By MATT BURGESS, WIRED UK

마크 저커버그가 2012년 4월, 단 10억 달러에 인스타그램을 인수한 뒤 인스타그램은 소셜 미디어 시장의 대형 플랫폼이자 메타의 최대 자산 중 하나로 성장했다. 매월 10억 명이 넘는 사용자가 인스타그램에 접속하며, 인플루언서는 수익을 기록할 핵심 수단으로 인스타그램에 의존한다.

인스타그램과 같은 대규모 온라인 집단이 사용자를 최대한 이용해 순식간에 범죄 자산을 확보할 목적으로 해커 세력과 스캐머의 표적이 되는 것은 자연스러운 일이다. 결과적으로 인스타그램이 스캐머가 자주 노리는 공격 대상이 돼, 사용자 계정을 탈취하고 계정 복구 비용을 받으려 하는 것은 물론이고 암호화폐 스캠에도 자주 동원한다.

사이버 보안 기업 시겐타(Cygenta) 공동 CEO 제시카 바커(Jessica Barker)는 최근 인스타그램 사기 보고가 급격히 증가했다고 언급하며, “인스타그램 스캠과 계정 탈취는 매우 심각한 문제이다. 스캠은 모든 소셜 미디어 플랫폼 전 영역을 장악했다. 그러나 인기와 개방성, 개인 관계 연결이라는 특성 때문에 인스타그램은 스캠 공격에 악용하기 이상적인 플랫폼이다”라고 말했다.

여전히 인스타그램 스캠 대부분 주의해야 할 사항과 신속한 계정 설정 변경으로 예방할 수 있다.
 
인스타그램 사기 감지 방법
스캠 세력은 발 빠르게 움직인다. 러시아의 우크라이나 침략, 코로나19 확산, 암호화폐 가격 급등 등 세계의 관심을 집중할 만한 주요 사건이 발생할 때마다 스캠 세력의 활동이 뒤따른다. 온라인 스캠 수법은 끊임없이 진화한다. 즉, 수많은 스캐머가 수시로 이 글을 읽는 독자의 계정과 금전을 탈취할 기회를 호시탐탐 노릴 수 있다는 의미이다. 심지어 인스타그램 해킹 보험을 판매하는 스타트업도 등장했다.

보안 기업 이셋(ESET)의 글로벌 사이버 보안 고문 제이크 무어(Jake Moore)는 “인스타그램이 큰 인기를 얻자 급속도로 사용자 수가 증가했다. 그와 동시에 팔로워 수를 기준으로 특정 계정 주인을 즉시 신뢰하게 되었다. 이는 사용자가 이미 알고 있는 다른 계정이 특정 계정을 팔로우한다면, 스캠 세력이 피해자의 가짜 도달 페이지 로그인 등을 위한 민감 정보 등 상세한 정보를 건네도록 할 때 신뢰를 얻기 좋다”라고 설명했다.

인스타그램은 공식 웹사이트 게시글을 통해 스캠 의심 사례를 상세히 기술했다. 대표적인 사례는 암호화폐 스캠과 같은 대출 및 투자 사기, 대회와 무료 보상 사기, 가짜 구인 공고를 동원한 취업 사기, 계정 접근 권한을 손에 넣기 위한 피싱 사기, 가짜 아이폰과 가짜 애플워치 등을 내세운 모조품 홍보 사기 등이 있다.

스캐머는 다음과 같은 두 가지 요소를 얻으려 한다. 피해자의 입금 유도나 인스타그램 계정 접근 권한 확보를 통해 현재 혹은 앞으로 펼칠 스캠에 악용하고자 한다. 스캠은 종종 스캐머가 사용자를 속여 개인 정보나 돈을 건네도록 하는 방식 혹은 로그인 상세 정보를 마구 수집할 링크 접속 유도 등과 같은 방식으로 펼쳐진다.

인스타그램의 상당수 스캠 작전이 다이렉트 메시지를 통해 피해자를 직접 겨냥할 확률이 높다. 스캐머는 사용자에게 메시지나 링크를 보내 피싱 웹사이트로 접속할 링크를 공유한다. 바커는 “스캠 표적이 되었는지 확인할 가장 좋은 방식은 예상하지 못하게 이루어져 무언가를 느끼도록 한 뒤 특정 활동을 요구하는 내용의 소통을 주의 깊게 살펴보는 것이다”라고 말했다.

다이렉트 메시지를 보낸 계정이 갑자기 대회 우승 안내를 하거나 현금 수령을 위해 무언가를 재빨리 확인하도록 요청하는 방향으로 이어질 때, 혹은 진짜라고 보기에 너무 좋은 조건으로 홍보 협력을 제안할 때 스캠을 의심할 수 있다. (스캠 의심 메시지는 삭제하고, 인스타그램에 신고해야 한다.)

바커는 “인스타그램 스캠 감지 시 특정 링크 접속을 유도한다면, 메시지를 보낸 계정 주인이 친구나 실제 신뢰할 수 있는 브랜드, 인스타그램팀이라고 하더라도 해당 메시지를 주의 깊게 살펴보아야 할 것이다”라고 덧붙여 전했다. 스캠 메시지에는 그래픽 오류나 어색한 영어 문장, 사용자의 클릭을 유도해 인스타그램 앱 이외 다른 곳으로의 접속을 유도하는 링크 등이 포함되었다. 종종 최근 생성된 계정이 보낸 메시지이다.

