[파이낸셜뉴스] 웹사이트에서 회원가입 또는 로그인을 할 때 왜곡된 글자를 입력하거나 특정 사물이 포함된 타일을 선택하라는 창이 뜨는 경우가 있다. 간혹 '로봇이 아닙니다'라는 체크박스도 뜨곤 한다. 이러한 과정을 거쳐야 하는 이유는 무엇일까? '로봇이 아닙니다'를 클릭해야 하는 이유 이는 웹사이트 사용자가 사람인지 컴퓨터 프로그램인지 구별하기 위해 사용하는 기술인 캡차(CAPTCHA)다. 캡차는 사람과 컴퓨터를 구분하는 자동화된 튜링 테스트(Completely Automated Public Turing Test To Tell Computers and Humans Apart)의 줄임말이다. 자동 프로그램인 봇(bot)이 무차별적으로 웹사이트를 공격하거나 계정을 해킹하는 것을 막기 위해 만들어진 기술이다. 컴퓨터 프로그램은 디지털화가 되지 않은 글자나 왜곡된 글자를 인식하지 못한다. 캡차는 왜곡된 글자를 제시하고 이를 맞추는 테스트를 통해 사람과 컴퓨터를 구별하는 것이다. 텍스트 캡차 외에도 간단한 연산의 답을 묻는 '연산 캡차', 난독증이나 시각 장애를 가진 사람들을 위한 '오디오 캡차', 사진에서 특정 사물을 구별하는 '이미지 캡차' 등이 있다. '로봇이 아닙니다' 체크박스도 캡차 기술의 일종이다. 마우스의 움직임이나 클릭 속도 등을 감지해 사람과 컴퓨터를 구별한다. 캡차 풀었을 뿐인데.. 고문서가 복원된다? 캡차 기술은 인류의 유산을 복원하는 작업에 활용되기도 했다. 2007년, 캡차 개발팀은 기존 기술을 기반으로 한 '리캡차(RECAPTCHA)'를 고안해냈다. 리캡차는 컴퓨터가 답을 알고 있는 단어와 디지털화가 필요한 고문서의 단어를 동시에 제시한다. 사용자가 단어를 입력하면 이미 답을 아는 단어로 사람과 봇을 가려내고, 고문서의 단어도 정답으로 간주한다. 이때 높은 비율로 입력된 단어는 고문서를 디지털로 복원할 때 활용된다. 리캡차 기술을 통해 매일 약 1억 개의 단어가 확인됐으며 연간 250만 권의 책이 디지털로 복원됐다. sunset@fnnews.com 이혜진 기자 , 임예리 인턴기자

[파이낸셜뉴스]  한국야구위원회(KBO)가 프로야구 시즌 개막과 함께 암표와의 전쟁에 나섰다. KBO는 28일 KBO리그 10개 구단과 암표 매매 개선 방안에 관해 논의한 뒤 "10개 구단은 각 구단 티켓 판매처와 공조해 온라인상 예매 아이디당 구매 횟수와 수량을 제한하고 매크로 부정 예매 방지를 위한 캡차(CAPTCHA) 시스템을 운영하고 있다"며 "KBO는 10개 구단과 협력 체계를 유지하면서 암표 피해를 최소화하도록 노력하겠다"고 전했다. 올해 프로야구는 개막 전부터 폭발적인 인기를 끌며 티켓 구하기 전쟁이 펼쳐지고 있다. LG 트윈스는 개막전부터 5경기 연속 매진 행진을 벌였다. 온라인 사이트에서 명령어 자동 반복 입력 프로그램 '매크로'를 야구 관람권을 무더기로 구입한 암표상들이 경찰에 잡히기도 했다. 지난 20일 광주경찰청 사이버범죄수사대는 지난 시즌 프로야구 한국시리즈 입장권과 공연 입장권을 불법으로 대량 구매한 뒤 웃돈을 받고 판매한 30대 A씨 등 3명을 국민체육진흥법·공연법 위반 혐의로 검찰에 송치했다. A씨 등은 지난해 10월부터 올해 2월까지‰ '매크로' 프로그램을 이용해 프로야구 포스트시즌 입장권 210매, 유명 트로트 가수 콘서트 입장권 19매 등 총 229매를 판매해 모두 6400만원 상당 부당 이득을 챙긴 혐의를 받고 있다. 또래 지인인 이들은 구입한 매크로 프로그램으로 표를 무더기로 사들인 뒤 온라인 장터에서 시세보다 2~3배 가량 비싸게 판매한 것으로 조사됐다. y27k@fnnews.com 서윤경 기자

