미국 성인 10명중 7명이 온라인 사기 피해를 경험한 것으로 나타나 충격을 주고 있다. 특히 최근 범죄자들이 이메일·메시지를 넘어, 온라인 캘린더와 다중 인증 앱 등 일상적으로 사용하는 보안·업무 도구까지 침투해 신종 피싱(Phishing) 공격을 벌이는 것으로 드러났다고 LA타임스가 보도했다.

최근 퓨리서치센터가 전국 성인 9,000여 명을 대상으로 실시한 조사에서 응답자의 73%가 한 번 이상 온라인 사기나 공격을 당했다고 답했다.

피해 유형 중에서는 ▲신용카드 사기 ▲온라인 샤핑 사기 ▲랜섬웨어 공격이 가장 많았다. 랜섬웨어는 컴퓨터 파일이나 시스템에 접근할 수 없게 한 뒤 돈을 요구하는 악성 프로그램이다.

응답자의 24%는 사기성 이메일·문자·전화로 인해 개인정보를 넘겼다고 밝혔으며, 32%는 지난 1년 내에 사기 피해를 경험했다.

흔히 고령층이 온라인 사기에 더 취약하다고 생각하지만, 연방거래위원회(FTC)의 2021년 보고에 따르면 18~59세 연령층(Z세대·X세대)은 60세 이상보다 사기 피해로 돈을 잃을 확률이 34% 높았다. 젊은 층은 특히 SNS 광고, 투자 사기, 허위 구인광고 등 디지털 플랫폼 기반 범죄에 쉽게 노출됐다.

최근 확산 중인 3대 신종 수법은 다음과 같다.

■ 온라인 캘린더 피싱 초대

구글·아웃룩 등 이메일과 연동된 캘린더에 승인 없이 일정이 자동 등록된다. 사용자가 초대장을 클릭하면 가짜 화상회의(줌) 링크나 ‘소프트웨어 업데이트’로 위장한 악성코드 설치 페이지로 이동한다. 발신자 주소나 링크에 철자 오류가 있고, 업무 관련 일정인데도 본인만 초대를 받는 경우가 많다.

예방: 캘린더 자동 업데이트 기능을 꺼두고, 초대장에 직접 응답하지 말며 발신 기관에 별도 확인한다.

■ 다중 인증 앱 피로 공격(MFA Fatigue Attack)

인증 앱(예: Google Authenticator, Microsoft Authenticator)에서 요청하지 않은 로그인 승인 알림이 연속적으로 전송된다. 사용자가 번거로움에 못 이겨 클릭하면 계정 접근 권한이 탈취된다. 짧은 시간에 인증 요청이 여러 번 반복되며, 사용자가 직접 시도하지 않았는데도 코드나 승인 알림이 온다.

예방: 승인 알림 대신 직접 코드를 입력하는 방식을 사용하고 비밀번호를 주기적 변경한다.

■ HTML 첨부파일을 이용한 악성 이메일

이메일에 HTML/HTM 파일을 첨부해 보내고, 사용자가 이를 열면 자바스크립트 등 악성코드가 실행되거나 피싱 페이지가 열린다. 발신자가 낯설고, 첨부파일이 요청되지 않은 경우가 많다. 신뢰할 만한 기관 이름을 사칭해 위장하기도 한다.

예방: 첨부파일 클릭 전 URL 철자 변형(타이포스쿼팅) 여부를 확인하고 의심 메일은 즉시 삭제한다.

백신 프로그램 제조업체 노튼의 이스칸더 산체스-롤라 AI·혁신 부문 디렉터는 “온라인 캘린더, 인증 앱, 이메일 등 신뢰도가 높은 툴일수록 사용자가 의심 없이 반응할 가능성이 높아 범죄자들이 노린다”고 말했다. 포티넷의 보안전략 책임자 데릭 맹키는 “요청하지 않은 로그인 승인을 누르는 건 집 열쇠를 낯선 사람에게 건네는 것과 같다”며 “항상 의심부터 하고, 모르는 첨부파일이나 링크는 열지 말라”고 경고했다.

전문가들은 또한 “피해를 최소화하려면 비밀번호를 자주 변경하고, 다중 인증 방식을 보완하며, 의심되는 메시지나 일정은 반드시 직접 확인하는 습관”을 가져야 한다고 강조했다.