(사진=빗썸)
빗썸이 공개한 주요 사칭 피싱 수법은 크게 세 가지 유형으로 나뉜다. 우선 거래소나 금융기관을 사칭해 해외 IP 로그인 시도 감지 문자와 가짜 링크를 발송하는 방식이 대표적이다. 보안 점검을 가장한 사칭 메일로 실제 사이트와 똑같이 복제한 페이지 접속을 유도해 인증정보를 탈취하거나, 검색 엔진에 가짜 홈페이지를 노출해 이용자가 직접 정보를 입력하도록 만드는 수법도 자주 활용된다.
이러한 피싱에 노출되면 △계정 ID·비밀번호 △2단계 인증코드(SMS·OTP) △휴대전화 번호 및 이메일 주소 △이름·생년월일 등 개인정보 △금융·결제 정보 등이 모두 새어 나갈 수 있다. 특히 동일한 비밀번호를 여러 곳에 사용하는 경우 거래소 계정을 넘어 같은 비밀번호를 쓰는 다른 서비스로 2차 피해가 확산될 수 있다.
빗썸은 피해를 예방하기 위한 점검 사항도 함께 제시했다. 우선 보낸 사람의 주소는 일부만 보지 말고 전체 주소를 끝까지 확인해야 한다. 또한 ‘지금 당장’을 강조하는 안내일수록 일단 멈추고, 공식 애플리케이션(앱)이나 홈페이지에서 동일한 안내가 있는지 먼저 확인하는 것이 좋다. 아울러 링크는 누르기 전에 공식 URL과 일치하는지 확인해야 한다. 링크를 클릭하기보다 앱을 직접 열거나 주소를 손으로 입력하는 것이 가장 안전하다.
만약 의심스러운 링크를 이미 클릭했거나 정보를 입력했다면 신속한 조치가 중요하다. 이때는 네트워크 연결을 즉시 차단하고, 빗썸 계정과 빗썸 외 주요 계정에 대한 보호 조치를 취해야 한다. 백신 프로그램으로 정밀 검사를 진행함과 동시에 운영체제(OS)와 소프트웨어도 최신 상태로 업데이트하면 좋다.
피해가 의심될 때는 채널별로 신고·상담을 받을 수 있다. 빗썸 계정에서 이상거래가 확인되면 빗썸 투자자보호센터로 즉시 연락하고, 이 밖에 △해킹·악성코드 피해는 KISA 118 상담센터 △보이스피싱·스미싱 등 사이버 사기 상담 및 제보는 경찰 민원 콜센터(182) 또는 112 신고센터 △금융 관련 사기·분쟁 및 범죄 신고는 금융감독원(1332)에 연락하면 도움을 받을 수 있다.
빗썸 관계자는 “사칭 피싱은 진짜와 구분하기 어려울 만큼 정교해지고 있다”며 “앞으로 이용자의 자산과 개인정보를 지키기 위한 보안 안내와 보호 조치를 지속적으로 강화해 나가겠다”고 말했다.
