피싱에 낚일 뻔했다

그런 것에 왜 속는지 이해하지 못했던 1인...

이틀 전 저녁, 뜬금없는 메일 한 통이 왔다.

아이폰을 쓰다 얼마 전 안드로이드 스마트폰으로 넘어오긴 했는데, 아니 그렇다고 계정을 삭제할 것까지 있나?

당황스러웠다. 사실 처음엔 계정 하나 삭제되는 게 뭐 큰일인가 싶어 대수롭지 않게 여겼는데, 메일 내용을 쭉 읽다 보니 쉽게 넘어갈 일은 아니라는 생각이 들었다.

아이폰을 쓰지 않는 것뿐이지 간간이 업무용으로 맥북을 사용하고 있던 터라, 만약 메일 내용대로 계정이 정말 삭제된다면 나는 큰 불편을 겪게 될 것이었다. 무엇보다 계정에 저장된 데이터가 영구적으로 삭제될 거라는 경고가 마음에 걸렸다.

메일을 차근차근 다시 읽어봤다. 메일 서두에 있던 문장 두 개가 눈에 들어왔다.

나는 그런 요청을 한 적이 없었다. 뭔가 착오가 있다는 생각이 들었고 , 계정이 삭제되기 전에 빨리 바로 잡고 싶었다. 메일 하단부를 보니 마지막 안내사항과 함께 링크 하나가 걸려 있었다.

나는 아무 망설임 없이 링크를 클릭했다. 당연히 애플 측에서 보낸 메일일 거라고 생각했던 거다. 이어서 내 눈앞에 나타난 웹페이지 또한 의심의 여지가 없었다. 애플 공식 홈페이지에서 볼 수 있는 로그인 창이 그대로 보였다. 이메일 주소로 된 계정 ID와 비밀번호를 입력하고 '다음' 버튼을 눌렀다.

이번에는 전화번호, 집 주소를 쓰라고 나왔다. 가입할 당시에 썼던 주소를 써야 하는지, 지금 실거주 주소를 써야 하는지 헷갈렸다. 일단 대충 써넣은 뒤 다음 단계로 또 넘어가 보았다.

결제카드 정보를 입력하는 란이 등장했다. 이 때도 의심보다는 일단 '귀찮다'는 생각이 먼저 들었다. 퇴근하고 막 저녁식사를 하려던 참이었기 때문이다. 또 카드 정보를 확인하려면 방으로 가서 가방에 있는 지갑을 꺼낸 뒤, 거기서 또 카드를 뽑아 번호를 확인하고 그걸 일일이 써넣어야 했다.

방으로 갈까 말까, 그 짧은 순간 내적 갈등을 하며 휴대폰 화면을 바라보는데, 그 순간 뭔가 싸한 느낌이 들었다.

'아니, 무슨 계정 하나 확인하는데 카드 정보는 왜 입력하라는 거야?'

아마 그들이 나에게 CVC 번호까지 요구하지 않았더라면 나는 결국 카드 정보를 모두 입력한 뒤 또 '다음' 버튼을 눌렀을지도 모른다. CVC 번호가 정확히 뭔지는 몰라도, 이 정보가 필요한 일은 많이 없을뿐더러 남에게 쉽게 내어줘서는 안 된다는 사실 정도는 알고 있었기 때문에 나는 여기서 일단 멈출 수 있었다.

무언가에 홀려 실컷 내 개인정보를 입력하던 창을 닫고, 새 창을 열어 애플 공식 홈페이지로 접속했다. 고객 지원 메뉴를 찾아 들어가 문의를 남겼다. '내 애플 계정을 삭제한다는 메일을 받았는데, 나는 요청한 적이 없으니 한 번 확인해달라'는 내용이었다.

하루가 지나고 애플 측으로부터 회신이 왔다.

"설명하신 내용으로 보아, 받으신 이메일은 사용자를 속여 귀중한 개인 정보를 알아내려는 피싱 시도인 것 같습니다."

