작년 12월 초, 오랜만에 로그인한 네이버에서 충격적인 메일을 보게 된다.
'너의 애플 아이디가 언락되었어'
'너의 애플 아이디 비밀번호가 리셋되었어'
'너의 애플 아이디가 맥북 에어에서 로그인 되었어'
나의 수많은 애플 기계 중 유일하게 없는 맥북 에어.
심장이 쿵쾅쿵쾅 뛰며 서둘러 애플 웹사이트에 로그인 하려고 시도했지만 비밀번호가 이미 바뀌어서 서둘러 리셋을 했다. 다행히 폰 번호와 연동되어 있어서 쉽게 아이디를 복구할 수 있었다. 해커가 접속했다고 뜬 iCloud 와 iMessage 를 확인했지만 아무런 흔적도 발견 할 수 없었다.
비상용으로 쓰던 오래된 아이디로 프로필에 있던 정보는 이메일 주소, 폰 번호, 이름 뿐이라 2단계 인증 설정도 안해놓은 나의 잘못이다. 대형 웹사이트 정보 유출 이라는 기사를 봐도 강 건너 불 구경 하는 것 마냥 굴었던 내가 원망스러웠다.
다행히 해커가 내 애플 아이디를 이용해서 특별한 행동을 한 것 같지는 않았기에 그나마 안심이었지만 이 사건은 나에게 온라인 보안에 관한 경각심을 일깨워 주기에 충분했다.
바로 비밀번호 보안 프로그램, 앱을 다운받아서 유출된 웹사이트와 관련 있는 로그인 정보들을 다 리셋하고, 각 웹사이트 마다 다른 비밀번호를 설정 해놨다. 매번 접속할 때 마다 귀찮은 2단계 인증도 셋업 해놓고, 이제 모든 걸 다시 시작하는 마음으로 홀가분해졌었다.
그렇게 반년이 지나고 이번 6월 4일 폰으로 애플 ID 코드 인증 번호가 날라왔다. 그러더니 바로 Whatsapp 인증 번호 요청과 모르는 번호로 전화가 오기 시작했다. 이 인증 요청은 저녁 10시 반까지 지속됐다.
누군가 나에게 위협을 가할 수 도 있다는 극심한 불안감 때문에 그 날 밤잠을 설쳤다.
아침에 일어나보니 평소 사용도 안하는 왓츠앱에서 누군가 메세지를 보냈다. 갈색 가운데 손가락 이모티콘. 모르는 번호와 모르는 사람 얼굴로 대뜸 욕을 하니 이 놈이 그 놈이구나 싶어 나도 욕을 날려주고 싶었지만 순간 이렇게 도발해서 나의 반응을 보는게 이 놈의 목적일 수도 있다는 생각이 들어 자제했다.
10분 뒤 중년의 인도 커플 프로필로 페이스 톡이 걸려온다. 식겁해서 거절을 했더니 보이스 콜이, 그 다음에는 인도에서 국제전화로 전화가 걸려왔다. 같은 패거리인게 확실 하다. 바로 블락하고 왓츠앱도 삭제해 버렸다.
전날부터 계속 됐던 불안이 커져서 이제 집 주소로 찾아오면 어쩌지? 하는 공포감까지 들기 시작했다.
하지만 생각해보면 이놈들이 나에 대한 정보를 얼마나 가지고 있는지 모르지만 당장 돈 내놓으라고 연락하지 않는 걸 보니 자기들이 아쉬운 입장인가? 하며 스스로를 달랬다.
그렇게 다 괜찮을거야 다 지나갈거야 위로를 하며 핸드폰을 만지고 있는데,
"Wssup" What's up
그놈한테서 연락이 왔다.
순간 비명을 지를 뻔 했다. 이 놈이 정말 나를 협박할 만한 무언가를 가지고 있나 두려워 졌다. 그렇지 않고서야 나와 대화를 할 이유가 없지 않나? 이번에야 말로 접촉을 해보고 싶었지만 나의 멘탈은 이미 무너졌으니 이 상태로 대화했다간 나만 불리해 질 협상(?)이 이루어 질 것 같아 한가닥 남은 이성으로 이것도 차단해버렸다.
