회의인 줄 알았는데, 정보 털렸다…은행 대표번호에 4만불 피해

회사 캘린더 일정 소프트웨어와 은행 대표번호를 앞세워 피해자의 경계심을 무너뜨리는 신종 사기가 확산하고 있어 주의가 요구된다.

실제 업무 지시나 금융기관의 연락처럼 꾸며 접근하는 수법으로 내용도 갈수록 정교해지면서 젊은층 직장인들까지 피해가 번지고 있다.

보안업체 포트라(Fortra)는 최근 마이크로소프트365 캘린더 초대장을 악용한 신종 피싱 공격이 확인됐다고 밝혔다. 이른바 ‘캘피싱(CalPhishing)’ 수법이다.

사기범은 먼저 “도메인 갱신 실패”, “전자서명 승인 요청”, “관리자 확인 필요” 같은 이메일을 보낸다. 이메일 안에는 캘린더 초대장 파일(.ics)이 포함돼 있다. 사용자가 이를 열면 이메일과 일정 소프트웨어 아웃룩이 자동으로 캘린더 일정을 생성한다.

이후 실제 회사 회의처럼 일정과 알림이 반복해서 뜨고, 사용자는 점차 이를 정상 업무로 인식하게 된다. 이메일을 삭제해도 일정은 캘린더에 남아 있는 경우가 많다.

일정을 열면 ‘관리자 포털’, ‘문서 확인’, ‘전자서명’ 같은 버튼이 나타난다. 클릭하면 마이크로소프트 로그인 화면과 유사한 사이트로 연결된다.

피해자가 로그인하면 공격자는 비밀번호 대신 ‘세션 토큰’이라는 인증 정보를 탈취한다. 이미 로그인된 상태를 증명하는 디지털 출입증 개념이다.

전문가들은 “세션 토큰만 탈취해도 다중 인증을 우회할 수 있다”며 “이후 이메일 열람과 회사 내부 자료 접근, 추가 피싱 공격까지 이어질 수 있다”고 경고했다. 특히 컴퓨터와 이메일 등에 저장된 개인·회사 민감 정보까지 유출될 수 있어 2차 피해에 대한 우려도 커지고 있다는 지적이다.

야후파이낸스의 보도에 따르면 최근 일리노이주의 한 여성은 체이스 은행 대표번호와 동일하게 표시된 전화를 받고 4만 달러를 잃었다. 사기범은 체이스 직원과 연방수사국(FBI) 요원을 사칭하며 “안전 계좌로 돈을 옮겨야 한다”고 속였다.

전문가들은 이런 수법을 ‘스푸핑(Spoofing)’ 사기라고 설명한다. 발신번호를 실제 은행 번호처럼 조작하는 방식이다. 겉으로는 금융기관이나 공공기관 번호가 표시되기 때문에 피해자가 의심하기 쉽지 않다. 이달 초 오렌지카운티 시니어도 지역경찰 번호로 온 전화에 속아서 2만5000달러의 금전적 피해를 입었다.

보안업계는 최근 사기의 공통점으로 ‘피해자들의 익숙함’을 악용하고 있다고 지목했다. 이메일보다 상대적으로 경계심이 낮은 캘린더 시스템, 실제 은행 대표번호, 업무용 문구 등을 이용해 신뢰를 얻는 방식이라는 설명이다.

전문가들은 “은행이나 수사기관은 전화로 송금이나 비밀번호 입력을 요구하지 않는다”며 “특히 ‘지금 당장 돈을 옮겨야 한다’는 식의 압박은 대표적인 사기 신호”라고 강조했다.

강한길 기자