해커는 방심을 노린다

      2020.02.05 16:51   수정 : 2020.02.05 20:15기사원문
좀 창피한 이야기를 하나 해야겠다. 필자가 작년에 시작한 '법률꿀팁'이라는 유튜브 채널이 있다. 전업 유튜버를 하기에는 재능도, 시간도 모자라기 때문에 취미로 영상을 만들어 올리고 있다.

그런데 연초에 해킹을 당해 채널 소유권이 제3자에게 넘어갔다.

구체적으로 말하면 피싱이라는 수법에 당했다.
피싱이라는 것은 개인정보(Private data)와 낚시(Fishing)의 합성어로 범죄자가 e메일, 메신저 등 신뢰할 수 있는 곳에서 보낸 것처럼 가장해서 비밀번호, 금융정보 등 개인정보를 수집한 후 그것을 이용해 추가 범죄를 저지르는 수법이다.

그 과정을 잠시 이야기하자면 연초에 구글로부터 e메일을 하나 받았다. "당신의 채널에 부정클릭(Invalid click activity)으로 의심되는 움직임이 있다. 여기에 대해 해명을 하지 않으면, 채널이 삭제될 수 있다. 아래의 링크를 클릭해서 관련 내용을 확인하라"는 내용이었다. 여기서 말하는 부정클릭은 채널 소유자가 제3의 계정을 이용해서 자기 채널에 게재된 유튜브 광고를 클릭하는 것을 말한다. 그러면 채널 소유자는 유튜브로부터 수익을 얻을 수 있지만, 광고주는 광고효과 없이 비용만 부담하게 된다.

평소 같으면 별생각 없이 넘어갔을 텐데, 그날따라 링크를 클릭하고 말았다. 그랬더니 유튜브 고객센터로 연결이 되었는데, 그곳의 안내에 따라 비밀번호를 입력하고 로그인을 했다. 그리고 24시간 후에 구글로부터 "법률꿀팁 채널의 소유권이 이전됐다"는 e메일을 받았다. 후에 확인해 보니 필자가 비밀번호를 입력한 곳은 유튜브 고객센터와 똑같이 만들어진 해킹 사이트였다.

이 사건은 아직 진행 중이다. 유튜브에 이의를 제기하고 채널 복구를 요청해 놓았다. 당해 보고 깨달았다. 소 잃고 외양간 고친다는 말이 있지만, 외양간이라도 고쳐놔야 다음에 다시 안 잃어버릴 것 아닌가. 그래서 이번에 당해 본 경험을 토대로, e메일을 통한 피싱을 방지하는 법을 정리해 보았다.

첫째, e메일 발신인의 이름뿐만 아니라 발신인의 e메일 주소까지 확인해야 한다. 필자가 받았던 e메일의 발신자명은 구글 애드센스(Google Adsense)로 돼 있었지만, e메일 주소는 구글의 것이 아니었다. 이 점만 미리 확인했어도 e메일을 열어보지 않았을 것이다. 둘째, e메일로 온 링크를 함부로 열어보지 말아야 한다. 셋째, 개인적인 정보, 특히 비밀번호는 함부로 입력해서는 안 된다. e메일 회사에서는 이미 여러분의 비밀번호를 암호화해 저장하고 있기 때문에 이를 묻지 않는다. 넷째, 정기적으로 e메일과 홈페이지의 비밀번호를 교체한다. 정기적으로 e메일과 홈페이지의 비밀번호만 교체해도 범죄에 노출될 위험도는 크게 떨어진다고 한다. 마지막으로 사용하는 e메일에서 2단계 인증 기능을 지원할 경우 꼭 사용해야 한다. 2단계 인증은 기존에 사용하지 않았던 휴대폰이나 컴퓨터로 로그인할 경우 휴대폰 문자 등으로 2단계 인증에 필요한 보안코드가 전송되는 기능인데, 해커가 아이디와 비밀번호를 알아내 로그인을 시도하더라도 보안코드는 기존에 사용하던 휴대폰 등으로만 전송되기 때문에 2단계 인증을 통과해 로그인하기 어려워진다.

써놓고 보니 너무나 기본적인 것이다. 변호사로서 늘 범죄를 접하기 때문에 그들의 수법을 잘 안다고 생각하던 자만이 화를 불렀다. 그렇다.
대부분 사고는 기본을 소홀히 해서 발생한다. e메일 보안을 예로 들었지만, 모든 분야가 그렇다.
우리는 기본을 지키지 않아 발생했던 수많은 인명사고를 기억한다. 하지만, 너무 쉽게 잊는 것은 아닐까.

고윤기 로펌 고우 대표변호사

Hot 포토

많이 본 뉴스