"상품권 당첨, 배송지를 입력하세요"…누르면 내 정보 털립니다

/사진제공=이스트시큐리티

"모바일 상품권이 도착했습니다. 고객님의 배송지를 입력해주세요."

추석연휴를 앞두고 모바일 상품권이나 택배 수령안내를 사칭한 스미싱 공격이 기승을 부리고 있다. 코로나19(COVID-19) 영향으로 비대면으로 선물이나 메시지를 보내는 경우가 많아져 올해 스미싱 공격이 더욱 기승을 부릴 것이라는 전망이 나온다.

16일 보안기업 이스트시큐리티에 따르면 최근 추석 명절을 앞두고 '택배', '5차 재난지원금', '추석선물·기프티콘 도착' 등 키워드가 포함된 스미싱이 늘고 있다. 주소를 입력하라는 URL을 누르면 스마트폰에 악성코드가 설치되는 해킹 수법이다.

택배 사칭 스미싱은 연휴 중 발생하는 가장 흔한 공격유형이다. URL을 통해 주소지 입력이나 택배 상태를 조회하도록 유도한다. URL을 누르면 택배회사 앱으로 위장한 악성 앱이 다운로드되며, 로그인을 위해 계정정보를 입력하면 개인정보가 유출된다. 추석선물용 모바일 상품권이나 자녀 이름을 사칭해 고령의 부모님에게 악성 URL을 보내는 스미싱도 최근 늘고 있다.

이스트시큐리티 측은 국민 재난지원금 대상 여부 안내 메시지를 사칭한 스미싱도 주의할 것을 당부한다. 최근 금융사 등 여러 기관에서 관련 메시지를 보내고 있어, 지원금을 받기 위해 악성 URL을 무심결에 누를 수 있어서다.

이스트시큐리티는 스미싱 피해를 예방하기 위해 URL을 클릭하기 전 문자 메시지를 보낸 상대방에게 문자 발송 여부를 반드시 확인해야 한다고 당부했다. 문종현 이스트시큐리티 시큐리티대응센터장은 "관심을 끌만한 내용으로 URL을 첨부한 문자 메시지를 받을 경우 반드시 의심해봐야 한다"며 "알약M 등 스미싱 탐지와 차단 기능이 있는 보안 앱을 사용할 것"을 제언했다.

한편 이스트시큐리티는 추석연휴 개인과 기업 보안 담당자가 준수해야 하는 필수 보안수칙도 안내했다. 개인 이용자는 추석선물 택배박스에 포함된 개인정보 라벨을 제거하고, 문자 메시지는 물론 이메일의 URL이나 첨부파일에 주의해야 한다고 당부했다. 이스트시큐리티 측은 "기업의 경우 주요 데이터 백업 시스템과 보안 인프라가 제대로 작동하는지 확인하고 연휴 중 사용하지 않는 사내 네트워크는 차단해야 한다"고 덧붙였다.