추석 연휴에도 해커들은 쉬지 않습니다. 오히려 느슨해진 보안 의식을 틈 타 더 집요하게 사이버 공격을 할 위험성이 있습니다. 건강하고 안전한 명절 연휴를 보내기 위해선 사이버 보안수칙을 숙지하고 반드시 실천하시길 바랍니다.
고가의 경품 준다는 설문조사, 일단 의심을
보안 전문 기업 이스트시큐리티는 안전한 추석 연휴를 보내기 위한 5가지 보안수칙을 발표했습니다. 이스트시큐리티에 따르면 최근 기승을 부리고 있는 공격 중 하나라 '설문조사' 사칭 공격입니다. 기관이나 기업에서 진행하는 설문조사 형태를 차용해, 추석이 다가옴에 따라 한가위 이벤트, 추석 선물 이벤트와 같은 키워드로 개인정보를 탈취하는 사례입니다. 고가의 경품으로 사용자들을 현혹하여 이름과 휴대폰번호 같은 개인정보를 수집하고, 이렇게 수집된 개인정보는 또 다른 사이버 공격에 활용하는 방식입니다.
대형 포털에서 제공하는 설문조사 양식을 사용해 진위 여부를 판단하기 어려운 만큼, 과도한 개인정보를 요구하거나 고가의 경품을 제공하는 경우 먼저 의심을 하는 것이 좋습니다. 또한 공식 홈페이지를 통해 이벤트 진행 여부를 확인하는 것도 좋은 방법 중 하나입니다.
특정 키워드를 이용하여 악성 앱 설치를 유도하는 스미싱 공격에도 주의가 필요합니다. 공격자들은 '층간소음', '음식물 무단 투입', '도로법 위반' 등 실제 발생할법한 키워드들을 이용하여 사용자들의 클릭을 유도 및 악성 앱 설치를 시도합니다. 일단 악성 앱을 설치하게 되면 공격자가 본인의 의도대로 사용자의 휴대폰을 제어할 수 있을 뿐만 아니라, 휴대폰 소유자의 명의를 이용하여 다양한 금전적 손해를 입힐 수도 있습니다.
각종 통지서 안내문을 전자문서로 전달해주는 서비스를 사칭한 피싱 공격이 지속되고 있습니다. 특히 증명서 재발급, 주민등록사실조사 안내, 운전면허 적성검사 갱신과 같은 실제 우리 생활과 밀접한 관계가 있는 키워드들을 사용해 사용자들의 클릭을 유도하며 개인정보 탈취를 시도합니다. 수상한 이메일을 받았을 때에는 반드시 발신자 주소 및 페이지 URL을 확인해야 하며, 모바일 전자고지 서비스의 경우 모바일에서만 확인 가능하다는 점을 잊지 말아야 합니다.
수상한 링크를 통해 다운로드 된 앱의 설치를 삼가야 하며, 만약 이미 악성 앱을 설치했을 경우 최대한 빠르게 삭제하도록 하고 '118'(한국인터넷진흥원 침해신고센터) 혹은 '1332'(금융감독원 통합콜센터)에 신고해 후속 조치를 취해야 추가 피해를 방지할 수 있습니다.
해외여행 중 'QR코드' 조심하세요
중국, 동남아 국가로 여행을 계획하는 여행족들이라면 큐싱 공격에 주의해야 합니다. 중국, 동남아 국가에서 활성화 되어있는 QR코드 결제는 빠르고 간편하다는 큰 장점에 반해 QR코드를 스캔하기 전까지 최종 URL을 확인할 수 없다는 단점이 있습니다. 여행족들은 해외에서 무분별한 QR코드 스캔을 지양해야 하며, QR코드 스캔 시 개인정보를 요구하거나 APK가 다운로드 될 경우 정상 URL인지 확인해야 합니다.
또한 불특정 다수가 사용하는 공공 와이파이의 경우 상대적으로 중간자 공격, 스니핑, 스푸핑과 같은 공격에 취약하며, 공격자가 사용자가 입력하는 모든 정보를 수집하고 변조할 수 있는 위험이 존재합니다. 공공 와이파이를 사용해야 할 경우에는 계정정보, 금융정보와 같은 중요 정보들의 입력을 지양해야 하며, 필요 시 VPN과 같은 안전한 전송수단을 사용하는 것이 좋습니다.
