"카드 발급 안했는데, 당할 뻔"…설 연휴 앞두고 '피싱' 사기 활개

이스트시큐리티, 부모님께 알려드려야 할 피싱 공격 유형 5가지 안내…"모바일 백신 설치 필요"

컴퓨팅입력 :2024/02/07 11:10    수정: 2024/02/07 14:41

#. 직장인 A씨는 최근 황당한 경험을 했다. 낯선 전화번호가 찍힌 문자에 '교통법규 위반'이라는 문구와 인터넷 주소가 링크돼 있었고, 경찰 마크도 함께 표시돼 있었다. A씨는 얼마 전 지인 결혼식에 참석하기 위해 대구로 차를 몰고 간 기억이 떠올라 '혹시 과속에 걸렸나'하는 생각에 이 문자의 인터넷 주소를 클릭했다. 화면에 표시된 인터넷 페이지에 의심없이 휴대폰 번호를 입력한 A씨는 갑자기 알 수 없는 애플리케이션이 설치돼 당황했다. 순간 이상하다고 판단한 A씨는 경찰에 바로 신고했고, 조사 결과 '스미싱' 사기에 당한 것으로 파악됐다.

이스트시큐리티가 정한 설 연휴 부모님께 알려드려야 할 피싱 공격 5가지(사진=이스트시큐리티)

이처럼 생활과 밀접한 관계가 있는 내용의 피싱 공격이 설 연휴를 앞두고 또 기승을 부리고 있어 이용자들의 주의가 요구된다. 

7일 이스트시큐리티에 따르면 최근 문제가 되고 있는 피싱 공격 유형 5가지는 ▲악성 앱 설치를 유도하는 스미싱 ▲ QR코드를 이용한 큐싱 공격 ▲ 콜 백을 유도하는 스미싱 ▲ 해외여행족들을 노리는 스캠 공격 ▲ 계정정보 탈취를 시도하는 피싱 메일 등이다.

특히 명절 귀성길에 오르는 사람들을 타깃으로 스미싱이 활발한 데 '과속', '신호위반', '쓰레기 무단투기' 등의 키워드를 이용한 경우가 많은 것으로 파악됐다. '세뱃돈', '송금'과 같은 키워드의 스미싱도 설 연휴 기간에 등장할 것으로 예상된다.

이 같은 문자를 받았을 경우 링크를 클릭해선 안된다. 실수로 링크를 클릭했다 하더라도 단순히 피싱 페이지 접속 또는 악성 앱 다운로드 만으로는 감염되지 않기 때문에 다운로드 된 악성 앱을 삭제하면 된다.

이스트시큐리티 ESRC 관계자는 "만일 악성 앱을 설치했다면 주변사람들에게 해킹 사실을 알리고 '알약M'과 같은 모바일 백신을 설치해 악성앱을 탐지, 해당 앱을 삭제해야 한다"며 "엠세이퍼(명의도용방지서비스)에 접속해 가입사실 확인과 가입제한 서비스 신청을 통해 추가 피해를 방지하는 등 적극적인 조치를 취해 추가 피해를 방지해야 한다"고 설명했다.

QR코드를 활용한 '큐싱' 공격도 최근 활발해지고 있다. 큐싱이란 QR코드를 이용한 사기 수법으로, 악의적인 QR코드를 통해 사용자로 하여금 악성 apk 설치나 악성 링크에 접속하도록 유도하는 공격방식이다. 특히 육안으로는 QR코드의 진위 여부를 확인하기 어려워 더 각별한 주의가 필요하다.

큐싱 공격을 예방하기 위해서는 출처가 불분명한 QR코드의 스캔을 지양해야 한다. QR코드 스캔 을 통해 접속한 페이지에서 apk 설치나 개인정보 입력을 유도한다면 URL을 확인해 정상 서비스인지 확인해야 한다.

지난 6일 기자가 문자를 통해 받은 '콜 백을 유도하는 스미싱' (사진=장유미 기자)

'콘텐츠 이용료', '카드 발급' 등과 같은 내용과 함께 고객센터 전화번호가 포함돼 콜 백을 유도하는 스미싱도 주의해야 한다.

문자 내 번호로 전화를 걸면 고객센터를 위장한 공격자들이 전화를 받아 본인확인 후 악성 앱 설치를 유도해 사용자의 개인정보 및 금융 정보 탈취를 시도한다. 특히 명절 연휴에 이런 피해를 입었을 경우 빠른 대처가 어려울 수 있어 각별한 주의가 필요하다.

설 연휴 해외여행족들을 노리는 '스캠' 공격도 빈번할 것으로 보인다. '스캠'은 상대방을 속이는 행위다. 

이스트시큐리티 ESRC 관계자는 "플랫폼을 이용해 숙박업소를 예약하는 사람들이 최근 증가함에 따라 숙박 플랫폼이나 숙박업소를 위장해 사용자들을 속이는 행위가 많다"며 "이들이 신용카드 정보를 탈취해 금전적 피해를 입히는 공격이 지속적으로 발생하고 있다"고 당부했다.

그러면서 "만일 '카드오류', '자동취소'와 같은 내용과 함께 링크가 포함된 이메일 혹은 메시지를 받았다면 링크를 클릭하지 말고 해당 숙소를 통하여 진위 여부를 반드시 확인해야 한다"고 덧붙였다.

'국세청', '국민연금' 등과 같은 키워드를 이용해 계정정보 탈취를 시도하는 피싱 메일도 피해야 할 대상이다. 이같은 피싱 메일은 실제 포털에서 발송되는 이메일과 매우 유사하게 제작돼 있고, 사용자의 계정정보 입력을 유도해 계정정보 탈취를 시도한다. 계정 정보가 탈취될 경우 무작위로 계정정보를 대입해 해킹하는 '크리덴셜 스터핑(Credential Stuffing)' 공격을 통해 추가 피해가 발생할 수 있다.

관련기사

수상한 이메일이 수신됐을 때에는 반드시 발신자 정보를 확인해야 한다. 또 주기적으로 비밀번호를 변경하고 2단계 인증 및 해외 로그인 차단 등과 같은 추가 보안조치를 통해 추가 피해 확산 예방해야 한다.

이스트시큐리티 ESRC 관계자는 "설 연휴를 노리는 각종 피싱 공격이 예상되는 만큼 이번 설 연휴 때 특히 부모님께 다양한 피싱 공격 유형들을 알려드려 피해를 입지 않도록 해달라"며 "'알약M'과 같은 모바일 백신 설치를 도와드려 가족 모두가 안전하고 편리한 디지털 생활을 하실 수 있기를 바란다"고 밝혔다.