297만 명의 고객 정보가 유출된 롯데카드 해킹 사태가 결국 우려했던 2차 피해로 번지고 있다. 유출된 개인정보가 실제 금융사기, 즉 피싱 범죄에 악용된 사실이 확인되면서 피해자들의 불안감이 극에 달하고 있다. 단순 정보 유출을 넘어 국민의 금융 안전을 직접적으로 위협하는 단계로 사태가 확산되는 모양새다.

이번 사태의 심각성은 범죄 조직이 유출된 정보를 이용해 매우 정교한 피싱 공격을 시도하고 있다는 점에서 드러난다. 정보 유출 피해자 A씨의 사례가 이를 명확히 보여준다. 그는 "신형 아이폰17 259만 원 결제 완료"라는 이메일을 받고 화들짝 놀랐다. 본인이 결제한 내역이 아니었기에 이메일 내의 "내가 한 결제가 아닙니다" 버튼을 눌렀고, 이는 결제 취소를 위장한 피싱 사이트로 연결됐다.

범인들의 수법은 치밀했다. 피싱 사이트에는 이미 해킹으로 유출된 A씨의 롯데카드 번호 마지막 네 자리 '9172'가 버젓이 적혀 있었다. 이 때문에 A씨는 해당 사이트를 의심 없이 신뢰하고 카드 부정 사용을 막기 위해 범인들이 요구하는 대로 애플 계정 정보와 전체 카드 번호 등 민감한 금융 정보를 입력할 뻔했다. 유출된 단편적인 정보를 미끼로 활용해 피해자를 안심시킨 뒤, 더 핵심적인 정보를 빼내려는 고도화된 범죄 수법이다.

이는 "CVC 등 핵심 정보는 유출되지 않아 카드 재발급이 불필요하다"는 롯데카드 측의 초기 안내와는 상반된 위험이 현실화된 것이다. 비밀번호 변경만으로 충분하다는 안내를 믿었던 269만 명의 고객들은 이제 자신도 언제든 정교한 피싱 공격의 표적이 될 수 있다는 공포에 직면하게 됐다. 롯데카드가 유출된 정보의 위험성을 과소평가한 것 아니냐는 비판이 제기되는 대목이다.

가장 큰 문제는 해커의 손에 있던 297만 명의 개인정보가 어떤 경로로 피싱 조직에까지 흘러 들어갔으며, 이들이 어느 정도 규모의 데이터를 확보했는지조차 파악되지 않는다는 점이다. 만약 유출된 정보 전체가 암시장에서 거래되어 다수의 피싱 조직 손에 넘어갔다면, 유사한 형태의 2차 피해는 가늠할 수 없는 규모로 번질 수 있다. 단순 데이터 유출 사고가 국민 전체를 대상으로 한 연쇄 금융사기 범죄의 시발점이 될 수 있는 위기 상황이다.

이러한 피싱 공격은 누구나 당할 수 있어 각별한 주의가 필요합니다. 이런 상황에서 스스로를 보호하기 위해 피싱 사기 문자와 이메일을 식별하는 방법과 대처 요령을 정리해 드릴까요?