[TE머묾] 피싱 공격 당한 어르신 안심시킨 썰

아는 형님에게서 전화가 왔다. 다급한 목소리였다. 어머니께서 수상한 문자를 받으셨는데, 거기에 답장을 하셨다는 것이었다. 상황을 좀 더 알고자 형님 어머니께 직접 전화를 걸었다. 어르신은 사기 문자에 반응했다는 것에 스스로 너무 놀라서 목소리가 떨리고 있었다. 그래도 어떻게든 정신을 차리시고 근처 대리점으로 가셨고, 나와 통화 연결이 됐을 때는 대신 전화를 받아 줄 젊은이가 옆에 있었다. “나는 가슴이 떨려서 말도 못 하겠네”라며 젊은 대리점 직원을 바꿔주셨다.

직원은 이미 상황 파악을 마쳤는지 별일 아니라고 나를 안심시키기 시작했다. 무슨 일이냐고 물었을 때 그 젊은이는 “피싱 문자가 왔는데, 그게 심지어 텍스트가 아니라 문자 자체를 화면 캡처한 이미지”라며 “아무런 링크도 걸려 있지 않고, 로그인 정보를 묻는 내용도 아니었다”라고 설명했다. 내용은 “엄마, 나 핸드폰 고장 나서 다른 번호로 문자 하는데, 엄마 명의로 핸드폰 보험 접수해도 돼”냐는 것이었다. 거기에 어르신께서는 “ㅇㅇ”로 답하셨다고 한다. 그것뿐이었다. 난 그 피싱 이미지를 보내달라고 했고, 곧 받아볼 수 있었다.

이미지로 봐서는 정말 별일 아닌 듯 보였다. 문자 내용이 텍스트가 아니라 화면 캡처 이미지 형태로 전달됐는데, 다른 이유는 없고, 공격자가 불특정 다수에게 조금이라도 더 간편하게 보내기 위해 그렇게 한 것으로 보였다. 한 마디로 성의가 매우 부족한 공격, 즉 고도의 스킬이나 집요함 같은 것이 전혀 보이지 않는 시도였다는 것이다. 클릭할 수 있는 링크가 있는 것도 아니고, 비밀번호를 묻는 것도 아니었다. 대리점 젊은이의 “별 일 아니다”라는 말에 수긍이 갔다.

하지만 난 정보 보안을 전문으로 하는 기자다. 전문가들처럼 가상기계를 돌리거나 샌드박스 환경을 갖춰 파일을 분석하지는 못하지만, 그런 전문가들을 자주 접하는 ‘서당 개’ 정도는 된다. 어쩌면 스테가노그래피 공격일 수도 있다는 생각이 제일 먼저 들어, 파일을 전화기에 저장했다. 스테가노그래피는 이미지 파일 안에 악성 코드를 숨겨 두는 것이라, 이미지를 디스크에 저장했을 때 용량이 커질 수밖에 없다. 문제의 피싱 이미지는 123kb로, 적당했다. 악성 코드를 의심할 정도는 아니었다.

그래도 아직 안심하기엔 일렀다. 123kb가 적당한 크기라는 건 오로지 내 ‘감’ 일뿐이었고, 그것은 주관적 느낌이라 안심의 근거가 되기엔 부족했다. 그래서 바이러스토탈에 접속해 그 이미지 파일을 업로드했다. 그리고 결과를 기다렸는데, 모든 엔진에서 undetected 즉 악성 요소를 탐지하지 못했다는 진단이 나왔다. 가끔 멀웨어들 중에 바이러스토탈에 있는 엔진 대부분을 비껴가는 것들이 있긴 한데, 이번이 그런 경우가 될 확률은 높지 않아 보였다. 이렇게 단 하나의 엔진도 탐지를 못하는 멀웨어는 흔치 않은 것으로 ‘서당 개’는 알고 있다.

그렇게 두 가지 검사(용량과 바이러스토탈)를 마치고 난 내 선에서의 결론을 내릴 수 있었다. 파일은 무해했고, 어르신은 안심해도 되었다. 게다가 스테가노그래피 공격은 이미지를 열람하고 저장하는 것만으로 시작되지 않는다. 그 이미지를 특정 애플리케이션을 통해 열어야 악성 코드가 발동되기 때문이다. 어르신이 그 문자 이미지를 별도로 저장하여 모바일 포토샵 같은 걸로 열어보지는 않으셨을 것이고, 그냥 문자에 첨부된 이미지만 보고 답문을 보내신 것뿐이라 현존하는 해킹 기술로는 어르신이 피해를 입을 확률은 희박해 보였다.

