[충무로에서]인터넷 피싱의 심리공학전

문송천 KAIST 테크노경영대학원 교수

요즘 표적 정조준 방식의 스피어 피싱이 특히 기승을 부리고 있다. 불특정 다수가 아닌 불과 한두 명을 정조준해 공격하는 이른바 작살(spear)형 피싱이 그것이다. 공격 성공률도 높아져 피해자들이 속출하고 있다. 해커와의 전쟁은 한마디로 창과 방패 격이다. 공격이 최선의 방어라는 말은 스포츠 분야에서 잘 통하는 전술이기도 하다.

이 말이 항상 맞는 것은 물론 아니다. 유로 2012에서 이탈리아는 전통의 탄탄한 수비를 바탕으로 공격일변도 전술을 펼치는 독일을 간단히 제압했다. 반면 최근 윔블던 테니스 대회에서는 무명 선수가 난공불락 요새에 비유되는 세계 정상 나달 선수를 특유의 공격 일변도 전술로 제압했다. 각각 수비와 공격의 중요성을 잘 보여준 한 편의 드라마였다.

공격과 방어 중 어떤 방법이 주효한지는 상대에 따라 달라진다는 것이 오히려 맞는 말일 것이다. 엄밀히 따지면 공격과 수비는 엄연히 다르다. 공격과 수비에 각기 별도의 전술이 있어야 하는 것이다. 피싱도 마찬가지다. 피싱이 일종의 게임이라고 놓고 보면 어떻게 대처해야 하는지 그 성격을 이해할 수 있다. 이 게임은 스포츠와는 달리 공격자가 누구인지 사전에 전혀 알려져 있지 않다. 그러나 수비는 내가 해야 한다는 점은 처음부터 자명하다. 수비를 하더라도 매우 선제 공격적으로 수비해야 한다.

피싱의 성격상 피싱의 가해자(범인)는 피싱용 낚시 먹이인 패스워드를 자유자재로 가로채 알아내서 일종의 패스워드 백과사전집을 확보해놓은 다음 행동에 들어가는 것이 보통이다. 사실 패스워드만큼 사용자 누구에게나 사용하기 편리한 것은 없다. 그러니 해커에게도 그만큼 비례해 손쉬운 먹잇감이 되는 것 역시 당연하다.

실제 상황을 한번 실감나게 관전해보자. 해커가 위장 작업에 들어갈 준비를 한다. 해커는 아주 가까운 사이의 지인처럼 신분을 위장한다. 따라서 해커는 신분 위장 당하는 사람에 대한 개인 신상 정보를 잘 알고 있는 것은 물론 공격 목표 대상으로 잡힌 사람에 대한 개인 정보도 잘 알고 있다. 신분을 도용 당하는 사람이나 공격 당하는 사람이나 둘 모두 피해자다.

그런데 공격 당하는 측보다는 도용 당하는 측이 사회적 인지도가 상대적으로 높은 것이 보통이다. 예를 들면 유명인 신분을 도용해 유명인 지인에게 작살을 날리는 것이다. 이 경우 지인은 자기가 잘 아는 유명인이 부득이한 곤경에 처해서 급전을 며칠만 빌려달라고 하는 e메일에 마음이 움직일 수 있다. 자신의 위상이 유명인 위급 시에 긴급 구호를 베풀 수 있는 위치에 있다는 점을 인식하는 순간에 선행을 다른 어느 누구보다도 먼저 베풀어야겠다는 생각을 할 수 있다. 그래서 도움을 제공할 경우 향후에는 유명인과 좀 더 가까운 사이로 발전할 수 있다는 환상에 빠질 수도 있다.

이런 점을 감안하면 요즘 해커가 얼마나 정교하게 피해 대상자 두 사람을 설정하는지 알 수 있다. 한마디로 심리공학적이다. 그 수법의 요점은 피싱당하는 피해자로 하여금 기분 상하지 않게 하는 것이다. 더 나아가서 우쭐하게 만들어 줌으로써 방심을 유도하는 점이 특성이다. 상대가 고도의 심리전을 펼 때는 심리전으로 응수할 수밖에 없다.

따라서 이런 성격의 메일일수록 심호흡하고 차분하게 대해야 한다. 초면의 메일임에도 불구하고 만약 금전이 조금이라도 언급된 부분이 존재한다면 그것은 피싱일 확률이 매우 크다. 인터넷은 편리를 주지만 때로는 이런 긴장감을 요하는 심리전으로 피곤함도 주는 양면성이 강하다. 사용자 누구나 심리공학 전문가가 될 수밖에 없는 세상이 펼쳐지고 있다.