해커는 추석에도 쉬지 않는다…명절 기간 지켜야 할 보안 수칙은

[남도영 기자]

A씨는 OO은행 이름으로 정부 4차 재난지권금 대출을 해준다는 문자를 받고 전화를 걸어 대출상담을 요청했다. 전화 상담원은 A씨에게 "제가 보내는 앱을 설치해야 대출신청이 가능하다"며 앱 설치용 인터넷 주소(URL)를 보냈고, 피해자 A씨는 이를 클릭해 앱을 설치했다.

문자 하나로 시작된 스미싱...7000만원이 사라졌다

A씨가 설치한 것은 휴대폰을 원격 조종하고 전화를 가로채는 앱이다. A씨는 전화 상담원이 보낸 전자 대출신청서 작성용 URL을 클릭했으며, 그 후 사기범은 피해자 A씨의 폰을 원격조정해 허위 대출신청서를 작성했다.

피해자 A는 전화 상담원의 지시에 따라 본인 명의의 OO은행 계좌번호 2개를 전화로 알려주고, 같은 계좌의 체크카드를 전화 상담원이 지시하는 주소로 택배 발송했다. 사기범은 피해자가 대출을 받기 위해선 계좌 입출금 내역을 부풀려 신용등급을 높여야 한다며 체크카드를 요구했다.

피해자 A가 자신의 계좌에서 타인 자금 6000만원이 입금된 후 인출돼 지급정지된 사실을 알고 전화를 걸어 문의하자, 전화 상담원은 거래 실적을 부풀리는 과정에 문제가 발생했다며 금감원에 보증금 1000만원을 내면 지급정지도 풀리고 대출도 정상 진행된다고 답했다.

피해자는 금감원 콜센터에 전화하자 금감원 직원이라는 사람이 받아 사기범 말이 맞으니 모 은행 계좌로 1000만원을 입금하라고 지시했다. 이는 사실 전화 가로채기앱을 통해 금감원인 척한 사기범이었다. 사기범은 1000만원을 인출 후 잠적했다.

선물 택배, 명절 인사, 재난지원금 문자 온다면…스미싱 피해 주의

이는 정부에서 발표한 문자사기, 이른바 '스미싱' 문자를 이용한 보이스피싱 피해사례다. 민족의 대명절 한가위에도 공격자들은 쉬지 않고 시민들의 방심한 틈을 노리고 있다.

과학기술정보통신부와 금융위원회, 경찰청, 한국인터넷진흥원(KISA) 등 정부 기관은 추석 연휴를 앞두고 택배 배송 확인, 국민지원금 등을 사칭한 스미싱 증가를 경고했다.

스미싱은 문자메시지(SMS)와 '피싱(Phising)'의 합성어로 악성 앱 주소가 포함된 휴대폰 문자를 대량 전송후 이용자가 악성 앱을 설치하거나 전화를 하도록 유도해 금융정보가 개인정보를 탈취하는 수법이다.

올 8월까지 스미싱 신고(접수)·차단 건수는 전년 동기 대비 74% 감소했으나, 추석 명절 기간 선물 배송 등에 악용될 수 있는 택배 사칭 문자사기 유형이 93%를 차지하고 있어 이용자의 각별한 주의가 요구된다.

문자에 URL 있다면 일단 '의심'

스미싱 피해를 예방하기 위해선 택배 조회, 명절 인사, 모바일 상품권·승차권·공연예매권 증정 등의 문자 속에 출처가 확인되지 않은 인터넷주소(URL) 또는 전화번호를 클릭하지 말아야 한다.

또 알 수 없는 출처의 앱이 함부로 설치되지 않도록 스마트폰의 보안설정을 강화하고, 앱을 다운로드 받을 경우 문자 속 링크를 통해 받지 않고 공인된 오픈마켓을 통해 앱을 설치해야 한다.

이와 함께 백신프로그램을 설치해 업데이트 및 실시간 감시 상태를 유지하고, 본인인증, 재난지원금 및 백신예약 조회 등의 명목으로 신분증 및 개인정보·금융정보를 요구하는 경우 절대 입력하거나 알려주지 않는 것이 중요하다.

느긋하게 쉬는 순간에도 방심할 수 없다

명절동안 가족들을 노리는 해킹 범죄는 스미싱 뿐만이 아니다. 한가로운 여가를 즐기는 순간에도 해커들은 이용자들을 노리고 있다.

최근 코로나19 상황이 지속되면서 가족들을 방문하지 않고 홀로 집에서 연휴를 보내는 '홈추족'들도 늘고 있다. 이들은 주로 PC나 스마트 기기로 영화나 게임, 동영상 등의 콘텐츠를 즐기는 경우가 많은 데, 이 때 공격자는 유료 콘텐츠를 불법으로 다운받는 사용자를 노려 게임이나 영화 등으로 위장한 악성코드를 유포할 수 있다.

실제 최근 P2P 사이트에 유료 게임으로 위장해 원격조종 악성코드를 유포하거나 온라인 게시판에 '유튜브 영상 다운로드 프로그램' 등으로 위장한 디도스 공격 악성코드를 유포하는 사례가 발견됐다.

/사진=안랩

사용자들은 반드시 공식 경로를 이용해 콘텐츠를 다운로드해야 하며, 출처가 불분명한 파일은 내려 받지 않아야 한다. 또, 평소 운영체제(OS)나 인터넷 브라우저, 응용 프로그램을 최신 버전으로 업데이트해야 한다.

안랩 시큐리티대응센터(ASEC) 한창규 센터장은 "공격자들은 경계심이 느슨해지는 명절을 틈타 다양한 공격을 펼쳐왔다"며 "특히 올 추석은 비대면 환경 속에서 국민지원금, 백신 접종 등의 중요한 사회적 이슈를 활용한 공격이 예상됨에 따라 사용자들의 기본 보안수칙 준수가 필수적"이라고 말했다.

남도영 기자 hyun@techm.kr

<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>