웹서핑을 하다 보면 종종 다음과 같은 문구를 볼 수 있다. "저는 로봇이 아닙니다(I'm not a robot)." 이 문장 옆의 박스를 클릭해야 비로소 다음 단계로 넘어갈 수 있다. 다른 사람이 아닌 바로 나라는 사실을 증명하는 것까지는 기꺼이 감내하겠는데, 이제 내가 인간임을 스스로 증명해야 하는 세상이다. '나는 생각한다, 고로 나는 존재한다'라는 데카르트의 명언도 더 이상 명제가 아니라는 것일까. 사실 이는 구글의 봇 방지 서비스로 잘 알려진 리캡차(reCAPTCHA)라는 인공지능 서비스다. 클릭 한 번으로 어떻게 인간임을 증명할 수 있을까 싶지만, 인공지능 알고리즘이 사용자의 마우스 움직임과 쿠키 등 기타 다양한 웹 정보를 종합해 판별한다고 한다. 이는 인공지능이 인간과 얼마나 구분하기 어려운지를 판단하기 위해 앨런 튜링이 고안한 튜링 테스트를 인간에게 적용한 버전으로 볼 수 있다. 인공지능 모델은 인간이 만든 튜링 테스트를 통과해야 쓸 만한 인공지능으로 인정받는 것처럼, 우리 인간도 인공지능의 튜링 테스트를 통과해야 비로소 인간으로 인정받는 셈이다. 클릭하기 귀찮은 마음 한 공기 배부른데 서글픔 한 스푼 추가다. 최근 생성형 인공지능의 발전 속도를 보면 마치 튜링 테스트를 비웃기라도 하는 것 같다. 이미지, 목소리, 글, 비디오 등 우리가 생각할 수 있는 거의 대부분의 것들을 만들어 내고 인간이 만들어 낸 것과 구분이 사실상 불가능한 수준에 이르렀다. 인공지능에 튜링 테스트란 마치 "저는 로봇이 아닙니다"라는 문장을 클릭하는 것처럼 너무나 쉬운 일이 되었다. 그럼 인공지능은 어떻게 튜링 테스트를 통과하게 되었을까. 오늘은 튜링 테스트를 처음 통과한 생성형 인공지능 1세대 이야기다. 생성형 인공지능은 튜링 테스트의 수준을 넘어서기까지 몇 차례 탈피를 거쳤다. 우선 데이터 분산을 바탕으로 한 통계학의 문제 중 하나인 주성분 분석(Principle component analysis)을 인공신경망으로 풀어내는 방식(Autoencoder)이 주목을 받았다. 이때의 인공지능은 그럴듯한 데이터를 만들어 내지만 튜링 테스트를 통과하기는 조금 부족했다. 그 이후로 변곡점 없이 발전을 거듭하던 생성형 인공지능 분야에서 사건이 발생했으니, 이름하여 적대적 생성형 인공신경망(Generative Adversarial Networks)이라는 기술이다. 이때부터 인공지능이 생성한 데이터는 인간이 만든 결과물과 구분하기 어려워졌고, 이 기술은 이후 수년간 생성형 인공지능 분야를 주도했다. 그 어렵다는 튜링 테스트를 통과한 생성형 인공지능만의 비법은 무엇일까. 바로 인간이 고안한 튜링 테스트를 인공지능 그들만의 방식으로 재구성했다는 것이다. 인간의 튜링 테스트에서는 인간이 인공지능과 인간을 구분하는 평가자의 역할을 하지만, 인공지능의 튜링 테스트에서 평가자는 인간이 아닌 또 다른 인공지능이다. 