최근 해외에서는 트위터, 페이스북 등 소셜 네트워킹 사이트를 이용한 피싱에 대한 우려가 증가하고 있다. 소셜 네트워킹 사이트가 아직 다양하지 못한 우리나라도 또한 이러한 위협의 안전지대가 되지는 않을 것으로 보인다.

얼마 전 김연아 선수(twitter.com/Yunaaaa)의 트위터 가입 소식이 전해지는 등 국내에서도 트위터 방문자가 꾸준히 증가하고 있어 국내 관련 업체들이 소셜 네트워킹 서비스에 본격적인 관심을 기울이고 있다. 그러나 최근 많은 해외 전문가들은 이메일 못지않게 소셜 네트워킹 사이트가 피싱을 시도하는 피셔(Phisher)들의 ‘무기’가 될 것을 우려하고 있다. 전문가들은 특히 트위터(Twitter)나 페이스북(Facebook) 같은 소셜 네트워킹 사이트에 대한 직접적인 공격보다는 이를 이용한 스팸, 또는 악성코드 전파가 기승을 부릴 것으로 예측하고 있다.

최근 국내에서 개최된 해킹 컨퍼런스의 기조연설을 위해 방한한 보안연구 전문가 호세 나자리오 박사(Jose Nazario)도 올해 가장 심각한 위협이 될 것으로 소셜 네트워킹 사이트를 이용한 피싱을 꼽았다. 그는 “스팸이 이메일을 이용했던 것과 마찬가지로 이제는 소셜 네트워킹을 이용하고 있다. 스패머들과 악성코드가 이러한 사이트를 이용해 전파를 시도하고 있는 만큼 한국에도 이 같은 문제가 곧 발생할 것이라고 생각한다”고 말했다.

이에 반해 다행스럽게도(?) 여전히 이메일 피싱이 심각한 영향력을 발휘하고 있을 뿐 아직까지는 소셜 네트워킹 사이트를 통한 피싱 공격이 심각하지 않은 것으로 보고 되고 있다.

미(美) 정보보호 컨설팅 업체 Intrepidus Group은 올해 초 전 세계 직장인 69,000명을 대상으로 32개의 피싱 시나리오 연구를 수행한 결과 23%가 이 공격에 당하기 쉬운 것으로 확인됐다고 전했다. 또한 이들 중 60%는 3시간 이내에 이메일 피싱에 반응한 것으로 나타났다고 밝혔다.

그러나 Intrepidus Group의 CEO 로이트 벨라니(Rohyt Belani)는 소셜 네트워킹 서비스의 URL 길이가 비교적 짧은 편이라는 점에 주목하며 이러한 “URL 길이 제한 때문에 사용자들은 그 링크를 클릭함으로써 어디로 리디렉트 될지 알 수 없다. 피셔들은 바로 이 점을 이용할 것”이라고 우려의 목소리를 전했다.

그는 특히 기업들이 곧 소셜 네트워킹 사이트를 이용한 피싱 공격의 피해를 입을 수 있다고 주장했다. 그는 “브랜드와 상표 등을 모니터링하는데 투자하고 있는 기업들이 아직 이러한 소셜 네트워킹 사이트를 포용해야 할지 혹은 멀리해도 되는지 판단하지 못 하고 있기 때문에 아직까지 소셜 네트워킹 사이트를 통한 기업에 대한 피싱 공격이 심각하지 않은 것”이라며 “곧 페이스북(Facebook)이나 링크드인(LinkedIn) 등을 이용한 피싱이 증가하게 될 것”이라고 말했다.

이와 관련해 그는 직원들에게 실제 피싱 이메일 예를 보여주고 피셔들의 작전 유형을 설명하는 한편 기업 커뮤니케이션과 관련된 조직 정책을 조사하고 어느 정도로 피싱에 취약한지 판단해야만 한다고 조언했다. 아울러 직원들이 이메일, 특히 낯선 발송자가 보내온 이메일에 대해 의심을 품도록 교육하라고 강조했다.

한편, 단순성, 즉시성, 특히 쉬운 접근성 등의 이유로 국내에서도 트위터와 같은 소셜 네트워킹 서비스에 대한 관심이 증가하고 있는 만큼 이를 이용한 위협에 대한 대응 방안 모색이 시급해 보인다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>