영화 ‘시민 덕희’ (이미지=영화관입장권통합전산망)

“각자도생해야 하는 시민의 나라, 그래서 눈물겨운 해피엔딩” 24.1월에 개봉한 영화 ‘시민 덕희’를 본 관객의 감상평이다. 박영주 감독은 인터뷰에서 ‘보이스 피싱 범죄가 악질인 이유는 단순히 돈을 뺏기 때문이 아니라, 절실한 사람들에게 절망을 주기 때문이다’라는 책 속의 문장을 잊을 수 없고, 피해자가 스스로 '내가 바보 같아서 당했다'고 자책하는 것이 안타깝다고 말했다.

이 영화는 경기도 화성에서 세탁소를 운영했던 ‘시민 김성자’ 씨의 실화가 모티브다. 화재로 집, 세탁소, 아이들까지 잃게 된 ‘시민 덕희’가 직접 보이스 피싱 총책을 추적하여 붙잡는다는 내용이다. 영화관입장권통합전산망(KOBIS) 공식 통계에 따르면 누적 관객 수는 171만 명이다. “남의 눈에 눈물 나게 하면 자기 눈에 피눈물 나는 거야”, "이게 내 잘못이냐? 사기당한 내가 등신이야? 아니야. 내 잘못 아니고, 사기 친 네가 잘못한 거야"는 영화 속 명대사로 꼽힌다.

24년 상반기 또 다른 ‘시민 덕희’는 얼마나 될까? 과학기술정보통신부와 한국인터넷진흥원은 24.7.24일, ‘2024 사이버 보안 위협 분석과 전망’ 보고서를 통해 24년 상반기 사이버 위협 동향을 발표했다.

과기정통부 정창림 정보보호네트워크정책관은 “기업들의 내부 보안 인식 제고 및 대응체계 마련과 출처 불명의 문자에 대한 이용자 주의”를 당부하며, “국민과 기업들의 침해사고 피해 예방과 확산 방지를 위한 노력뿐만 아니라 침해사고 피해 지원 서비스 등을 통해 해킹 피해 복구를 위해서도 최선의 노력을 다하겠다”고 말했다.

24년 상반기 침해사고 신고 건수는 899건으로 전년 동기 대비 약 35%가 증가했고, 웹서버 해킹(504건)과 DDoS 공격(153건)이 많이 증가한 것으로 나타났다.

24년 상반기 사이버 위협 현황 및 추이 (이미지=더THE인더스트리 신문)

24년 상반기 사이버 위협의 특징은 비트코인 등 탈취를 위한 공격 증가, 보안이 취약한 중소기업 공격 증가, 문자 발송을 이용한 공격 증가로 요약된다.

24년 상반기 사이버 위협 주요 이슈 (이미지=‘2024 사이버 보안 위협 분석과 전망’보고서)

▲ 비트코인 등 탈취를 위한 공격 증가

ㅣ 비트코인 등 가상자산의 가치가 급격히 상승하면서 이를 노린 해킹 공격이 증가했다.

ㅣ 전 세계의 가상자산 탈취 피해액은 23년 상반기 9,100억 원에서 24년 상반기 1조 9천억 원으로 2배 이상 증가했다.

ㅣ 우리나라 기업의 피해 사례

블록체인 브릿지 서비스 개발 업체 → 약 1,055억 원 탈취(1월)

블록체인 기반 노래방 애플리케이션 개발 업체 → 약 180억 원 탈취(1월)

블록체인 게임 플랫폼 개발 업체 → 약 478억 원 탈취(2월)

블록체인 기반 엔터테인먼트 NFT 업체 → 약 800억 원 탈취(4월)

▲ 보안이 취약한 중소기업 공격 증가

ㅣ 상대적으로 보안 관리가 취약한 중소기업, 비영리기관 등의 서버 해킹이 증가했다.

ㅣ 중국의 해커 니옌(一年)은 24.1월, 국내 90여 개 사이트에 저장된 계정 정보를 탈취해 텔레그램에 공유했고, 이후로도 공격을 계속하고 있다.

▲ 문자 발송을 이용한 공격 증가

문자 발송 공격 현황 및 추이 (이미지=더THE인더스트리 신문)

△ (참조) 23년 사이버 위협의 특징

ㅣ 금융거래용 보안 인증 프로그램을 이용한 공격 증가

ㅣ 개인정보를 노리는 피싱(Phishing) 공격 수법의 진화

ㅣ 랜섬웨어 공격과 산업 기밀정보 탈취 공격 증가

미국의 보안 컨설팅 회사인 KnowBe4는 24.6월, 24년 산업별 피싱 벤치마킹 보고서(24 Phishing by Industry Benchmarking Report)를 공개했다. 피싱 또는 소셜 엔지니어링(Social Engineering)사기를 당할 가능성이 있는 직원 수를 나타내는 조직의 피싱 취약 비율(Phish-prone™ Percentage, PPP)을 측정한 결과와 시사점을 담고 있다. 보고서에 따르면 보안 의식을 높이는 것만으로도 피싱에 취약한 사람의 비율을 34.3%에서 4.6%까지 낮출 수 있다.

△ 피싱(Phising)

ㅣ '개인정보(Private data)를 낚는다(Fishing)'라는 의미의 합성어다.

ㅣ 해커가 사람의 마음을 현혹하여 개인정보를 탈취하거나, 사용자 스스로 송금 또는 결제하도록 유도하는 일종의 온라인 사기 수법이다.

ㅣ 초기에는 해커가 가짜 홈페이지를 구축한 뒤, 이용자에게 가짜 홈페이지에 개인정보를 입력하도록 유도하여 개인정보를 수집하는 행위를 의미하였다. 최근에는 메신저, 음성 등을 포함한 ‘포괄적인 사이버 위협’을 의미한다.

△ 소셜 엔지니어링(Social Engineering)

ㅣ 새로운 유형의 사기로, 사람들을 조종하여 개인정보 공유를 유도하거나, 멀웨어(Malware, 악성 소프트웨어)를 다운로드하게 만들거나, 유해 사이트를 방문하도록 유인하거나, 범죄자에게 송금하도록 속이거나, 개인이나 조직의 자산 또는 보안을 손상하는 실수를 저지르게 하는 등의 ‘심리 조작 사이버 공격’이다.

ㅣ 컴퓨터 기술을 사용하지만, IT시스템의 취약성이 아닌 인간의 약점을 악용하기 때문에 ‘인간 기반 해킹’이라고도 부른다.

※ 은행연합회의 ‘안전한 금융 생활을 위한 보이스피싱 대처 방법’은 커뮤니티/자유게시판 참조