인공지능 세상 속 시험에서는 인간이 인공지능에 인간인지를 증명해야 한다는 뜻이다. "인공지능의 튜링 테스트"라는 문제집을 공부한 인공지능이 "인간의 튜링 테스트"를 통과하는 아이러니한 상황이다. 인터넷과 책에서는 일반적으로 두 개체가 대결하는 경제학의 제로섬 게임(Zero-sum game) 개념을 이용해 적대적 생성형 인공신경망 기술을 소개하지만, 사실 인간의 튜링 테스트를 거꾸로 읽어내는 발상의 전환이 깔려 있다. 우리는 인공지능에 내가 인간임을 증명하고, 인공지능은 이를 자양분 삼아 그들이 더욱 쓸모 있는 존재임을 증명할 것이다. 튜링 테스트를 제안한 앨런 튜링이 살아 있다면 이런 아이러니한 세상을 상상해 보았는지 묻고 싶다. ■약력 △KAIST 전기전자공학 박사 △매사추세츠공과대(MIT) 및 캘리포니아공과대(Caltech) 박사후연구원 △KAIST 뇌인지과학과·바이오및뇌공학과·데이터사이언스대학원·AI대학원 교수 △KAIST 신경과학-인공지능 융합연구센터장 △저서 '인공지능과 뇌는 어떻게 생각하는가' 이상완 KAIST 뇌인지과학과 부교수 신경과학-인공지능 융합연구센터장

[파이낸셜뉴스] 2022년 11월 30일, 오픈AI가 생성형AI '챗GPT'를 세상에 공개 이후 우리의 생활이 많이 변하고 있습니다. 친구나 선생님, 직장 상사와 채팅하듯이 챗GPT에게 묻고 답을 듣고 있죠. 이제는 회사의 업무에도 상당부분 생성형 AI를 이용하고 있습니다. 그런데 생성형 AI가 어떤 질문에는 이상한 답을 내놓는 경우가 있습니다. 생성형 AI에게 요청한 질문에 거짓말을 하듯 잘못된 정보를 제공하는 오류가 일어나기도 합니다. 이를 두고 환각현상이라고 하죠. 최근에 출시하고 있는 생성형 AI 서비스는 이러한 환각현상을 많이 줄이고 있는데요. 환각현상에 의해 생성형 AI가 제공하는 잘못된 정보를 우리가 그대로 받아들일 경우엔 의사 결정 과정에 문제가 발생할 수 있어 조심해야 합니다. 그런데 AI가 환각현상이 아니라 의도적으로 거짓말을 하는 경우도 있다고 합니다. 미국 매사추세츠공과대(MIT)의 피터 박 박사후연구원은 10일(한국시간) 국제학술지 '패턴'에 AI의 속임수와 관련된 논문을 발표했습니다. 그러면서 AI 시스템에 의한 속임수의 위험성을 설명하고 정부가 이 문제를 가능한 한 빨리 해결하기 위한 강력한 규정을 마련할 것을 촉구했습니다. 연구진은 AI의 거짓말과 속임수를 쓰는 대표적인 예로 메타가 온라인 게임을 학습시킨 AI '시세로(Cicero)'를 언급했습니다. 메타가 지난 2022년 11월 온라인게임 '디플로머시'에서 인간에 필적하는 성능을 달성한 시세로를 공개했습니다. 디플로머시는 20세기 초 유럽 7대 열강의 대전을 배경으로 하는 전략게임입니다. 2명에서 7명의 플레이어가 승리를 위해 정견 발표, 외교 협상, 작전명령 등을 펼치는 고난이도 게임이죠. 메타는 시세로가 게임에서 이기도록 훈련시켜 인간 플레이어 중 상위 10%에 들게 만들었습니다. 피터 박 박사후연구원은 "우리는 메타의 AI가 속임수의 달인이 되도록 학습됐다는 것을 발견했다"고 말했습니다. 메타는 시세로를 '대체로 정직하고 도움이 되는' 인물로 훈련시키고 게임을 하는 동안 인간 동맹을 '의도적으로 배신하지 않도록' 훈련시켰다고 주장했습니다. 하지만, 메타가 사이언스지 논문과 함께 발표한 데이터에 따르면 시세로는 공정하게 플레이하지 않았습니다. 