인공지능(AI) 보안기업 누리랩은 대표적인 본인 인증 서비스인 PASS 앱을 모방한 피싱 시도가 최근 증가하고 있어 이용자들의 각별한 주의가 필요하다고 28일 밝혔다.
회사에 따르면 AI 기반 안티 피싱 솔루션 '에스크유알엘(AskURL)'을 통해 공공기관으로 속인 문자 메시지를 보내고 PASS 앱 인증 화면과 유사하게 제작된 피싱 사이트가 등장했다. 이를 통해 이용자가 접속하면 개인 정보를 탈취하는 피싱 행위가 지속해 발생하고 있다.
PASS 앱은 국내 이동통신 3사가 공동으로 제공하는 서비스로 일반인들은 PASS 앱을 통해 일상적으로 다양한 인증 서비스를 이용하고 있다. 피싱 범죄자들은 이용자의 신뢰도가 높은 PASS 인증 화면과 유사한 악성 사이트를 생성해 피싱 범죄를 시도하고 있다.
피싱 범죄자들은 경찰청 범칙금 고지서, 건강보험 체납 안내서, 국민연금 인정 통지서 등의 위장 문자 메시지를 이용자에게 발송하고 이용자를 피싱 URL에 접속하게 유도한다. 피싱 URL에 연결된 피싱 사이트는 공식 PASS 앱 인증 화면과 매우 유사하게 제작돼 있어 이용자들은 의심 없이 이름, 주민등록번호, 휴대전화 번호 등을 입력하게 되고 입력된 개인 정보가 피싱 범죄에 이용되고 있다.
특히, PASS 앱 사칭 피싱 행위는 개인 정보가 유출되는 피해가 발생할 뿐 아니라 전화 금융사기 피해, 개인 영상 자료 유출, 원격 조작 등 추가 피싱 범죄가 행해질 가능성도 높다.
김지훈 누리랩 엑스엔진센터장은 “피싱 범죄자들은 PASS 앱과 같이 이용자들 사이에서 신뢰도가 높은 서비스를 집중적으로 활용해 피싱 범죄를 시도한다”라며 “이용자들은 평소에 자주 사용하는 인증 서비스일지라도 본인 인증과 같은 중요한 작업은 반드시 공식 앱 또는 공식 사이트를 통해서 진행해야 한다”라고 강조했다.
이어 “수신된 문자 메시지 중 URL이 포함되어 있고 해당 URL 접속이 필요한 경우라면 '에스크유알엘'을 활용해 URL을 검사해 보는 것이 피싱 피해를 막는 최선의 방법이다”라고 덧붙였다.
안수민 기자 smahn@etnews.com
