전문적인 해킹 지식이 없어도 25달러만 있으면 누구나 피싱 공격을 감행할 수 있는 시대가 됐다. 사이버 범죄의 진입장벽이 급격히 낮아지면서 보안 위협이 확산되고 있다.

글로벌 사이버 보안 기업 노드VPN은 12일 ‘피싱 키트’가 다크웹이나 텔레그램 등 메신저 앱에서 25달러(약 3만5000원) 이하로 쉽게 구매할 수 있다며 이 같은 현실을 경고했다.

피싱 키트는 드래그 앤 드롭 방식의 웹사이트 제작 도구, 이메일 템플릿, 연락처 리스트 등이 포함된 사전 제작형 악성 패키지다. 전문 기술이나 지식 없이도 실제와 유사한 피싱 사이트를 제작할 수 있어 개인정보 탈취, 데이터 암호화, 랜섬웨어 공격 등에 악용되고 있다.

최근에는 공격이 더욱 조직화되면서 ‘피싱 서비스(PhaaS)’ 플랫폼까지 등장했다. 호스팅부터 피해자 타겟팅까지 공격 전 과정을 대행하는 방식으로 피싱을 하나의 사업처럼 운영할 수 있게 만들었다.

노드VPN 조사에 따르면 2024년 사이버 범죄자들이 가장 많이 사칭한 사이트는 구글, 페이스북, 마이크로소프트였다. 작년 한 해 동안 8만5000건 이상의 가짜 구글 URL이 발견됐다.

이런 상황에서 개인 사용자들의 보안 의식이 더욱 중요해지고 있다. 의심스러운 링크는 철자나 주소를 꼼꼼히 확인하고, 계정 보안을 위해 다중 인증을 설정하는 것이 필요하다. 스팸 메일이나 의심스러운 제안이 담긴 이메일은 발신자를 확인한 뒤 신중하게 검토해야 한다.

파일 다운로드 전 악성코드 검사 실시, 개인정보 추적 방지 도구 사용, 기기 소프트웨어 최신 상태 유지 등도 중요한 예방 수칙으로 꼽힌다.