다른 AI는 전문적인 인간 플레이어를 상대로 텍사스 홀덤 포커 게임에서 블러핑하는 능력을 보여주었습니다. 또 스타크래프트2에서 상대를 이기기 위해 공격을 위장하거나 경제적 협상에서 우위를 차지하기 위해 자신의 선호도를 왜곡했습니다. 피터 박 박사후연구원은 "게임에서 AI가 속임수를 쓰는 것이 무해해 보일지 모르지만, 이는 미래에 더 진보된 형태의 AI 속임수로 이어질 수 있는 '기만적인 AI 능력의 돌파구'로 이어질 수 있다"고 경고했습니다. 또 웹사이트 로그인이나 양식 제출 시 '로봇이 아닙니다'와 같은 문구가 나타나는 캡차(CAPTCHA) 시스템을 접하죠. 그런데 AI가 인간이 아님에도 시스템을 속이고 이를 통과하기도 합니다. 피터 박 박사후연구원은 "인간 개발자와 규제 기관에서 부과한 안전 테스트를 체계적으로 속임으로써, 기만적인 AI는 우리 인간에게 잘못된 보안 감각으로 이끌 수 있다"고 우려했습니다. 특히 기만적인 AI의 주요 단기 위험으로 적대적인 행위자가 사기를 쉽게 저지르고, 선거를 조작할 수도 있다는 거죠. 결국 인간은 이러한 AI에 대한 통제력을 잃을 수도 있다고 경고했습니다. 그러면서 "AI 시스템의 속임수 능력이 더욱 발전함에 따라, AI가 사회에 미치는 위험은 점점 더 심각해질 것"이라며, "미래의 AI 제품과 오픈 소스 모델의 더 진화된 속임수에 대비할 수 있는 시간을 최대한 확보해야 한다"고 지적했습니다. 박 박사와 그의 동료들은 사회가 아직 AI 기만을 해결할 적절한 조치를 갖추지 못했다고 생각하고 있습니다. 연구진은 EU AI법과 미국의 AI 행정 명령과 같은 조치를 통해 정책 입안자들이 이 문제를 심각하게 받아들이기 시작하고 있다며 긍정적이라고 말했습니다. 그러나 "AI 개발자가 이러한 시스템을 통제하기 위한 기술을 아직 갖추지 못한 상황에서, AI 정책을 엄격하게 시행할 수 있을지에 대해서는 두고 볼 일"이라고 말했습니다. monarch@fnnews.com 김만기 기자

[파이낸셜뉴스] 한컴위드가 업계 최초로 간편인증서를 기반으로 한 본인확인 중계 서비스를 내놨다. 인증서를 토대로 한 본인확인 서비스는 생체 인증 기술인 얼굴·지문 인식과 공개 키 인프라(PKI) 기술인 패턴·간편비밀번호(PIN)을 조합해 본인확인을 제공하는 방식이다. 30일 한컴위드에 따르면, 새 본인확인 중계 서비스는 회원가입이나 아이디·비밀번호 찾기, 금융거래 및 결제 등 각종 온라인·비대면 서비스에서 이용자를 식별하는 데 활용할 수 있다. 특히 지난해 하반기 출시한 통합 간편인증 중계 서비스 '위드어스(withAuth)'의 기능을 강화했다. 위드어스는 인증 서비스가 필요한 기업이나 공공·금융기관 등을 지원하고자 다양한 인증기관에서 공급하는 간편인증 서비스를 통합한 플랫폼이다. 한컴위드 관계자는 "정부나 금융 서비스에서 주로 활용하는 전자서명 기술을 적용해 보안성도 뛰어나다"며, "서비스 구축과 과금 비용이 상대적으로 저렴해 이용 기관의 부담을 덜어주는 효과가 있다"고 설명했다. 또, 사이버 범죄로부터 이용자 개인정보를 보호하고 기관 피해를 최소화하기 위해 클라이언트단에서 비정상 인증 시도를 예방할 수 있는 기능들도 추가해 보안을 강화했다. 