이스트시큐리티가 설 연휴 부모님께 꼭 알려드려야 할 피싱 공격 유형을 발표하며 피싱 사기를 당하지 않도록 주의를 당부했다.
피싱 공격 유형 5가지론 △악성 애플리케이션 설치를 유도하는 스미싱 △QR코드를 이용한 큐싱 공격 △콜백을 유도하는 스미싱 △해외여행족들을 노리는 스캠 공격 △계정정보 탈취를 시도하는 피싱 메일 등을 꼽았다.
이스트시큐리티 측은 “설 연휴기간 명절 귀성길에 오르는 사람을 타깃으로 하는 과속, 신호위반, 쓰레기 무단투기 등의 키워드를 이용한 스미싱 공격이 지속된다”며 “세뱃돈, 송금과 같은 키워드의 스미싱도 등장할 것”이라고 분석했다.
우선 문자메시지(SMS) 내 포함된 링크를 클릭해선 안 된다. 실수로 링크를 클릭했다면 단순히 피싱 페이지 접속 또는 악성 앱 다운로드만으론 감염되지 않기 때문에 다운로드된 악성 앱을 삭제하면 된다.
'큐싱'도 주의해야 한다. QR코드를 이용한 사기 수법으로, 악의적인 QR코드를 통해 사용자로 하여금 악성 안드로이드 앱 패키지(APK) 설치나 악성 링크에 접속하도록 유도하는 공격방식이다. 특히 육안으로는 QR코드의 진위 여부를 확인하기 어려워 더 각별한 주의가 필요하다.
콘텐츠 이용료, 카드 발급 등과 같은 내용과 함께 고객센터 전화번호가 포함돼 콜백을 유도하는 스미싱도 기승을 부리고 있다. 문자 내 번호로 전화를 걸면 고객센터를 위장한 공격자들이 전화를 받아 본인확인 후 악성 앱 설치를 유도하여 사용자의 개인정보 및 금융 정보 탈취를 시도한다. 특히 명절 연휴에 이런 피해를 입을 경우 빠른 대처가 어려울 수 있어 각별한 주의가 필요하다.
설 연휴 해외여행족을 노리는 스캠(Scam·신용사기) 공격도 등장했다. 특히 플랫폼을 이용해 숙박업소를 예약하는 사람들이 증가함에 따라 숙박 플랫폼이나 숙박업소를 위장해 사용자를 속이고 신용카드 정보를 탈취해 금전적 피해를 입히는 공격 방식이다. 만일 카드오류, 자동취소와 같은 내용과 함께 링크가 포함된 이메일 혹은 메시지를 받았다면, 링크를 클릭하지 말고 해당 숙소를 통해 진위 여부를 반드시 확인해야 한다.
국세청, 국민연금 등도 공격자 즐겨 쓰는 피싱 메일 키워드다. 이러한 피싱 메일은 실제 포털에서 발송되는 이메일과 매우 유사하게 제작됐다. 수상한 이메일이 수신됐을 땐 반드시 발신자 정보를 확인해야 하며, 주기적으로 비밀번호를 변경하고 2단계 인증 및 해외 로그인 차단 등과 같은 추가 보안조치를 통해 추가 피해 확산 예방해야 한다.
이스트시큐리티 침해대응센터(ESRC) 관계자는 “이번 설 연휴 때 부모님께 다양한 피싱 공격 유형을 알려 피해를 입지 않게 하고, '알약M'과 같은 모바일 백신 설치를 도와 가족 모두가 안전하고 편리한 디지털 생활을 하실 수 있기를 바란다”고 밝혔다.
조재학 기자 2jh@etnews.com