안심하셔도 된다는 말에 어르신은 한숨을 내쉬셨다. 하지만 곧 따님에 대한 원망을 볼멘소리로 내뱉으셨다. 딸이 평소에 전화를 너무 안 해서, 딸이 오랜만에 보낸 것 같아 보이는 문자가 반가웠다는 것이었다. 그래서 반사적으로 ‘ㅇㅇ’이라고 답을 보내시고 곰곰이 생각하다 놀라셨다는 건데, 결국 딸이 평소에도 전화를 자주 하고 문자도 자주 보냈다면 이렇게 가슴 쓸어내릴 일은 없었을 거라고 어르신은 하소연을 하셨다. 난 가정 상담 전문 기자는 아니기에, 대강 맞장구 정도 쳐드리고 전화를 끊었다.

평소, 평소, 평소
그런데 어르신 말씀이 계속 남았다. 평소에 살갑게 연락하고 지냈다면, 그 문자에 어르신은 반응하지 않으셨을까? 오히려 자주 연락하던 딸이 명의 좀 쓰자고 하는 요청이 더 자연스럽지 않았을까? 그랬다면 놀라서 대리점으로 달려가시는 후속 조치의 반응도 더 더뎌지지 않았을까? 이번엔 공격이 허술해서 다행이었지 만약 실제 정교한 공격이 들어간 것이었다면, 어머님의 더딘 반응이 치명적으로 작용했을 수도 있다. 

그렇다고 우리 모두 이런 공격에 대비하기 위해 부모님과 자주 연락하지 말자고 말하기에는, 그것도 쉽게 수긍이 가지 않는다. 평소 자주 연락을 하지 않았기 때문에 갑작스러운 연락을 빠르게 의심할 수도 있지만, 반대로 평소 자주 연락을 했기 때문에 갑작스러운 연락 속 말투나 단어 선정 등이 낯설다는 걸 본능처럼 느낄 수도 있기 때문이다. 둘 다 가상 시나리오이지 확인할 길은 없다. 이 사건의 원흉을 딸로 돌리는 것 자체가 결과론에 끼워 맞추는 것이니, 마땅한 답이 나올 리도 없다. 

답은 없지만 문제는 남아 있다. ‘우리는 평소 어떻게 보안 취약 계층인 어르신들을 보호해야 하는가?’ 우리나라에서만이 아니라 외국에서도 어르신들은 전화 사기에 높은 확률로 당한다고 한다. 최첨단 해킹 공격과 사기술에 대해 잘 모르고, IT 기술에 대한 두려움을 가지고 있는 계층이면서, 어느 정도 재산도 쌓아두고 있어, 공격자들은 숫제 어르신들을 일부러 노리기도 한다. ‘교통 약자’라는 용어까지 만들어 노인과 임산부, 아이들을 교통 환경에서 보호하듯, 사이버 보안 분야에서도 IT 분야를 낯설어하는 이들을 위한 대책 마련이 시급하다. 부모님께 자주 연락을 드리네 마네로 2지선다 할 문제가 아니다.

모두가 합세해야
‘어르신들을 어떻게 보호해야 할까?’ 이번 사건이 풀리는 과정 중에 힌트가 있는 듯하다. 첫 번째는 ‘주변인’이다. 평소 이 어르신의 아들 되는 형님은 내가 보안 전문 기자라는 걸 알고 계셨다. 완전히 이해하지는 못해도 해킹 공격이나 보이스 피싱 같은 사건을 다룬다는 걸 어렴풋이 인지하고 있었다. 그 형님을 통해 어머님도 대강은 알고 계셨다. 여러 번 묻기도 하셨다. 기자긴 기잔데, 무슨 기자라고? 그럴 때마다 “컴퓨터나 핸드폰 통해 일어나는 범죄 소식을 다룬다”라고 답해드렸는데, 어느 정도는 그분 마음에 입력이 된 듯하다. 그러니 어머니는 아들에게, 아들은 나에게 연락이 닿은 것이다. 일종의 비상연락망이 형성된 것인데, 보안에 발을 걸치고 있는 사람들이라면 평소 ‘나는 이런저런 사람이다’라는 걸 알리는 게 중요하다는 걸 알 수 있다. 일반인들이라면 주변에 보안 좀 아는 사람들을 평상시 알아두는 게 좋다.

통신사 대리점 직원에게도 난 무척 놀랐다. 피싱 공격을 많이 접한 건지 회사에서 교육을 받은 건지는 모르겠지만 “이미지로 보낸 (성의 없는) 공격”이라는 점과 “로그인 정보를 묻거나 링크를 클릭하라고 하지 않았다”는 걸 근거로 생면부지 취약한 어르신을 안심시키고 있었으니 말이다. 실제 수많은 어르신들이 핸드폰에 문제가 생겼을 때 먼저 떠오르는 건 거리마다 찾을 수 있는 통신사 대리점 직원들일 것 같다는 생각이 들었다.