새로운 보안 기능에는 봇(Bot)을 사용한 불법 접근과 공격을 막는 용도인 '캡차(CAPTCHA)', 프로토콜 상 메시지를 복사한 후 재전송함으로써 승인된 사용자로 오인하게 만드는 재전송 공격(Replay Attack)을 방지하고자 간편인증 인터페이스 가이드라인에 맞춘 '응답 재사용 여부 검증'이 있다. 송상엽 한컴위드 대표는 "앞으로 개인정보를 입력하지 않아도 간편인증을 할 수 있는 서비스와 인공지능(AI) 기술을 활용한 무자각 지속 인증 서비스를 구현해 차별화하고, 최근 사이버 공격 기법으로 많이 사용하는 '크리덴셜 스터핑'에 의한 범죄 예방에도 앞장설 계획"이라고 밝혔다. 한편, 한컴위드는 본인확인 중계 서비스 출시를 기념해 간편인증 서비스 도입을 원하는 이용 기관을 대상으로 안전성 강화 조치와 점검을 무상으로 제공하는 이벤트를 진행한다.  monarch@fnnews.com 김만기 기자

온라인 식품 전문 쇼핑사이트 마켓컬리가 홈페이지 해킹으로 34만명의 고객 정보가 유출됐다. 마켓컬리는 지난 20일 3차에 걸친 해킹 공격을 받아 고객 정보가 유출된 사실을 발견했다고 22일 밝혔다. 현재까지 고객 정보 유출로 인한 피해는 접수되지 않은 상태다. 마켓컬리는 고객 정보 유출 사실을 발견한 즉시 한국인터넷진흥원(KISA)에 자진 신고를 했다. 이번 해킹으로 유출된 고객 정보는 △회원 아이디 △이메일 △전화번호·핸드폰 번호 △암호화된 비밀번호 등이다. 마켓컬리는 사고발생 직후 해당 IP와 불법 접속경로를 차단하고 21일 0시에 웹 방화벽을 강화한데 이어 무차별적 웹 로그인 시도를 막기 위해 캡차(CAPTCHA·자동계정생성방지)도 적용했다. 여기다 기존에 진행 중이던 아마존웹서비스(AWS)로의 서버 이전을 조기에 완료해 보안을 추가로 강화해 나갈 예정이다. 마켓컬리 측은 개인정보 유출로 인한 피해를 방지하기 위해 고객들에게 접속 즉시 비밀번호를 변경해 달라고 당부했다. syj@fnnews.com 서영준 기자

신종 스미싱 주의 신종 스미싱 사이트가 등장해 누리꾼들의 이목이 집중됐다. 지난 12일 안랩은 일반인이 구별하기 어려운 가짜 사이트를 이용한 신종 스미싱이 등장해 주의를 당부했다. 웹사이트 주소(URL)와 디자인, 원문까지 정상 사이트와 유사하게 제작했다. 신종 스미싱 피싱 사이트는 정상 사이트 URL의 일부가 들어 있으며 디자인과 문구까지 고도화했다. 사람과 컴퓨터를 구분하기 위해 사람만 인지할 수 있는 문자가 포함된 변형 이미지를 보여주고 해당 문자를 입력해야만 다음 단계가 처리되는 캡차코드(CAPTCHA CODE)까지 사용한다. 최근 등장한 ‘경찰청 사이버테러 대응센터’로 위장한 피싱 사이트는 서류 접수 확인을 누르면 캡차코드 입력 화면이 뜨지만 번호를 입력하지 않았거나 틀려도 확인만 누르면 악성 어플이 설치된다. 서류 접수 확인 버튼 이와의 배너를 누르면 정상적인 경찰청 사이버테러 대응센터 사이트로 이동시키는 등의 교묘한 수법으로 이용자의 의심을 최소화했다. 초기 스미싱은 사전에 유출된 개인정보와 탈취한 통신사 정보, 인증용 문자메시지를 결합해 소액결제를 유도하는 형태였다. 하지만 신종 스미싱은 전문가도 단번에 구별하기 어려운 수준의 고도화된 수법으로 공인인증서, ID와 비밀번호, 통신사 정보, 문자메시지 등 금융거래와 결제에 필요한 모든 정보를 한 번에 탈취한다. 주소록의 정보까지도 유출하며 스미싱 수신자를 기하급수적으로 늘리는 대형 보안사고의 시작점으로 변했다 /온라인편집부 news@fnnews.com

