온라인 사기를 판별하는 방법 : 3가지 결정적 증거

악당들이 사람을 속이는 온갖 방법을 충분히 숙지하고 있다 해도, 온라인 사기에 걸려들기는 생각 이상으로 쉽다. 공격자는 충분히 많은 사람에게 사기 이메일을 보내면 속기에 딱 알맞은 조합을 갖춘 사람, 즉 일상에 쫓겨 주의가 산만한 동시에 온라인 계정에 대해 신경을 쓰는 사람을 최소한 몇 명이라도 찾게 된다. 
 

필자가 온라인 사기에 거의 속아넘어갔던 일도 이런 경우에 해당됐다. 신용카드 대금 결제일이 다가오고 있었지만, 그 당시에 무척 바빴기 때문에 카드 대금 결제는 마음 속을 떠도는 수많은 일의 하나일 뿐이었다. 그러다가 갑자기 로그인하지 않으면 은행이 내 계좌를 잠글 것이라는 내용의 이메일을 받았다. 필자는 “이런! 결제일이 지났구나”라고 생각했다.

필자는 은행을 방문할 때 URL을 직접 입력하는 것이 최선임을 알고 있었음에도 아무 생각 없이 이메일의 링크를 클릭했다. 그렇게 해서 로그인 정보를 입력하려는 순간, 갑자기 뭔가 이상하다는 생각이 들어 행동을 멈췄다.

웹사이트 주소를 확인했더니 은행 로그인 정보를 수확하기 위해 만들어진 가짜 웹사이트였다. 간발의 차이로 계좌 정보를 입력하지 않았지만 아슬아슬했다. 피싱에 거의 걸려든 것이다. 이와 같은 종류의 수법에 대해 기사를 쓴 적이 있다는 사실이 무색했다. 심지어 필자는 이메일 내의 은행 링크를 절대 클릭하지 말아야 한다는 내용의 보안 팁 기사도 여러 건 썼다.

심리적으로 취약한 순간에 당하는 온라인 사기에는 누구나 속아넘어갈 수 있다. 하지만 미리 대비하면 온라인 사기를 판별하기는 사실 어렵지 않다. 잘 준비하면 여러 이유로 온라인 사기에 취약해지는 순간이 오더라도 냉철하게 스스로를 지킬 수 있을 것이다.

악당의 손아귀에서 자신과 온라인 계정을 안전하게 보호하기 위해 적용할 수 있는 기본적인 규칙을 소개한다.
 

규칙 1: 예상한 것이 아니라면 의심하라

온라인 사기의 전형적인 수법은 링크 클릭을 유도하는 것이다. 링크는 이메일에 포함될 수도 있고, 하이재킹된 친구의 메시징 계정이나 왓츠앱(WhatsApp) 메시지, 심지어 SMS로도 올 수 있다. 목적은 악성 웹사이트로 유인하는 것이다. 유인한 다음에는 디바이스에 맬웨어를 다운로드하거나 진짜 같은 가짜 웹사이트에 로그인 정보를 입력하도록 유도한다.
  이와 같은 사기에 대처하는 최선의 방법은 받을 것을 사전에 예상하지 않은 링크는 절대 클릭하지 않는 것이다. 은행 계좌가 곧 잠긴다거나 페이팔에서 갑자기 이메일 계정을 확인해야 한다는 내용의 이메일을 받는다면 클릭하면 안 된다. 이메일 주소와 링크가 진짜임을 확인했더라도 보안을 위해 클릭하면 안 된다. 그 대신 주소 표시줄에 직접 웹사이트 주소를 입력하라. 검색을 하지도 말고, 직접 입력해야 한다.

그렇게 해서 합법적인 웹사이트에 로그인하면 이메일 내용이 진짜인지 여부를 확인할 수 있다.

팁 : 피싱 웹사이트에 걸려들지 않기 위한 좋은 방법은 암호 관리자와 암호 관리자의 브라우저 확장 프로그램을 사용하는 것이다. 진짜가 아닌 웹사이트를 방문할 경우 확장 프로그램이 로그인 정보를 아예 제공하지 않는다. “paypal.com.098uq3409847890.net”과 같은 교묘한 URL도 주요 암호 관리자를 속이지는 못한다.
 

규칙 2: ‘긴급’에 속지 말 것

 

전형적인 사기 수법으로, 다른 사람의 페이스북 계정을 하이재킹한 다음 이 계정을 통해 그 사람의 모든 친구들을 접촉하는 방법이 있다. 이 경우 사기꾼은 어떤 형태로든 긴급함을 호소한다. 예를 들어 “지금 런던인데 강도를 당해 돈이 없다”는 식이다. 