'혹시나' 했는데 '역시나'였다. 애플 측에선 좀 더 확실히 알아보기 위해 추가 정보를 보내달라고 했다. 해당 내용을 보낸 사람의 메일 주소와 메일을 보낸 날짜, 메일 내용 중 청구 금액이 있었는지, 또 그 금액이 실제로 빠져나갔는지에 대해 알려주면 좀 더 자세히 조사해본다는 거였다.

간단히 내용을 정리한 뒤 메일을 보냈다. 또 하루 만에 답메일을 받을 수 있었다.

"해당 이메일과 이메일을 보낸 사람 모두 Apple과 관련이 없습니다. 해당 이메일은 피싱을 시도한 이메일입니다. 이런 이메일은 사용자를 속여 웹 사이트를 방문하게 하려는 데 그 목적이 있습니다."

"Apple은 이메일로 절대 암호, 주민등록번호 또는 전체 신용카드 번호를 묻지 않습니다."

애플 측은 내가 받은 것이 피싱 메일임을 확신했다. 앞선 메일에서 '피싱 시도인 것 같다.' 라고  표현한 것과는 다르게 이번에는 '피싱을 시도한 메일입니다' 라고 명확히 이야기하고 있었다. 그리고 재발 방지를 위해 사기성 이메일 식별법, 계정 보안 유지를 위해 참고할 내용들을 덧붙여 알려주는 것도 잊지 않았다.

그렇게 '피싱 메일' 사건은 아무 피해 없이 해프닝으로 마무리됐다. 내가 피싱에 낚이기 직전까지 갔었다니, 다시 생각해도 너무 아찔하다.

---

그동안 뉴스를 통해서든, 주변에 떠도는 이야기를 통해서든 피싱 피해 사례를 접하면 나는 이해가 안 된다는 반응을 보이곤 했다. 나도 실제로 서울 중앙지검 사칭 전화를 받아본 적이 있었는데, 너무 속이 뻔히 들여다 보여서 속으래야 속을 수가 없었다. 피해를 입은 사람들은 어쩌다 당한 걸까? 항상 의아해했다.

이번 일을 겪고 나서는 생각이 달라졌다. '이렇게 당하는 거구나.', '내 일이 아니라고 방심하는 순간 큰 코 다칠 수 있겠구나.' 하고 말이다.

피싱 사기 수법은 점점 다양해지고, 또 교묘해지고 있다. 그래서 각별한 주의가 필요하다. 보이스피싱 같이 티 나는 방법은 쉽게 피할 수 있다 쳐도, 그 외에 아직 알려지지 않은 신박한(?) 수법이 많을 거다. 그들이 언제 어디서 어떻게 우리 삶 깊숙이 침투해올지 모른다.

이틀 전 받은 피싱 메일을 다시 한번 열어보았다. 이제 와서 보니 어설프기 짝이 없었다. 속아 넘어가는 게 이상할 정도의 엉성한 구석들이 눈에 띄었다.

애플에서 보냈다는 메일인데, 왜 보낸 사람은 apple.com이 아닌 듣도 보도 못한 계정을 사용하고 있는가. 메일 내용 중 내 이름이 언급되어야 할 곳은 왜 빈칸으로 되어 있는가. 아이디 삭제 요청 사항을 확인하는데 카드 정보는 왜 입력하라고 하는가 등등...

이렇게 한 발만 떨어져서 보면 훤히 보이는 것을... 그때 내가 정말 왜 그랬나 싶다. 

누군가 계좌나 카드 정보를 물어 온다면, 일단 한 템포만 쉬며 생각해 보자. 그러면 보일 것이다. 그게 피싱인지 아닌지.

---

내가 링크를 통해 들어갔던 사이트는 이제 사기성 사이트로 접근이 불가하다. 진짜 사기였어...나쁜 XX들...