민족의 대명절 추석이 다가왔다. 특히 이번 추석은 대체 공휴일과 개천절까지 더해 6일이란 긴 연휴가 주어진다. 많은 이들이 가족과 함께 하거나 여행을 떠나는 등 즐거운 기분으로 연휴를 준비하고 있겠지만, 해커들은 쉬지 않고 사용자들이 방심한 틈을 노리고 있다는 점을 잊어선 안되겠다.

'생계지원자금·이벤트 당첨·택배' 문자 주의하세요

안랩은 추석 연휴를 앞두고 '추석' 키워드를 사용한 다양한 주제의 피싱 문자를 발견해 사용자의 주의를 당부했다. 안랩은 인공지능(AI)을 기반으로 탐지 및 판별한 피싱 문자 데이터에서 분석한 결과, 최근 추석을 앞두고 '생계지원자금', '이벤트 당첨', '택배' 등 관련 키워드를 악용한 피싱 문자가 활발하게 유포 중인 것을 확인했다.

안랩은 먼저 '추석 안정대책발표 생계지원자금 접수 안내'라는 내용의 피싱 문자를 탐지했다. 공격자는 문자 메시지를 수신한 사용자가 '추석 생계지원자금을 받을 수 있는 대상'이라며, '한도 소진으로 모집이 마감되기 전 접수를 신청하라'는 내용을 본문에 작성했다. 

하단에는 지원 내용 및 접수기간 등 상세 내용을 안내했으며, 접수를 위해서는 1:1채팅으로 문의하라며 카카오톡 아이디를 적어 메신저로 연락을 유도했다. 사용자가 속아 메신저를 보내면, 공격자는 대화 과정에서 개인정보를 탈취하거나, 악성 URL을 전송해 악성 앱 설치를 유도할 것으로 추정된다.

추석 대목을 맞아 다양한 업계에서 이벤트도 적극적으로 진행하는 가운데, '추석 이벤트' 상품이 당첨됐다는 내용으로 사용자를 속이는 피싱 문자도 발견됐다. 공격자는 특정 유명 백화점 이름을 사칭해 당첨을 확인하고 상품을 교환하라는 내용, 혹은 당첨 상품권을 증정한다는 내용의 메시지를 악성 URL과 함께 전송했다.

사용자가 속아 무심코 URL에 접속하면 사용자의 이름 및 전화번호, 주소 등 다양한 개인정보 입력을 유도하거나, 개인정보탈취 등을 위한 다양한 악성앱 설치파일이 다운로드 된다.

명절 선물 배송 등으로 택배 물량이 많은 추석 연휴에는 '택배' 키워드를 활용한 피싱 문자도 꾸준히 발견되고 있다. 안랩이 이번에 발견한 피싱 문자에서 공격자는 특정 택배업체를 사칭해 추석물량 증가로 배송이 지연되고 있으니 배송 일정을 확인하라며 사용자가 본문의 악성 URL에 접속하도록 유도했다.

사용자가 악성 URL에 접속하면 배송 조회 페이지로 위장한 피싱 페이지가 나타나며, 사용자의 주소, 이름, 전화번호 등 개인정보를 탈취를 시도한다.

안랩 인공지능팀 류상욱 연구원은 "모바일 사용량이 높은 추석 연휴에는 추석과 연관된 키워드를 활용한 다양한 피싱 문자가 발견되고 있다"며 "피싱 문자로 인한 피해 예방을 위해 사용자는 문자의 출처를 정확하게 확인하는 습관을 들이고, 출처가 명확하지 않은 문자메시지 내 URL이나 첨부파일은 절대로 실행해서는 안 된다"고 강조했다.

명절 인사도 다시 한 번 주의해야

추석에는 명절 인사, 택배, 교통법규위반을 사칭한 스미싱, 보이스피싱 등이 급증하는 만큼 온라인에서의 활동에 각별한 관심이 요구된다.

SK쉴더스 모바일 케어 플랫폼 '모바일가드'의 '악성 앱/스미싱 유형 분석'에 따르면, 지난해 추석이 있던 9월의 악성 앱 탐지 건수는 하반기 평균 대비 9.9%높게 나타났다. 스미싱 범죄에 이용되는 악성 앱 사칭 유형을 살펴보면, SNS, 포털 등 인기다운로드 앱이 가장 높은 순위를 차지했다. 고객센터, 앱 마켓 등의 선탑재 앱이 두 번째, 금융/택배/공공기관 앱이 세 번째 순위를 기록했다.

SK쉴더스는 출처가 불분명한 링크(URL)를 클릭하지 않고, 사칭 메일과 문자를 주의해야 한다고 조언했다. 안부 인사말, 선물 배송 등 명절의 특성을 악용해 링크 접속을 유도하기 때문이다. '콜 백(Call back)'을 유도하는 문자도 스미싱 공격에 악용될 수 있다. 고객센터와 유사한 전화번호를 기재해 콜 백을 유도하는 경우, 별도의 검색을 통해 문자에 포함된 번호와 공식 번호가 동일한지 대조가 필요하다.

