유럽, 호주, 북미 등의 사법 당국이 협력 수사를 벌여 대규모 스푸핑(spoofing) 웹사이트에 연루된 용의자 142명을 체포했다고 밝혔다.
유럽·호주·미국·우크라이나·캐나다의 사법 당국이 ‘스푸핑’ 서비스를 제공해왔던 대규모 웹사이트 '아이스푸프(iSpoof)'를 끌어내렸다. 수사 기관에 따르면 이 웹사이트의 사용자가 자신을 유명한 기업이나 지인으로 속여 얻은 피해액은 약 1억 2,000만 달러에 달한다.
영국을 중심으로 유로폴과 유럽연합(EU)의 사법협력 기관 유로저스트(Eurojust)이 공조해 142명의 용의자를 체포했다. 유로폴이 11월 24일에 올린 성명에 따르면, 웹사이트의 운영자를 체포하는 데 성공했다.
이 웹사이트는 사용자들이 익명으로 스푸핑 된 전화를 걸고, 녹음된 메시지를 보내고, 일회성 비밀번호를 가로챌 수 있는 유료 서비스를 제공했다. 유로폴은 웹사이트가 16개월 동안 380만 달러에 달하는 수수료를 챙겼다고 보고했다. 이 웹사이트의 고객은 불법적인 '스푸핑' 캠페인으로 1억 2천만 달러를 벌어들였다.
미 연방통신위원회(FCC)는 '스푸핑'을 전화 통신에 국한해 설명한다. 발신자가 신원을 위장하기 위해 수신자 화면에 뜨는 정보를 바꾸는 행위를 가리킨다. 그러나 스푸핑 기술은 점차 정교해졌다. 이제 이메일, 웹사이트, 문자 등 다양한 채널에서 여러 가지 방법으로 이루어진다.
이 기법을 쓰는 범죄자는 피해자가 비밀번호, 신용카드, 혹은 금융 정보와 같은 귀중한 개인 정보를 넘겨주도록 설득하고자 신뢰할 수 있는 기관이나 기업(은행 혹은 널리 쓰이는 인터넷 사이트)으로 위장한다.
영국의 사법 당국은 2021년 10월에 처음 유럽에 도움을 요청했다. 그 후 10개국이 가담하며 범국가적 스푸핑 소탕 작전으로 그 규모가 커졌다. 이렇게 구성된 연합 수사팀은 2022년 11월에 작전을 성공적으로 수행해 전 세계 수많은 웹사이트 사용자를 비롯한 관리자를 체포했다. 이 웹사이트의 핵심 관리자는 11월 6일 영국에서 체포됐다.
11월 8일, 미국과 우크라이나 당국은 웹사이트와 서버를 압수해 운영을 중단했다.
눈에는 눈, 국제 사기에는 국제 수사
런던 광역경찰청(Metropolitan Police, 편집자 주: 별칭으로 the Met이라고 불린다)의 청장 마크 롤리는 범죄 조직의 기술 악용은 사법 기관이 21세기에 당면한 큰 적이라고 묘사했다. 동시에 그는 이번 작전에서 "영국 런던의 메트로폴리탄 경찰이 타국과 협력해 수사 방식을 혁신했다”라고 말했다.
지난 9월 영국 국립사이버보안센터(NCSC)는 기업 사칭을 방지하는 방법에 대한 지침를 웹사이트에 게재했다. 해당 지침 기업이 유명한 리테일러로 가장해 소비자를 속이는 피싱(phishing) 웹사이트를 찾아 없애는 데 주력해야 한다는 점을 강조한다.
NSCS는 가이드에 “당신의 브랜드가 유명할수록 악용될 가능성이 크다. 온라인 광고, 소셜 미디어 계정, 이메일, SMS 및 전화를 포함한 수많은 채널에서 사칭 사기가 발생할 수 있다”라고 기술했다.
NCSC는 기업이 피싱 웹사이트를 발견했을 때 해당 웹사이트의 호스팅 회사와 도메인 등록 대행업체에 연락하거나 운영 중단(takedown) 전문 업체의 서비스를 받으라고 권고했다. ciokr@idg.co.kr