손이 벌벌 떨리며 어쩌지 누구한테 도움을 요청해야 하지 고민하는 데 모르는 번호로 계속 전화가 온다. 노이로제에 걸릴 것 같은 상황이 지속됐고 그들은 마지막 보이스 메일을 남기고 연락을 멈췄다.
"헬로.....중얼중얼..... 너의 케이스 아이디는 (또박또박) 이거고 너의 핸드폰 통신사에 전화해서 해결해"
내 통신사에 전화해서 뭘 해결 하라는거지? 정상적인 사고를 할 수 없던 나는 이 메세지조차 무시해 버렸다. 그냥 얼른 이 상황에서 도망가고 싶어 폰 번호를 바꿔야겠다는 생각 뿐이었다. 당장 바꿀까? 바꾸려면 어디에 연락해야하지?
고민을 하며 연락이 또 올까봐 불안한 상태로 그 날 오후를 보냈고 저녁쯤 되어서야 혹시 이 놈들이 바라는 게 내가 폰 번호를 바꿔서 자기들이 이 번호를 가져 가는 게 아닐까? 하는 생각까지 들게 되었다.
너무 피해망상일까? 시나리오 쓰는걸까? 설마 하며 구글에 검색해봤더니...... 세상에.
캐나다에서 성행하는 신종 온라인 스캠 중 하나였다. 내 폰 번호를 가지고 다른 통신사에 번호이동을 요청해서 몇가지 본인인증을 거치고 수락이 되면 그대로 그 번호가 사기꾼들의 손에 넘어가는 메카니즘. 통신사간 번호이동이 쉬운 캐나다 법을 악용한 스캠이라 한다.
이미 기사, 커뮤니티에는 피해자 사례들이 넘쳐났다. 뭔가 조치를 취할 새도 없이 통신사가 강제로 이동되어 사기꾼들이 핸드폰 2단계 인증을 풀고 은행 계좌를 털어갔다, 이미 그들이 내 번호를 가지고 인터넷 어카운트를 리셋해놔서 어디에도 접속 할 수가 없다 등등. 온갖 호러 스토리들이 가득했다.
아 이놈이 시도하려는게 내 폰 번호를 가져가려는 거구나. 소름이 돋았다. 마지막으로 믿고 있었던게 바로 핸드폰 인증인데...! 당장 통신사에 전화를 했지만 비지니스 아워가 아니었기에 다음 날 아침 바로 프로텍션과 핀넘버를 셋팅했다. 그리고 그 뒤로 그들에게서 아무 연락도 오지 않고있다. 다른 먹잇감을 찾아서 떠난걸까?
그렇게 이틀을 극도의 불안감으로 지새웠더니 사람들이 왜 신경쇠약에 걸리는지 이해가 됐다. 나의 모든 것은 온라인에 있는데 왜 그동안 보안에 신경쓰지 않았나 하는 자책감이 마음을 무겁게 한다.
이번일이 무사히 넘어가면 나는 이제 온라인 보안 전도사가 되어 만나는 사람들마다 보안에 대해 강조를 하고 다니련다. 제발 무사히 넘어가다오!
--- 알아낸 정보들
-인도인, 한명이 아닌 그룹, 여러 스캠 사무실중 하나(인도에 캐나다인을 대상으로 한 보이스피싱 일당들이 잡혔다는 기사가 있다)
- 이들이 시도하는 건 Port-out scam. 폰 번호를 강제로 다른 통신사로 이동해서 자기들 SIM 에 넣으면 끝. 반드시 프로텍션 을 걸어놔야 한다.
- 평소 오는 스팸 전화를 받아서 대꾸하면 그들의 리스트에 "잘 걸려들 확률 높음" 이라고 공유되어 표적이 될 수도 있으니 절대 받으면 안된다. 모르는 번호로 연락오면 아무런 반응도 보이지 않고 바로 차단. (나는 패닉상태로 얼떨결에 다 차단해버렸는데 그게 맞는 행동이었다)
- 모든 웹사이트 비밀번호를 다 다르게 설정해야 한다.(가장 귀찮고 힘든 일)