과학기술정보통신부 우정사업본부가 6일 긴급 경고를 발령했다. 인터넷우체국 고객지원센터를 사칭한 피싱 이메일이 대량 유포되고 있다는 것이다. 문제는 이번 피싱 수법이 과거와 달리 매우 정교하다는 점이다. 실제 우체국 공식 메일 주소를 발송자로 표기해 일반인이 가짜 메일임을 구별하기 어렵게 만들었다.
피싱 이메일의 내용은 “미납금이 있어 배송이 지연되고 있다”거나 “배송 완료를 위해 미납금을 최대한 빨리 결제하라”는 식이다. 이메일에는 결제를 유도하는 링크가 포함돼 있으며, 클릭 시 개인정보 탈취나 악성코드 감염 피해가 발생할 수 있다. 우정사업본부는 현재 인터넷우체국 홈페이지와 모바일 앱에 주의 안내 팝업을 게시하고 긴급 대응에 나선 상태다.
온라인 쇼핑이 익숙지 않은 시니어 세대일수록 이 같은 피싱 공격에 취약하다. 실제로 택배 미납금 명목의 사기는 디지털 환경에 익숙하지 않은 계층에서 피해가 우려되는 것으로 보인다.
발송자 주소까지 위조하는 신종 수법
이번 피싱 이메일의 가장 큰 특징은 발송자 정보 위조 기술이다. 과거에는 “upost12345@gmail.com” 같은 의심스러운 주소로 발송돼 비교적 쉽게 구별할 수 있었다. 하지만 최근 피싱 범죄는 이메일 스푸핑 기법을 활용해 실제 공공기관의 공식 메일 주소를 그대로 표시한다. 수신자 입장에서는 발송자 정보만으로는 진위를 판단하기 어려운 상황이다.
더욱 교묘한 점은 메일 내용의 구성이다. “고객님의 소포가 미납금으로 보관 중입니다”라는 문구와 함께 실제 우체국 로고, 고객센터 연락처 등을 그대로 복사해 신뢰도를 높인다. 이메일 하단에는 “24시간 이내 미결제 시 반송됩니다”라는 긴박감을 조성하는 문구를 넣어 신중한 판단을 방해한다.
우정사업본부는 “우체국은 절대 이메일로 미납금 납부나 개인정보, 비밀번호 입력을 요청하지 않는다”며 “의심 메일을 받으면 링크 클릭이나 첨부파일 실행을 하지 말고 즉시 삭제해야 한다”고 강조했다.
명절·연말 시즌 노리는 공공기관 사칭 범죄
박인환 우정사업본부장은 “최근 공공기관을 사칭한 피싱 이메일이 증가하고 있다”고 밝혔다. 실제로 금융위원회와 금융감독원은 지난 2월 설 명절 시즌을 앞두고 택배회사, 정부기관, 금융기관을 사칭하는 보이스피싱 범죄가 기승을 부릴 것으로 예상해 예방 캠페인을 실시한 바 있다.
명절이나 연말정산 시즌처럼 택배 물량이 급증하고 금전 거래가 빈번한 시기는 피싱 범죄자들에게는 최적의 환경이다. 실제로 많은 사람이 택배를 기다리고 있는 상황이기 때문에 “배송 지연” 또는 “미납금 발생”이라는 메시지에 의심 없이 반응할 가능성이 높다.
올해 3월 익산경찰서는 로맨스스캠으로부터 지적장애인을 보호한 농협과 우체국 직원들에게 감사장을 수여했다. 이는 금융 현장 직원들의 사기 예방 역할이 그만큼 중요해졌음을 보여주는 사례다. 공공기관 사칭 범죄는 단순히 이메일뿐 아니라 전화, 문자, 메신저 등 다양한 채널로 진화하고 있다.
시니어가 꼭 알아야 할 피싱 예방 수칙
특히 시니어 세대가 주의해야 할 핵심 예방 수칙은 다음과 같다. 첫째, 메일 내 링크는 절대 클릭하지 않는다. 둘째, 첨부파일은 열어보지 않는다. 셋째, “긴급”, “24시간 이내”, “계정 정지” 같은 긴박감을 조성하는 문구가 있다면 의심한다. 넷째, 결제나 개인정보 입력을 요구하면 100% 사기로 간주한다.
디지털 환경에 익숙하지 않은 시니어일수록 자녀나 주변 지인에게 먼저 상의하는 것이 최선의 예방책이다. 실제로 피싱 피해의 상당수는 혼자 판단하고 즉각 행동했을 때 발생한다.
우정사업본부는 향후 유사 사례에 대한 모니터링을 강화하고 고객 피해 예방을 위한 안내를 지속할 계획이다. 공공기관 사칭 범죄는 앞으로 더욱 정교해질 것으로 예상되며, 개인의 경각심과 함께 기관 차원의 보안 시스템 강화가 동시에 이뤄져야 할 것으로 보인다. 의심스러운 메일을 받았다면 서둘러 삭제하고, 필요시 우체국 고객센터(1588-1300)에 직접 문의하는 것이 안전하다.