그렇다면 각 통신사들은 대리점 직원들에게 보안 교육을 하는 게 어떨까? 마침 최근 SKT 사건으로 KT와 LG가 보안 강조 마케팅을 활발히 펼치고 있는데, 그 마케팅이 그저 문구에서 그치는 게 아니라면 사내 교육 프로그램으로 진심을 증명할 수 있을 것이다. 고객이 모바일에서 한 가벼운 행위들에 대해 듣고 ‘이상 무’ 라거나 ‘전문가에게 의뢰해 볼 만한 일’이라고 진단을 내려줄 수 있는 사람들이 대리점마다 하나씩 있다면, 너무 꿈만 같은 일일까. 통신사가 합심해 단통법 밀어붙였을 때처럼 이런 ‘보안 상담원 제도’도 만들면 얼마나 좋을까.

마지막으로 일반인들이 참고할 만한 가벼운 보안 확인 기법 등이 평상시 좀 더 널리 퍼져야 한다. 스테가노그래피 공격이 의심된다면 1) 애플리케이션으로 이미지를 열지 않는다, 2) 이미지가 디스크에서 용량을 얼마나 차지하는지 확인한다, 3) 바이러스토탈과 같은 손쉬운 서비스를 활용해 파일을 검사한다, 와 같은 스텝만 밟을 줄 알아도 두려움에서 상당히 해방되니까 말이다. 예부터 지식이란, 두려움을 쫓아내는 막대기니까.

“아이는 온 마을이 키운다(It takes a village to raise a child)’는 말이 있다. 아이가 자라는 데 있어 부모와 직계가족만이 아니라 주변 이웃에까지 깊은 영향을 받는다는 걸 지적한 명언이다. 이제 사람들이 아이도 잘 낳지 않아 어르신들이 더 많아지는 때, IT 기술을 활용한 공격자들이 집요하게 어르신들을 노리는 때, “어르신 보호하려면 온 마을이 동원돼야 한다(It takes a village to protect seniors)”라는 명언이 어디선가 나와야 할지도 모르겠다.

• 이 글은 필자의 브런치 계정(www.brunch.co.kr/@anotherphase)을 통해서도 연재됩니다. 거기서 더 많은 소통을 이루실 수 있습니다.

Related Materials

• What Are Common Text Message Scams Targeting Older Adults? - NCOA, 2024년
• Top text scams of 2024 - Federal Trade Commission (FTC), 2025년
• FTC Report Shows Older Adults Hit Hard by Scams, Fraud - AARP, 2025년
• 5 Cyber Scams Targeting Seniors (Smishing 포함) - RBC Wealth Management, 2024년

[TE머묾] 지혜 지킴이로서의 보안

💡Editor’s Pick - 지난 ‘반지성주의’ 어쩌구 글에 이어... - 보안은 사회 지지하는 마지막 보루일 수 있어 - 숨어 있는 보안의 역할을 알고 담당하는 게 참 재미 지난 [TE머묾]을 통해 ‘반지성주의’라는 단어를 언급했다. 써놓고는 혼자 민망함에 끙끙댔다. 이 시대 대표 지성인인 것도 아닌데, 흔한 시골 동네 ‘듣보잡’ 일뿐인 자가

The Tech EdgeJustAnotherEditor

[TE머묾] 반지성주의에 맞서는 보안

💡Editor’s Pick - 보안에 귀를 안 기울이는 건 시대 흐름 - 보안 담당자 vs. 사용자가 아니라 vs. 시대 전체 - 부끄러움을 특효약처럼 쓸 수도, 실천 보안을 추구할 수도 사실 누구나 어렴풋하게라도 느끼고 있던 것이었다. 이미 수천 년 전에도 예언된 바 있는 것이기도 한 것, 바로 반지성주의라는 게 우리 삶 한

The Tech EdgeJustAnotherEditor

[TE머묾] 미래시제는 종종 부정문이다

💡Editor’s Pick - 요즘 해킹 사고 한두 번은 어쩔 수 없는 일 - 사고 후 대처, 공허한 약속만 있는 건 아닌지 - 처음부터 무결한 건 바라지 않으니, 후속 조치만이라도 잘 했으면 크리스마스 캐럴 중 ‘루돌프 사슴코’에는 현대인들에게 꼭 필요한 메시지가 담겨 있다. 특히 이 부분이 백미다. “그 후로 사슴들은

The Tech EdgeJustAnotherEditor