‘귀하의 계정이 도난당했습니다. 즉시 비밀번호를 재설정 하십시오.’

이런 메일을 받으면 놀란 마음에 덜컥 링크를 클릭하기 쉽다. 물론, 피싱메일일 확률이 99%다.

그러나 주의 깊게 살피지 않으면 피싱메일인지 아닌기 분간하기 쉽지 않다. 메일을 통한 피싱 수법이 날로 진화하고 있기 때문이다. 피싱을 활용한 해킹과 피해 사례가 전 세계적으로 매년 급증하는 이유다.

구글의 모회사 알파벳 산하의 테크 인큐베이터 ‘지그소(Jigsaw)’가 피싱메일의 다양한 유형을 보여주는 퀴즈를 공개했다. 

퀴즈는 8개의 문항으로 구성되어 있다. 퀴즈에 등장하는 가상의 이메일들 중에는 피싱인 것도, 피싱이 아닌 것도 있다. 

그걸 어떻게 맞히냐고?

전문가들이 권고해왔던 중요한 몇 가지 팁을 기억하면 도움이 된다.  

1. 발신자의 이메일 주소를 확인할 것

2. 첨부파일이나 링크의 URL을 확인할 것 

지그소는 22일 공식 블로그 포스트에서 이 퀴즈를 제작한 배경을 설명하며 피싱메일의 위험성을 상기시켰다.

피싱은 당신의 패스워드를 훔치기 위한 것입니다. 공격자는 끌리는 메시지를 보냅니다. 무료 자금, 당신의 도움이 필요하다는 먼 곳의 왕자, 아니면 가짜 보안 경고일수도 있죠. 여기에는 링크가 포함되는데, (클릭하면) 개인정보 또는 패스워드를 입력하라는 요구를 받게 됩니다. 공격자가 당신의 계정에 접근할 수 있게 되는 것입니다. 지메일과 다른 유명 이메일 서비스들은 이와 같은 가짜 메시지 대부분을 잡아냅니다만, 아마도 사례를 보셨을 겁니다.

더 정교한 공격자들의 경우, 피싱 메시지는 당신이 아는 누군가가 쓴 진짜 이메일처럼 보일 수 있습니다. ‘스피어피싱’이라고 불리는 이 공격은 대개 대규모 사이버공격의 첫 단계이기도 합니다. 공격자들은 가짜 페이지로 끌어들여 로그인 정보를 입력하도록 유인하기 위해 면밀하게 기획된 이메일을 활용합니다.

퀴즈는 여기를 클릭해서 풀 수 있다. 생각보다 꽤 어렵다.