스캐머는 종종 인스타그램 로고와 브랜드를 사용해 다이렉트 메시지로 기술 지원이나 검증, 보안 지원 메시지를 보낸다. 모두 가짜 계정이 보낸 메시지이다. 인스타그램은 절대로 사용자에게 다이렉트 메시지를 보내지 않는다고 안내했다. (앱 설정에서 인스타그램 측이 보낸 공식 이메일에서 확인할 수 있는 부분이다.) 바커는 “금전 보상과 선물 카드, 투자 제도 관련 게시글을 주의해야 한다. 모두 스캠 세력의 보편적인 수법이다”라고 언급했다. 어느 한 브랜드가 계속 인증되지 않은 계정으로 접촉한다면, 답장을 보낼 때 주의해야 한다.

인스타그램 스토리를 이용한 스캠도 있다. 사이버 보안 기업 멀웨어바이츠(Malwarebytes)의 멀웨어 인텔리전스 총괄인 크리스 보이드(Chris Boyd)는 “사기꾼은 인스타그램 스토리 기능을 악용해 24시간 뒤 자동 삭제되는 스캠 게시물을 게재한다. 스캠은 프로필 사진에 숨겨져 있으나 사용자는 이미지의 메인 컬렉션을 보지 않는다”라고 설명했다. 이어, 인스타그램 스토리가 인스타그램 피드가 아닌 다른 곳에서 사기 행위를 펼치다가 자동으로 사라지므로 감지하기 어렵다고 덧붙여 말했다.

가짜 대회를 이용한 스캠과 사용자 계정에 접근하려는 시도는 이전에도 발견된 수법이지만, 인스타그램은 인질 형태의 스캠도 급격히 증가한 것을 관측했다. 주로 사용자는 해킹 계정을 돌려받기 위해 타인에게 비트코인이나 다른 가상자산에 투자했다고 말하는 영상을 게재하도록 강요받는다. 인스타그램 스캐머 때문에 수천 달러를 잃었다고 보고하는 이들도 있다. 이와 같은 사례는 모든 계정을 신뢰해서는 안 되는 이유를 강조한다.

보이드는 “암호화폐 사기는 사용자가 재빨리 상대적으로 안전한 인스타그램 플랫폼을 벗어나 인스타그램이 보안 지원을 할 수 없는 거래 사이트로 접속하도록 한다. 금전 갈취 기반 암호화폐 승인은 스캐머에게는 영리한 방식이다. 아는 사람을 최대한 이용해 시각적인 수단으로 신뢰를 형성해 무언가를 홍보하는 전략은 항상 임의의 이메일을 동원한 수법보다 더 신빙성을 얻을 수 있다”라고 말했다.

사기 피해 예방, 이렇게 하라
보안 설정과 약간의 행동 변경으로 해킹과 최악의 스캠 피해를 막을 수 있다. 다행히도 그 절차가 복잡하지 않으며, 약간의 변화로 큰 차이를 줄 수 있다.

먼저, 앞서 언급한 바와 같이 특히 개인적으로 알지 못하거나 누군가가 아무 특성이 없는 URL을 보냈을 때, 해당 링크를 클릭해서는 안 된다. 무어는 “수 개월간 특정 계정을 팔로우한다고 해서 인증된 계정이라고 할 수 없다”라고 말했다.

만약, 진짜 계정이 아니라고 의심한다면, 해당 계정이 처음 등장하게 된 출처를 확인해야 한다. 바커는 “신뢰할 수 있는 계정인지 알아내려면, 해당 계정을 팔로우해야 한다. 프로필 하단의 ‘계정 정보(About this Account)’를 통해 계정 생성일 정보를 확인할 수 있다. 그리고 해당 계정이 인증된 계정인지 확인할 수 있다”라고 설명했다.

두 번째 방법은 기본 설정도 의심해야 한다. 인스타그램 계정이 전체 공개 상태라면, 누구나 게시글을 보고 메시지를 보낼 수 있다. 메시지를 보낼 수 있는 사용자를 제한한다면, 스캠 노출 위험성을 줄일 수 있다. 계정 공개 상태를 변경하고자 한다면, ‘설정(Settings)’ > ‘프라이버시(Privacy)’에 접속한 뒤 비공개(Private)로 전환해야 한다.

프라이버시 설정 시 메시지를 보낼 수 있는 사용자를 제한할 수도 있다. ‘메시지’ 섹션에는 ‘메시지 요청(Message Requests)’ 폴더에 수신 메시지를 보낼 수 있는 옵션이 있으며, ‘인스타그램의 다른 사용자’ 메뉴를 통해 팔로워가 아닌 사용자가 메시지를 전송하지 못하도록 할 수 있다. 더 자세한 정보를 원한다면, 와이어드의 인스타그램 연락처 제한 방법 안내와 추적 중단 및 인스타그램 프라이버시 강화 기능을 택할 수 있다.

이견을 제시할 수도 있는 부분이지만, 스캐머의 계정 탈취를 막을 가장 훌륭한 방법은 고유하면서 보안 수준이 강력한 패스워드를 사용하고 패스워드 매니저에 보관한 뒤 2단계 인증 방식으로 전환하는 것이다. 2단계 인증을 활성화한다면, 패스워드 사용 이외에도 계정 로그인을 할 때 로그인 코드를 사용하거나 알림 클릭을 추가할 수 있다. 계정 탈취 피해를 막을 효과적인 방법이기도 하다.

인스타그램에 2단계 인증 기능을 활성화하려면, 사진 오른쪽 구석 아래에 있는 프로필 사진을 클릭한 뒤 가로줄 세 개로 구성된 아이콘 메뉴를 클릭하면 된다. 이후 ‘설정’ > ‘보안(Secrutiy)’ > ‘2단계 인증(Two-Factor Authentication)’을 선택하면 된다. 보안 보호 기능을 활성화할 수 있다. 인스타그램 계정 해킹 피해가 발생한 최악의 상황이라면, 와이어드의 해킹 계정 복구 가이드를 참고하기를 바란다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How to Avoid the Worst Instagram Scams