“추석 택배 반송 안내”…긴 추석 연휴 ‘보안관리’ 이것만 주의하세요

© News1 DB

“고객님의 배송 주소가 잘못되어 택배가 반송되었습니다. 배송 주소 수정 및 재신청은 아래 링크를 눌러주세요.”

신종 코로나바이러스 감염증(코로나19) 여파로 가족·친인척과 접촉하지 않고 ‘집콕’ 추석 연휴를 즐기는 국민이 증가할 것으로 예상되는 가운데, 추석 연휴를 노린 스미싱 공격이 늘어나고 있어 각별한 주의가 요구된다.

◇추석 선물 배송·재난지원금 안내 사칭한 스미싱 문자 기승

택배사 사칭 스미싱 문자 예시 (이스트시큐리티 제공) © 뉴스1

추석 연휴 기간에 맞춰 ‘추석 모바일 상품권 도착’ ‘국민 재난지원금 안내’ ‘추석 선물 반송 안내’ 등을 사칭하는 스마트폰 스미싱 공격이 포착되고 있다. ‘택배 사칭’ 스미싱은 연중 발견되는 스미싱 위협 중 하나로, 선물 발송 등 택배 이용이 증가하는 명절 연휴에 더욱 기승을 부린다.

이러한 공격은 일반적으로 택배 반송, 주소지 불명 등을 안내하기 위해 발송된 것으로 사칭해 택배 상태 조회를 위해 첨부된 URL을 클릭하도록 유도한다. 수신자가 첨부된 URL에 접속하면 택배 기업 앱으로 위장한 악성 앱이 다운로드되고, 로그인을 위해 계정 정보를 입력하면 공격자에게 정보가 탈취된다.

정부가 지급하는 ‘5차 국민 재난지원금’을 사칭한 사회공학적 스미싱 공격도 증가하고 있다. 공격자는 금융사의 재난지원금 안내 메시지(SMS) 발송 시기를 틈타 악성 URL이 첨부된 스미싱 SMS를 배포하고 있다. 특히 명절 준비를 위해 지원금을 사용하려는 국민이 급한 마음에 URL을 클릭할 확률이 높아 각별한 주의가 요구된다.

추석 선물을 가장한 ‘모바일 상품권’ 사칭 스미싱 공격도 문제다. 공격자는 기관·기업·개인이 경품 또는 추석선물 목적으로 발송하는 모바일 상품권을 사칭하고 있다. 이에 발신자를 명확히 알지 못하는 모바일 상품권·기프티콘은 함부로 URL을 클릭하지 않는 것이 좋다.

국민지원금 사칭 스미싱 문자 예시 (방송통신위원회 제공) © 뉴스1

◇“엄마, 카드 사진 앞뒷면 좀 찍어 보내줘”…알고보니 사칭

코로나19 여파로 가족을 직접 만나지 못하고 SMS를 통해 안부를 주고받는 사례가 증가하는 것을 노린 ‘비대면 추석 안부 문자’ 사칭 공격도 나타난다. 이러한 공격은 노년층을 타깃으로 한다.

노년층의 경우 스마트폰 사용이 익숙하지 않은 경우가 많기 때문에, 이러한 SMS를 수신하면 자녀가 보낸 것으로 생각하고 의심 없이 첨부된 악성 URL을 클릭할 가능성이 크다. 따라서 자녀나 친인척 등이 고령의 부모님에게 주의를 사전에 환기할 필요가 있다.

문종현 이스크시큐리티 ESRC 센터장(이사)은 “이러한 스미싱 피해를 예방하기 위해서는 ‘알약M’과 같이 스미싱 탐지, 차단 기능이 있고 신뢰할 수 있는 모바일 전용 보안 앱을 반드시 사용해야 한다”며 “스미싱 공격은 최근 사회적으로 주목받고 있는 키워드를 활용하는 경우가 많기 때문에, 관심을 끄는 내용으로 URL이 첨부된 SMS를 수신할 경우 반드시 의심해 보는 습관을 가져야 한다”고 강조했다.

◇불법으로 영상 내려받았다간 ‘악성코드’ 감염

긴 추석연휴를 맞아 PC나 스마트 기기로 영화, 인기동영상을 내려받으려는 이용자는 불법 다운로드 대신 정상적인 루트를 통해야 악성코드를 예방할 수 있다.

공격자는 유료 콘텐츠를 불법으로 내려받는 이용자를 노려 게임이나 영화로 위장한 악성코드를 유포한다. 실제로 최근 P2P 사이트에 유료 게임으로 위장해 원격조종 악성코드를 유포하거나 온라인 게시판에 ‘유튜브 영상 다운로드 프로그램’으로 위장한 디도스 공격 악성코드를 유포하는 사례가 발견됐다.

이용자는 반드시 공식 경로를 이용해 콘텐츠를 다운로드해야 하며, 출처가 불분명한 파일은 내려 받지 말아야 한다. 또한 평소 운영체제(OS)나 인터넷 브라우저, 응용 프로그램을 최신 버전으로 업데이트하는 것도 중요하다.

한창규 안랩 시큐리티대응센터(ASEC) 센터장은 “공격자들은 경계심이 느슨해지는 명절을 틈타 다양한 공격을 펼쳐왔다”며 “이용자들의 기본 보안수칙 준수가 필수적이다”고 말했다.

◇“해킹 공격 대비, 이것만 지키세요”

국내 보안사는 ‘해킹은 개인의 각별한 주의로 1차적인 예방이 가능하다“고 입을 모은다.

이스트시큐리티는 Δ택배, 코로나 관련 SMS에 포함된 URL 클릭 주의 Δ추석 선물 택배 박스 폐기 시 ’개인정보 라벨‘ 제거 Δ공식 홈페이지나 앱스토어를 통해 소프트웨어·앱 설치 Δ이메일에 첨부된 파일과 URL 클릭 주의 Δ알약, 알약M 등 PC, 모바일 백신 설치와 최신 업데이트 유지를 주요 예방책으로 꼽았다.

안랩은 이용자가 지켜야 할 기본 보안 수칙으로 Δ금전·개인정보·앱 설치 요구 시 ’확인과 검사 실시‘ Δ불법 콘텐츠 다운로드와 ’거리두기‘ Δ사회적 이슈를 이용한 악성코드 유포엔 ’PC·스마트폰 백신 접종‘을 언급했다.

보안 공백이 발생하기 쉬운 기업 보안 담당자를 위한 주의사항도 소개됐다. 이스트시큐리티는 Δ사내 모든 PC와 서버의 보안 인프라 점검 Δ긴급 상황 대비 비상 연락망 업데이트 Δ중요 데이터 백업 시스템 정상 가동 여부 점검 Δ사용하지 않는 사내 시스템 차단과 네트워크 격리 조치 Δ임직원이 사용 중인 모든 시스템에 최신 보안 업데이트 적용을 권고했다.

(서울=뉴스1)