경찰청 사이버 테러대응 센터 신고민원 포털을 위장한 가짜 피싱 사이트 전자 금융사기는 각종 예방법과 대비책이 나오기가 무섭게 빠른 속도로 진화하는 중이다. 줌인터넷은 올 상반기 신종 전자 금융사기 는 △무료 와이파이를 악용하는 등 새로운 방식의 '역발상 피싱', △전문가도 식별이 어려운 '판박이 사이트', △이용자의 관심사를 꿰뚫고 접근하는 '지능적 스미싱'의 3대 특징을 보인다고 28일 발표했다. ■백신으로 무장한 PC, 무료 와이파이로 공격하는 '역발상 피싱' 전자 금융사기의 가장 효과적인 예방법으로 여겨졌던 '백신'마저 피해가는 신종 금융 사기가 등장했다. 백신으로 예방이 가능한 PC가 아니라 사람들이 의심 없이 즐겨 쓰는 '무료 와이파이'를 악용하는 수법이다. 이러한 변종 파밍은 무선랜 공유기를 조작해 와이파이 이용자들을 가짜 사이트로 유도한 후 개인 정보를 빼낸다. 백신 등으로 PC의 보안·예방 조치를 철저히 해놓았다고 하더라도 조작된 무선랜 공유기로 와이파이에 접속하면 피해를 입을 수 있다. 이처럼 무선랜 공유기를 이용한 수법은 개인이 사전에 예방할 수 있는 방법이 별로 없다. 공유기의 보안설정을 강화해 피해를 막을 수 있지만, 공공장소의 공유기는 이용자 개인이 손을 댈 수 없는 영역이기 때문이다. 때문에, 공공장소에선 무료 와이파이 이용을 최대한 삼가고 어쩔 수 없이 이용해야 할 땐 해킹 발생 시 피해를 보상해주는 브라우저로 인터넷에 접속하는 것이 안전하다. ■전문가도 깜빡 속는 슈퍼노트급 '판박이 피싱 사이트' 전문가도 구분 못할 정도로 정교한 위조지폐를 슈퍼노트라고 부른다. 피싱(가짜) 사이트에서도 이런 슈퍼노트급 사이트가 등장했다. 이러한 피싱 사이트는 이용자의 의심을 최소화 하기 위해 웹사이트 주소(URL)와 디자인은 물론 문구까지 정상 사이트와 유사하게 만들어져 있어 전문가들 조차 단번에 구별해내기가 어렵다. 기존의 피싱 사이트들이 정상 사이트를 어설프게 베끼는 수준에 그쳤던 것 과는 정반대다. '경찰청 사이버 테러대응 센터'로 위장한 피싱 사이트의 경우 이용자로 하여금 정상 사이트라는 확신을 갖게 하기 위해 자동가입 방지를 위해 활용되는 캡차코드(CAPTCHA CODE)까지 삽입했다. 이와 같은 고도화된 기술이 포함된 사이트의 경우 이용자의 입장에서는 정상사이트로 믿을 가능성이 높다. ■이용자 관심사 꿰뚫는 지능적인 스미싱…추석 땐 '택배 알림', 휴가철엔 '물품 반송' 스미싱 문자의 소재도 진화했다. 한 눈에 스팸 문자임을 알아볼 수 있었던 예전의 스미싱 문자와는 달리, 최근의 스미싱 문자들은 이용자의 클릭을 유도하기 위해 시기별로 다양한 소재를 활용한다. 선물 수요가 많은 추석엔 '택배 알림', 집을 비우는 경우가 많은 휴가철엔 '물품 반송' 문자를 스미싱에 활용하는 식이다. 이용자의 클릭을 유도하기 위한 '시간차 스미싱'도 등장했다. 비슷한 내용의 문자를 하루 간격으로 보내 이용자가 확인하게끔 유도하는 것이다. 처음엔 '택배 수령 확인' 문자를 보내고, 이용자의 반응이 없을 경우 '택배 상품 반송' 문자를 보내는 식이다. 이용자의 입장에서는 특정번호로 같은 내용의 문자가 계속 오면 본인과 관계된 내용으로 믿고 클릭할 가능성이 높다. yccho@fnnews.com 조용철 기자

