피싱 사기의 심리학: 위험한 이메일

30 12월, 2020
갑자기 무언가를 부탁하거나 개인 정보를 공유해달라는 의심스러운 이메일을 받아본 적이 있다면 현대 사기 수단인 피싱 메일을 받았을 가능성이 높다.

기술이 진보하면서 모든 것이 그에 맞춰 변화하고 있으며 범죄 역시 마찬가지다. 이제 흔해진 사이버 범죄는 그 형태도 다양해서 스파이웨어, 애드웨어, 트로이 목마 또는 각종 컴퓨터 바이러스 등이 있다. 이번 글에서는 이메일로 개인 정보를 훔치는 사이버 범죄, 피싱 메일에 관해 이야기해보겠다.

사이버 범죄자들은 마치 지인이나 사업체로 가장하여 당장 이메일에 적힌 내용대로 부탁을 들어주고 개인 정보를 공유해달라고한다. 피싱 메일은 대개 익히 알고 있거나 한 번쯤 들어본 사업체 이름으로 발송되며 이메일 내용을 따르지 않으면 바로 계좌 정지 또는 비용 청구가 된다고 겁을 준다. 특히 이러한 이메일에 첨부된 악성 파일을 열거나 금융 정보 같은 개인 정보를 써서 보내면 피싱 피해자가 된다. 피싱은 한 번에 많은 사람을 속이는 효율적인 사기 수단으로 전문가들에 따르면 2019년 피싱 피해자가 9백만 명이라고 한다.

피싱 메일은 몇 가지 전형적인 유형이 있지만, 숙련된 사이버 범죄자는 심리 및 감정적 수단으로 교묘한 덫을 놓는다.

더 읽어보기: 조직범죄의 원인은 무엇인가?

피싱 이메일 사기

피싱: 독창적인 조직

사이버 범죄자는 사회학과 사회 심리학을 바탕으로 사기극을 짜며 보통 탐욕, 호기심, 동정심과 공포심이라는 4가지 감정을 자극하여 본능적으로 반응하게끔 만든다.

개인 정보 탈취 전술은 4가지 감정과 사회 습성을 적용한다. 피해 여부는 개인의 성격과 판단력에 따라 결정되는데 다음에서 피싱 사기 유형 3가지를 살펴보자.

전형적인 피싱 사기 유형 3가지

권위에 기댄 사기

인간은 원래 권력층에 복종하는 경향이 있다. 즉, 인지적 편견이 있어서 권력자 앞에서는 잠깐이라도 자기 의견이나 행동의 결과를 잊고 상급자의 명령을 따르는 데 급급해진다는 뜻이다.

피싱 사기범은 유명 회사의 간부나 공무원 등으로 위장하여 관련 종사자들에게 이메일을 보낸다. 수신자는 송신자의  단체명만 보고 내용을 덜컥 믿게 된다.

국세청을 사칭하며 첨부된 링크를 눌러서 세금을 환급받으라거나 새로운 프로젝트를 확인해달라며 아는 회사명으로 첨부 파일을 보낸 사례 등이 흔하다.

절박성 이용

절박함을 조장하는 심리 조작은 범죄 외에서도 관찰된다. 빠른 구매를 위해 급박한 상황을 연출하는 마케팅 전략은 손해 보기 싫은 두려움을 이용한다.

사기범들은 당장 수신자의 관심을 끌도록 ‘컴퓨터가 바이러스에 감염됐습니다.’ 또는 ‘고객님의 계좌에 누군가 접속했습니다.’ 같은 자극적인 제목의 이메일을 보낸다. 또 ‘선착순 50분만 상품을 받습니다.’ 등 즉각적인 행동이 필요한 것 같은 이메일도 볼 수 있다. 기회를 놓치지 않아야겠다는 심리를 이용하여 무심코 사기극에 휘말리게 한다.

피싱 메일의 목적은 공포심을 자극하여 성급한 결정을 내리게 하는 것이다. 이성을 흐려서 사기 메일이라는 판단을 할 수 없게 만드는 데 문제는 내용을 의심해도 피싱 덫에 걸릴 수 있다는 점이다.  괜한 의심으로 기회를 날리는 것은 아닌지 생각하게 만들기 때문이다.

자동적인 반응

살면서 의식하지 않고 자동으로 반응하는 일들이 많다. 반복과 경험의 결과로 아무 생각 없이 늘 하던 대로 반응하는데 ‘취소’보다는 ‘확인’이라는 표시에 자동으로 클릭하는 행동이 바로 이에 속한다.

사기범은 답장한 적도 없는 이메일에 다시 답장하라고 시키거나 구독 취소나 수신 거부 같은 가짜 링크를 누르게 만든다.

이러한 전략은 위험하면서도 효율적이다. 악의를 알아차리기 어렵고 평소 받던 이메일과도 비슷하기 때문에 피해자들은 무심코 범인들이 원하는 대로 행동하게 된다. 용의주도한 범인들의 이메일에 그대로 넘어가는 것이다.

더 읽어보기: 스페인의 가짜 프리랜싱 문제

피싱 자동적인 반응

피싱 사기의 덫을 피하는 방법

사기를 알아채는 촉이 좋은 사람들도 있지만, 누구나 피해자가 될 수 있다. 항상 경계를 늦추지 말고 이메일을 꼼꼼히 읽는다. 모르는 사람이 보낸 이메일이라면 가짜 계정은 아닌지 확인한다.

성급한 반응은 금물이다. 행동의 결과를 생각해보고 내용과 발송자를 확인하여 의심스러운 점은 없는지 살핀다. 또 관계 기관에 신고하는 것도 중요하다.