계엄령 관련 검색이 급증한 틈을 노려 계엄 문건으로 위장한 해킹 메일이 기승을 부린다. 당국도 비상이 걸렸다. 비상계엄 정보를 가장한 악성메일이 무차별 유포되고 있다며 정부는 첨부파일을 열거나 링크를 클릭하지 말라고 주의를 당부했다.

이런 형태의 해킹을 일컫는 말이 ‘스피어피싱’(Spearfishing)이다. 원래는 창이나 작살(spear)로 물고기를 꿰뚫어 잡는 낚시 방법을 말한다. 일반적인 피싱이 불특정 다수를 노린다면 스피어피싱은 특정 개인이나 조직을 겨냥한 맞춤형 공격이다.

스피어피싱의 무기는 ‘시의성’이다. 코로나19 대유행 초기에는 세계보건기구(WHO) 사칭 이메일이, 러시아·우크라이나 전쟁이 터졌을 때는 구호단체를 가장한 문자들이 골칫거리였다. 북한 해커조직 ‘김수키’는 학자나 언론인을 사칭해 북한 전문가들을 노린 이메일을 보냈다. 국제 택배 배송지연이 빈번하던 시기에는 택배 조회 링크로 위장한 메시지 피싱이 성행했다.

먹잇감으로 삼는 사건은 다르지만 하나같이 사회적 관심사나 불안 심리를 교묘히 이용한다는 공통점이 있다. 계엄과 같은 중대한 상황에서 정보를 놓칠지 모른다는 불안감, 코로나 시기에 WHO의 중요 지침을 놓치면 안 된다는 조급함, 혹은 업무 관련 메일을 무시했다가 경쟁에 뒤처질까 하는 조바심. 평소 정보보안 위험성을 잘 알면서도 혹시나 하는 마음에 링크를 클릭하게 된다. 스피어피싱에 낚이지 않겠다고 단단히 마음먹어도 순간의 방심으로 낚이는 실수는 흔하다. 순식간에 치명적인 악성코드에 감염될 수 있다.

스피어피싱은 사회의 불안과 공포를 끊임없이 자양분 삼아 앞으로도 건재할 듯하다. 불안한 마음에 계엄령이나 전쟁 같은 자극적인 키워드 앞에서는 누구든 반사적으로 반응한다. 스피어피싱이 완전히 사라질 수 없다면 해법은 하나뿐이다. 우리 사회가 좀더 건강하고 안정된 모습을 되찾는 것. 쉽지 않은 숙제다.

홍희경 논설위원



▶ 밀리터리 인사이드

- 저작권자 ⓒ 서울신문사 -