▲ 사진: 안랩 신종 스미싱 주의 최근 피싱에 스미싱을 결합한 신종 스미싱이 등장해 관심이 집중되고 있다. 안랩(대표 권치중)은 지난 12일 "웹 사이트 주소(URL) 및 디자인, 원문, 캡챠코드 입력 화면까지 정상 사이트와 매우 유사하게 만들어 일반 사용자의 육안으로 구별하기 어려운 '슈퍼노트급' 피싱(가짜) 사이트를 이용한 신종 스미싱 수법이 등장했다”며 주의를 당부했다. 최근 등장한 '경찰청 사이버테러 대응센터'로 위장한 피싱 사이트는 서류 접수 확인을 누르면 캡차코드 입력 화면이 뜨지만 번호를 입력하지 않았거나 틀려도 확인만 누르면 악성 어플이 다운로드 되게끔 만들어져 있다. 과거 스미싱은 사전에 유출된 개인정보와 탈취한 통신사 정보, 인증용 문자메시지를 결합해 소액결제를 유도하는 형태였으나 현재는 공인인증서, ID와 비밀번호, 통신사 정보, 문자메시지 등 금융거래와 결제에 필요한 모든 정보를 한 번에 가져가 피해가 커지고 있는 상황이다. 신종 스미싱 피해를 예방하려면 문자메시지나 소셜 네트워크에 포함된 URL 실행을 자제해야 한다. 또한 모바일 백신으로 스마트폰을 주기적으로 검사하고, 시스템 설정에서 알 수 없는 출처를 허용 금지로 설정해 놓는 것이 좋다. 신종 스미싱 주의 소식을 접한 네티즌은 "신종 스미싱 주의, 무서운 세상이다", "신종 스미싱 주의, 이런 범죄자들은 빨리 잡아야지", "신종 스미싱 주의, 정보가 너무 빠져나간다" 등의 반응을 보였다. /온라인편집부 news@fnnews.com

순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 최근 스미싱 악성코드 유포 방식이 기존 탐지시스템을 우회하기 위해 더 고도화 되고 있다고 밝혔다. SCH사이버보안연구센터에 따르면 스미싱 공격에서 사용자를 속이기 위해 단축 URL을 이용하는 경향이 증가하고 있는 추세인데, 최근에는 이 방식도 탐지되자 기존 스미싱 대응시스템을 우회하기 위해 '캡챠(CAPTCHA) 코드'까지를 동원하는 방식으로 진화하고 있다고 말했다. 캡차 코드는 사람과 컴퓨터를 구분하기 위해 사람만이 인지할 수 있는 문자가 포함된 변형된 이미지를 보여주고 해당 문자를 입력해야지만 원하는 다음 단계가 처리되게 하는 기술이다. 다시 말해 공격자는 기존 탐지 시스템을 우회하기 위해 피해자가 단축 URL을 클릭하면 바로 악성코드가 자동으로 다운로드 되게 하는 것이 아니라 피해자를 임의로 만들어둔 웹 페이지로 먼저 유도한다. 그런 후 피해자가 캡챠 코드를 입력한 후에만 스미싱 악성코드가 다운로드 되도록 하는 방식이다. SCH보안센터측은 "이렇게 함으로써 공격자는 기존 자동 탐지 시스템이 자동으로 스미싱 악성코드를 다운로드하지 못하게 만들어 스미싱 대응시스템에 탐지되지 않을 것으로 기대해 공격 방식을 변경한 것으로 추정된다"고 설명했다. 순천향대 SCH 사이버보안연구센터장 염흥열 교수는 "이러한 유포 방식 변화는 공격자가 스미싱 악성코드 유포 가능성을 극대화하기 위한 시도로 해석되며 스미싱 대응 시스템도 캡챠 코드 인식 기능도 추가해 대응할 필요가 있다"라며 "향후 더욱 고도화된 방식을 이용할 공격자들의 공격 방식에 대한 지속적인 연구와 추적이 필요하다"고 강조했다. cynical73@fnnews.com 김병덕 기자