"가족 사칭한 피싱 주의"…백신 3사, '비대면' 연휴 보안수칙 제시

게티이미지뱅크
게티이미지뱅크

국내 백신 3사가 추석 연휴를 앞두고 보안수칙을 제시했다. 가족과 친지를 사칭한 피싱 공격이 증가할 전망으로 피해 예방을 위해 발신자에게 직접 확인하라고 권고했다.

안랩과 이스트시큐리티, 하우리는 코로나19 사태에 따른 비대면 추석 연휴 보안수칙을 각각 공개했다.

이번 연휴는 예년과 달리 귀성객이 감소하면서 '방콕', '집콕' 등 온라인 기반 비대면 문화가 확산할 것으로 예상된다. 그만큼 온라인 보안수칙도 중요해졌다. 코로나19 사태 이전에는 정보보안 업체보다 주로 물리보안 업체에서 빈집털이를 우려해 보안 주의보를 발령했다.

백신 3사가 제시한 보안수칙을 종합하면 공격자는 가족 구성원을 사칭해 악성 애플리케이션(앱) 설치를 유도하고 금융 정보를 탈취할 것으로 보인다. 최근에는 자녀를 사칭한 문자 메시지를 보내 핀(PIN) 번호 등을 요구하거나 스마트폰 원격제어 앱 설치를 유도한 사례가 발견됐다.

이를 예방하려면 가족, 친지 문자라도 앱 설치를 유도하거나 금전 거래를 요구하면 직접 당사자에게 전화를 걸어 사실 여부를 확인하는 것이 좋다.

하우리 관계자는 “이번 연휴는 코로나19 영향으로 가족, 친지 고향 방문을 자제해 온라인으로 안부 인사를 물어보는 경우가 많을 것으로 예상된다”면서 “공격자는 사회 분위기를 악용해 가족, 친지를 사칭한 뒤 악성 앱 설치를 유도하거나 금융 정보를 탈취하고자 할 것”이라고 경고했다.

추석 모바일 상품권을 사칭한 스미싱. 이스트시큐리티 제공
추석 모바일 상품권을 사칭한 스미싱. 이스트시큐리티 제공

선물과 택배 배송이 증가하면서 이를 악용한 스미싱도 많아질 것으로 관측된다. 스미싱은 모바일 기기 이용자를 속여 개인정보 등을 탈취하기 위한 SMS 문자 메시지를 말한다.

유명 국제배송업체 송장 확인 메일을 가장해 악성코드를 유포한 사례, 택배 도착 안내를 위장한 스미싱 등이 지속 발견되는 상황이다. 코로나19 2차 재난지원금 지급을 사칭한 스미싱도 포착됐다.

이스트시큐리티에 따르면 지난 8월까지 스미싱 탐지 건수는 70만건을 넘어섰다. 이스트시큐리티 관계자는 “이 같은 스미싱은 추석 연휴 기간 '택배 사칭', '코로나19 긴급재난지원금', '추석 선물과 기프티콘 도착' 등 키워드를 활용해 더욱 늘어날 전망”이라면서 “해당 키워드가 포함된 문자를 받으면 바로 열람해선 안 된다”고 말했다.

영화, 게임, 인기 동영상 등 콘텐츠는 공식 경로를 통해 내려받아야 한다. 파일공유 사이트에서 최신 영화와 게임 파일을 위장한 악성코드 유포 사례는 꾸준히 발견됐다. 유명 콘텐츠 스트리밍 업체 공식 계정을 사칭해 '구매 내역 확인'을 요구하며 피싱 이메일과 스미싱 문자를 발송한 사례도 발견됐다.

안랩 관계자는 “영화와 게임을 다운로드할 경우 공식 홈페이지를 이용하고 출처가 불분명한 인터넷주소(URL), 첨부파일은 실행하면 안 된다”면서 “프로그램과 앱을 항상 최신 버전으로 유지하고 개인용컴퓨터(PC)와 스마트폰에 전용 백신을 설치하는 등 보안수칙을 실천해야 한다”고 당부했다.

이외에도 △불필요한 PC는 전원 끄기 △중요한 자료는 외장하드(HDD), 이동형저장장치(USB) 등 안전한 곳에 백업하기 △백신 프로그램 최신 버전을 유지하고 실시간 감시기를 활성화하기 △사회관계망서비스(SNS)와 메신저 등 URL은 함부로 클릭하지 않기 등이 권고된다.

오다인기자 ohdain@etnews.com