개방형 와이파이의 사용은 되도록 자제해야 한다. 악의적으로 사용자 접근을 유도하거나 피싱 페이지로 이동시킬 수 있어 해킹 위험성이 크다. 부득이하게 사용할 경우 로그인이나 금융 거래 등 개인정보를 노출할 수 있는 행위는 피하는 것이 좋다.

백신 앱을 활용해 스미싱 위협을 방지하는 것도 권장된다. SK쉴더스의 모바일 백신 앱 '모바일가드'는 AI 백신 엔진을 기반으로 스마트폰 내 신·변종 악성 앱, 원격제어 앱, 등을 실시간으로 탐지한다. 최근 고도화되는 스미싱 위협에 효과적으로 대응하기 위해 스미싱 탐지 강화 및 신고 기능도 추가됐다. 어린 자녀나 고령의 부모님 등 가족의 안전까지 함께 확인할 수 있어 편의성이 높다.

문자사기 피해 입었다면 이렇게 대응하세요

정부는 국민들이 편안한 추석 명절을 보낼 수 있도록 관계부처들과 협력해 24시간 사이버 안전 대응체계를 마련하고, 문자사기 감시와 사이버 범죄 단속을 중점적으로 실시할 계획이다. 과기정통부와 KISA는 추석 연휴기간 동안 문자사기에 신속하게 대응할 수 있도록 24시간 탐지체계를 운영하고, 신고 접수된 문자사기 정보를 분석해 피싱 사이트, 악성 앱 유포지 등에 대한 긴급 차단조치를 통해 국민들의 피해를 최소화할 계획이다.

또 전문적인 지식이 없어도 내 PC와 모바일 기기의 정보보안 수준 및 취약점을 점검할 수 있도록 '내PC·모바일 돌보미' 서비스를 제공하고, 고령층, 장애인, 아동 등 정보보호 실천이 어려운 디지털 취약계층을 지원하기 위해 노인․장애인 복지센터, 키움 아동센터 등에 보안 전문가가 직접 방문하는 보안점검 서비스도 진행한다.

더불어, 이통사와 공동으로 보이스피싱 신종 수법 피해 예방을 위해 전국 2만3000개 휴대폰 판매 유통점과 인터넷 홈페이지 등을 통해 명의도용방지서비스 대국민 홍보를 진행한다.

방송통신위원회는 이동통신 3사(SK텔레콤, KT, LG유플러스), 한국정보통신진흥협회(KAIT)와 협력해 지난 16일부터 각 통신사 명의로 가입자에게 '스미싱 문자 주의 안내' 문자 메시지를 순차 발송하고 있다. 금융위원회와 금융감독원은 금융권과 공동으로 문자사기와 보이스피싱 피해 예방을 위한 집중 홍보기간을 운영한다. 피해 예방 방법과 피해 발생 시 대응 요령을 포스터, 리플렛, 만화 영상 등으로 제작하여 국민들에게 배포하고, 출처가 불분명한 인터넷주소(URL)을 잘못 클릭할 때 직면하게 되는 상황을 체험형 콘텐츠로 개발해 스미싱 문자에 대한 경각심을 제고한다. 

경찰청은 문자사기 피해 예방을 위해 경찰청 홈페이지와 모바일 앱인 '사이버캅'을 통해 예방 수칙·피해 경보 등을 제공하고, 추석 연휴 기간 전후로 발생하는 문자사기, 직거래 사기 등 서민 생활을 침해하는 사이버상 악성사기에 대해 단속을 강화할 계획이다. 특히 사이버범죄  피해를 입은 경우 112나 사이버범죄 신고시스템(ECRM)을 이용해 신고해야 한다.

명절 연휴 중 문자사기 의심 문자를 수신하였거나, 악성 앱 감염 등이 의심되는 경우 112나 '보이스피싱지킴이'에 신고하면 24시간 무료로 상담 받을 수 있다.

문자사기 피해 예방을 위한 보안 수칙

▲택배 조회, 명절 인사, 모바일 상품권 승차권 공연예매권 증정, 지인사칭 문자에 포함된 출처가 불명확한 인터넷주소(URL) 또는 전화번호를 클릭하지 않을 것

▲출처를 알 수 없는 앱은 함부로 설치되지 않도록 스마트폰 보안설정을 강화하고, 앱 다운로드는 받은 문자의 링크를 통해 받지 말고 공인된 오픈마켓(플레이스토어·앱스토어)을 통해 설치할 것

▲백신프로그램을 설치해 업데이트 및 실시간 감시 상태를 유지할 것

▲본인인증, 정부지원금 등의 명목으로 신분증 등 개인정보와 금융정보를 요구하는 경우, 절대 입력하거나 알려주지 않을 것

▲대화 상대방이 개인금융정보나 금전을 요구하거나 앱 설치를 요구하는 경우 반드시 전화, 영상통화 등으로 상대방을 정확하게 확인할 것

▲신분증 사진 등이 유출되지 않도록 스마트폰 내에 저장된 주민등록증, 운전면허증, 여권 사진을 바로 삭제할 것

▲본인도 모르는 휴대전화 개통을 사전에 방지하기 위해 엠세이퍼 홈페이지에 방문해 명의도용방지 서비스를 신청할 것

남도영 기자 hyun@techm.kr