휴일이나 연말 쇼핑시즌은 ‘해커들의 명절’

[애플경제 이윤순 기자] 국내외를 막론하고 해커 등 사이버범죄자들은 특히 휴일이나 연말, 명절 등에 더욱 기승을 부리는 것으로 나타났다. 이들에게 이런 시기는 그야말로 ‘대목’인 셈이다.

이는 해외 유명 보안업체들의 실태 조사에서도 입증되고 있다. 사이버보안업체 사이버린트나, 보안 및 클라우딩 업체인 아카마이(Akamai) 등에 따르면 특히 이들은 휴일 온라인쇼핑객들을 주요 타깃으로 삼는 것으로 드러났다.

실제로 사이버린트 연구에 따르면 피싱은 매년 12월은 연중 관찰된 월 평균에 비해 46%나 급증했다. 또한 아카마이에 따르면 매년 10월 중순에서 11월 말 사이에 피싱 피해자가 평균 150%나 증가했다. 이는 소비자들이 휴일 온라인 쇼핑 열기 속에서 경계심이 많이 사라지기 때문으로 분석된다. 특히 개인 뿐 아니라 기업들도 문제다. 사이버린트는 “조사 대상 기업체의 89%가 휴무 기간에 특히 사이버 공격을 우려하고 있다”고 전했다. 이는 휴일엔 보안 인력을 비롯한 직원들도 적고, 시스템도 그 만큼 허술해 뚫고 들어가기가 쉽기 때문이다. 마치 휴일에 빈 사무실이나 공장에 침입하는 절도범들과 똑같은 모습이다.

각국의 휴일 사이버 공격 피해 사례

대표적인 사례로 2023년 크리스마스 이브에 여러 나라에서 동시다발적으로 벌어졌던 사이버공격을 들 수 있다. 록비트 랜섬웨어 집단은 크리스마스 전날 독일의 공공 병원 네트워크 ‘KHO’를 마비시킨 바 있다. ‘KHO’는 록비트 그룹의 ‘Lockbit 3.0’ 랜섬웨어 공격을 받아 시스템이 마비되었다. 이로 인해 특히 독일의 대표적인 병원들이 정상 진료를 하지 못하는 상황이 빚어졌다.

미국의 오하이오 복권 시스템도 역시 같은 날 심각한 사이버 공격을 받아 주요 내부 애플리케이션이 마비되었다. 게임 시스템은 계속 작동했지만 모바일 현금화 나 고가의 상금 청구와 같은 기능이 중단되었다. 유럽형사경찰기구(유로폴)에 따르면 또 이날 유럽을 비롯한 세계 각국에서 400개 이상의 전자상거래 웹사이트가 악성 스크립트로 해킹당해 구매 고객들의 직불카드와 신용카드가 도난당하는 사태가 일어났다.

2022년 연말엔 언론사인 가디언에 대한 공격이 있었다. 피싱으로 랜섬웨어가 스며들면서, 연말을 앞두고 집행되어야 할 직원들의 급여 지불이나, 신문 인쇄 등 핵심 기능이 마비되었다. 같은 시기엔 또 범죄자들은 각 대학 직원들을 표적으로 삼아 ‘크리스마스 보너스’를 약속하는 피싱 이메일을 배포했다. 해당 이메일에는 직원들의 액세스 자격 증명을 훔치도록 설계된 악성 HTML 첨부 파일이 포함되어 있었다.

휴일 사이버범죄, 왜 극성을 부릴까

이처럼 휴일은 사이버범죄자들에게 ‘잔칫날’이나 다름없는 셈이 되었다. 특히 날로 많은 구매가 온라인에서 이루어지고 있으며, 2021년과 2022년엔 휴일 구매의 약 63%가 온라인에서 이루어졌다. 그에 비례해서 사이버공격으로 인한 피해도 날로 증가하고 있다.