어린이·청소년 노리는 검은 유혹…'용돈' '문상' 키워드 주의
최근 딥페이크, 몸캠피싱, 계정탈취 등 미성년자를 노리는 각종 사이버 위협이 추석 연휴에도 이어질 것으로 예상되는 가운데, 안랩은 안전한 명절을 위해 '어린이와 청소년이 알아야 할 추석 보안수칙'을 발표했습니다.
안랩이 이번에 발표한 추석연휴 보안수칙의 주요 내용은 ▲송신자가 불분명한 문자/메일/DM/모바일 메신저 내 URL 클릭 금지 ▲공식 경로로만 콘텐츠 이용하기 ▲인터넷에 개인정보 공개•공유하지 않기 ▲온라인에서 접근하는 낯선 사람 차단하기 등입니다.
지난 설 연휴에는 유명 인터넷 전문 은행을 사칭해 세뱃돈 이벤트를 진행한다는 내용의 피싱 문자가 확산된 바 있습니다. 이번 추석에도 '추석선물', '용돈', '현금', '문상' 등의 키워드를 미끼로 미성년자를 유인하는 공격이 발생할 수 있어 주의가 필요합니다. 이러한 공격의 대부분은 문자 내 URL을 클릭하면 정식 홈페이지로 위장한 가짜 사이트로 연결되어, 이후 이벤트를 사칭해 개인정보 입력을 요구하거나 수수료 명목으로 금전을 요구하는 방식입니다.
이런 피해를 예방하기 위해서는 출처가 불분명한 문자나 일, DM, 모바일 메신저 메시지의 URL은 실행해서는 안 됩니다. 또 유명 업체가 보낸 URL의 경우에도 발신 전화번호나 이메일을 인터넷에 검색해 보는 등 사칭 여부를 확인해야 합니다.
SNS에 개인정보 과도한 노출 금물
연휴 기간 동안 여행 등 휴가지를 방문하는 경우, 자신의 신체나 개인정보가 과도하게 노출되는 사진을 올리는 것도 주의해야 합니다. 공격자들은 일상을 공유하기 좋아하는 청소년 층을 노려 다양한 소셜미디어 플랫폼 상에서 개인정보를 수집해 이를 피싱, 계정 탈취, 음란물 합성 등에 활용하는 경우가 많습니다. 특히, 이름, 생일, 나이, 거주지, 학교 등 누구나 알 수 있는 개인정보 외에 메신저 아이디도 엄연한 개인정보라는 것을 명심하고 온라인에서 무심코 노출하거나 공유하는 것을 최소화해야 합니다.
최근 다양한 소셜미디어 플랫폼 상에서 청소년에게 접근해 친밀도를 쌓으며 온라인 그루밍(길들이기), 로맨스스캠(연애를 미끼로 금전을 갈취하는 행위), 몸캠피싱 등 다양한 악성행위를 시도하는 사례가 지속적으로 발견되고 있습니다. 특히, 최근 발견되고 있는 소셜미디어 악용 몸캠피싱의 경우, 스마트폰의 주소록을 탈취하던 기존 방식과 달리 음란 영상을 유도한 후 이를 당사자의 '소셜미디어 친구들에게 뿌리겠다'는 방식의 협박을 사용합니다. 이 경우 악성앱 설치 유도 과정이 필요 없기 때문에 피해자는 더 쉽게 속을 수 있습니다. 청소년들은 온라인에서만 대화를 나눈 사람도 '지인'이라는 생각을 가지기 쉽기 때문에 온라인 상에서 타인의 접근은 더욱 주의해야 합니다.
안랩 사이버시큐리티센터(ACSC) 박태환 본부장은 "명절 연휴 기간 동안 많은 시간을 스마트 기기와 보낼 어린이와 청소년을 노려 사이버 공격이 발생할 수 있다"며 "청소년들은 상대적으로 금전적 보상이나 만남 등을 내세운 유혹에 흔들리기 쉬워, 특히 보안 수칙을 준수해야 한다"고 당부했습니다.
남도영 기자 hyun@techm.kr