사기임을 아는 상태에서 보면 뻔하지만 긴급한 상황에서는 눈치를 채기가 더 어려울 수 있다. “외국에서 무일푼으로 오도가도 못하는 신세가 되면 어쩌지? 내가 도와줘야지”라며, 당연히 친구를 돕고 싶은 마음이 든다.

사기꾼은 “긴급함”을 이용해서 상대방이 세부적인 부분을 면밀히 확인하지 않고 바로 행동에 나설 가능성에 기댄다. 그러나 서둘러 행동하고 싶은 생각을 억눌러야 한다. 친구가 곤경에 빠졌다 해도 전화를 걸어 물어보거나 다른 누군가를 통해 친구가 정말 문제의 장소에 있는지 여부를 확인할 수 있다. 핵심은 텍스트 채팅을 통해 다른 사람을 가장하기는 매우 쉬우므로, 목소리를 인지할 수 있는 다른 사람과 직접 통화를 해야 한다는 것이다. 단, “호텔 매니저” 또는 친구 대신 이야기하는 “착한 사마리아인”을 자칭하는 사람의 말은 곧이곧대로 믿으면 안 된다.

계좌 잠금을 해제하기 위한 조치를 취할 때도 동일한 기본 원칙을 적용할 수 있다. 우선 은행이나 신용카드 회사는 계좌 잠금과 같은 중대한 조치를 취할 때 지메일 계정으로 메일을 보내기보다는 직접 전화를 걸거나 서신을 보내는 경우가 일반적이다. 어쨌든 확인을 하고 싶다면 은행이나 신용카드 회사의 URL을 직접 입력해서 사이트에 방문한다. 계좌가 정말 위험한 상황이라면 로그인한 후 관련 알림을 확인할 수 있을 것이다.
 

규칙 3 : 사실이라고 믿기에는 너무 좋은…

사실이라고 믿기에 너무 좋은 일이라면, 십중팔구는 사실이 아니다. 흔한 말이지만 유용한 경험칙이기도 하다. 돈이 저절로 굴러들어오는 일은 없기 때문이다. 변호사 또는 기업이 이메일을 통해 비즈니스 거래를 통한 상당한 수익을 제안하거나 상속된 돈을 찾으라는 연락을 해온다면 속지 말아야 한다. 그런 일은 생기지 않는다. 아무리 합법적으로 보인다 해도 사기다.

온라인 판매의 경우도 마찬가지다. 물론 아마존, 베스트 바이 또는 기타 온라인 쇼핑몰에서 파격적인 할인을 하는 경우도 있다. 그러나 들어본 적이 없는 사이트에서 실시하는 믿기 어려울 정도의 할인을 홍보하는 이메일이나 소셜 미디어 링크를 본다면 한 걸음 물러서야 한다. 트러스트파일럿(Trustpilot), 사이트재버(Sitejabber), 베터 비즈니스 브루(Better Business Bureau)와 같은 소비자 사이트를 통해 기본적인 조사를 해서 그 기업에 대한 사람들의 평가를 확인한다. 사이트가 합법적이라는 증거가 충분히 많아야 한다. 사이트에 대한 정보를 찾을 수 없거나 리뷰가 몇 개밖에 없다면 강력한 경고 신호다.
 

고급 팁 : 링크 위로 마우스 커서 올려 보기

다음에 은행으로부터 합법적인 이메일을 받는다면 이 방법을 직접 시도해보기 바란다. 은행이 클릭하라고 하는 버튼이나 링크 위로 마우스 포인터를 올리되, 클릭은 하지 않는 것이다. 올린 다음 브라우저 창의 왼쪽 하단을 보면 링크가 연결되는 웹 주소를 확인할 수 있다.

악성 링크는 절대 은행 웹사이트로 연결되지 않는데, 사기꾼은 이를 숨기기 위해 링크 단축 서비스를 사용하는 경우가 많으므로 이 방법을 사용하면 사기를 쉽게 판별할 수 있다.

그 외에 이메일이나 채팅 메시지에서 어색한 단어 선택과 같은 특징도 살펴볼 수는 있지만, 이 방법은 최근 들어 판단 기준으로서의 신뢰성이 떨어지고 있다. 또 다른 경고 신호는 누군가가 기프트 카드나 현금 충전 카드와 같은 일반적이지 않는 방법으로 돈을 요청하는 경우다. 송금 요청도 의심해야 한다. 

인터넷은 정보를 찾고 일상을 관리하는 데 유용하지만, 주의를 기울이지 않으면 사기를 당하기 쉬운 곳이기도 하다. editor@itworld.co.kr