특히 소매업체들은 휴일이나 연휴 기간엔 파격적인 할인행사 등으로 소비자들을 유인한다. 평소같으면 충분히 경계할만한 피싱 사기꾼들을 자칫 간과하고, 속아넘어갈 소지가 크다. 또 휴일 할인 시즌엔 온갖 홍보 이메일, 쇼핑 공지, 주문 영수증, 자선 기부 요청 등이 쏟아지면서, 이들 범죄자들이 좀체 감지되지 않는다는 점도 원인으로 꼽힌다. 또 기업체들은 휴일에는 대부분의 직원들이 쉰다. 당연히 사이버 보안 부서도 최소한으로 운영되기 때문에 해커들이 침입이 한층 용이해진다.

사이버린트는 “다시 말해 사이버범죄자들에게 휴일보다 더 좋은 시기는 없다”면서 “사이버 보안 책임자들에게도 휴일일수록 사이버위협과 잠재적 공격에 대비하는 노력이 필요하다”고 주문했다.

사기꾼들이 즐겨쓰는 수법들

휴일 대목을 노리는 사기꾼들이 가장 즐겨쓰는 수법은 ‘피싱’이다. 수신자가 악성 사이트로 연결되는 링크를 따라가도록 유인하기 위해 이메일이나 소셜미디어를 통해 ‘가짜 주문 영수증’을 보내기도 한다. 흔히 이런 경우 맬웨어를 다운로드하거나 피해자의 개인정보를 입력하도록 유도하곤 한다.

소비자의 온라인 주문에 관한 세부 정보가 포함된 이메일이나 문자를 보내는 수법도 쓴다. 이는 PII를 훔치거나 지불을 요청하는 피싱 페이지로 이어질 수 있다. 또한 개인 정보를 유도하거나 자금을 훔치도록 설계된 대화를 시작하는 도구가 될 수도 있다. 국제 ‘인터넷 범죄 신고 센터’(IC3)의 2022년 보고서에 따르면, 미지불 또는 미배달 사기로 인해 한해동안 소비자가 입은 피해만 2억 8,100만 달러 이상인 것으로 알려졌다.

또 기업체를 대상으로 상품을 주문, 배송을 먼저 해달라고 하면서 비용을 지불하지 않는 경우도 있다. 쇼핑 주문이 쏟아지는 휴일 기간에 이런 수법이 등장한다. 또 쇼핑객들을 유인하기 위해 가짜 거래를 유도하는 ‘소셜 프로필’을 만들기도 한다.

이 밖에도 여행시즌에는 무료 또는 할인된 가격의 여행이나 숙박에 대한 거짓 온라인 예약을 받기도 한다. 또한 합법적인 상품권이나 할인 코드를 대량으로 훔친 다음, 큰 폭의 할인가로 재판매하기도 하고, 아예 합법적인 상품권과 할인 코드가 생성되는 방식을 알아낸 다음 마치 소매업체처럼 진짜 상품과 구별할 수 없는 불법 상품권을 만드는 사례도 있다. 그래서 “요청하지 않은 이메일이나 생소한 웹사이트를 통해 ‘기프트 카드’를 구매하면 100% 사기”라고 전문가들은 경고한다.

이들 사기꾼은 또 검색 엔진과 다른 사이트에 광고를 게재, 소비자들을 유인하거나, 광고에 휴일 관련 프로모션을 자주 사용하기도 한다.

쇼핑업체나 전자상거래 업체를 표적으로 삼는 피싱 사기도 횡행한다. 휴일 쇼핑시즌에는 임시 채용이 늘어나고, 계절 근로자들도 많다. 이들은 회사의 업무 관행과 의사 소통 규범에 익숙하지 않기 때문에 사기꾼들의 만만한 표적이 되곤 한다. 사기꾼들은 또 자선 기부를 요청하는 웹사이트, 이메일, 문자 메시지를 통해, 휴일 동안 기부하려는 경향이 높아지는 현상을 악용하기도 한다.

사이버린트는 이에 “유통업체나 전자상거래업체, 소비자들은 특히 휴일 사이버공격에 대비한 전략을 강구해야 한다”고 밝혔다. 또한 “24시간 대응팀을 운영하거나, 다크웹 분석, ‘기프트 카드’ 사기 등에 주의해야 한다”면서 “동시에, 자사와 유사한 도메인을 추적, 사기꾼이 이를 사칭하는 웹사이트를 설정하려는 시도를 방지해야 한다”고 조언했다.