 지난 지방으로 추정된다고 밝혔다. 이같은 이메일 해킹 전략은 최근 정보보안 업체 RSA를 통해 이뤄진 록히드 마틴에 대한 공격에도 사용됐다.
전문가들은 이런 이메일 해킹이 기존의 피싱 공격과는 전혀 상이한 것이며 수신자가 사기 여부를 알아차리기가 쉽지 않다고 지적했다. 수신자가 잘 알고 있는 친구나 동료, 심지어 가족의 이메일 계정을 사용하는데다 개인 정보를 요구하는 내용 또한 그럴듯한 논리로 포장돼 있어 의심하기가 어렵다는 것이다. 컴퓨터 보안업체 시멘텍은 이런 특정표적을 노린 공격이 지난 3월에만 1일 85건가량 적발됐다면서 대부분 정부 부처 관계자나 기업의 임원 등이 표적이었다고 전했다. 일부 이메일에서는 수신자가 지메일의 패스워드를 입력하게 만들려고 가짜 지메일 로그인 화면을 사용하기도 하는 것으로 알려졌다. 미시간주 소재 데이터보안 리서치업체 포네몬연구소의 래리 포네몬 회장은 사기 메일이 워낙 정교하고 그럴 듯하기 때문에 심지어 일부 기업체 보안 담당자들도 피해를 본 경우가 있다고 전했다.