설 연휴 피싱 공격 주의…꼭 지켜야 할 보안 수칙은
(지디넷코리아=황정빈 기자)명절을 맞이해 쇼핑몰, 해외 직구 상품 결제 내용의 스미싱이 증가하고, 계정 정보 탈취를 시도하는 피싱 공격이 기승을 부릴 것으로 예상돼 사용자들의 주의가 요구된다.
보안 전문 기업 이스트시큐리티는 사용자들이 안전한 설 연휴를 보내기 위해 꼭 지켜야 할 정보보안수칙 5가지를 공개했다.
■ 파일 공유 사이트를 통한 불법 파일 다운로드 금지
독감과 코로나가 동시에 유행하면서, 고향에 내려가는 대신 영화나 드라마를 보며 연휴 기간을 보내려고 계획한 사람들이 많을 것으로 예상된다.
파일 공유 프로그램 등을 통해 유포되는 파일들의 경우 악성코드가 포함돼 있을 가능성이 높으며, 영상 무료 스트리밍 사이트의 경우 수익창출을 위해 붙어있는 수많은 광고와 해당 서버들을 통해 악성코드가 자동으로 다운로드 될 수 있어 각별한 주의가 필요하다.
콘텐츠 다운로드나 영상 시청 시 반드시 공식 경로를 이용해야 하며, 웹 서핑 과정 중 의도하지 않은 파일이 자동으로 다운로드 될 경우 바로 삭제해야 한다. ‘알약’과 같은 백신을 설치해 PC를 보호하는 것도 하나의 방안이다.
■ 계정 정보 탈취를 시도하는 피싱 페이지 주의
인터넷 사용 시간이 늘어나는 연휴 기간을 노려, 계정 정보 탈취를 시도하는 피싱 공격이 기승을 부릴 것으로 예상된다.
계정 정보 탈취 공격은 주로 피싱 페이지 링크가 포함된 피싱 메일을 통해 시도되며, 최근에는 정상 페이지에 접속 시 포털 로그인 팝업을 띄워 계정정보 탈취를 시도하는 공격도 자주 포착되고 있다.
계정 정보가 유출되면, 유출된 계정 정보를 활용한 2차, 3차 공격을 통한 추가 피해가 발생할 수 있어 각별한 주의가 필요하다.
이메일 수신 시 이메일 발신자 주소를 확인하고, 방문한 페이지의 URL을 반드시 확인해야 한다. 또한 2단계 인증을 설정하여 개인별 계정 보안을 한 층 강화하여 만일의 사태에 대비해야 한다.
■ '콜 백(Callback)'을 유도하는 스미싱 문자 주의
명절을 맞이하여 선물을 많이 주고받는 점을 노려 쇼핑몰, 해외 직구 상품 결제 내용의 스미싱이 증가할 것으로 예상된다.
SMS 내 악성 링크 대신 고객센터와 같은 전화번호를 포함시켜 사용자들의 콜 백을 유도하는 스미싱이 기승을 부리고 있다. 해당 번호로 전화를 걸면 본인확인 후 악성 앱 설치를 유도하여 사용자의 개인정보 및 금융 정보 탈취를 시도하며, 최근에는 금융권 계좌 개설, 인증서 발급 등의 내용으로 동일한 형태의 스미싱도 발견되고 있어 각별한 주의가 필요하다.
수상한 SMS를 수신한 경우 콜 백 하지 말고 바로 삭제해야 한다. ‘알약M’과 같은 모바일 전용 백신을 설치해 모바일 기기를 보호할 수도 있다.
■ 개방형 와이파이 사용 주의
여행을 떠나는 사람들이 많아지는 연휴 기간, 개방형 와이파이를 통한 정보 유출에 주의해야 한다.
개방형 와이파이의 경우 개인의 데이터 부담을 줄여주는 장점이 있지만, 악의적인 사용자가 정상 SSID를 위장하여 사용자 접근을 유도하거나, DNS 조작을 통해 피싱 페이지로 이동시키는 등 다양한 위험성이 존재한다.
사용자들은 개방형 와이파이 이용을 최소화하고, 부득이하게 사용해야 할 경우 금융 거래나 로그인이 필요한 서비스의 이용은 피하고, 민감한 자료 확인 시 셀룰러 데이터를 이용하는 것이 좋다.
■ 기업의 기밀정보를 노리는 해킹 공격 주의
기업의 기밀정보를 노리는 해킹 공격에 주의해야 한다.
기업을 타깃으로 하는 해킹 공격은 대부분의 기업 보안 담당자들이 자리를 비우는 연휴 및 주말 기간 동안 많이 발생하고 있다.
기업 보안 담당자들은 연휴 기간 전 사내 인프라 및 임직원 PC를 점검하고, 취약점을 패치해야 한다. 또한 중요 데이터 백업과 비상 연락망 업데이트를 통하여 해킹 공격이 발생하였을 때 시의성 있게 대응할 수 있도록 대비해 두어야 한다.
한편, 이스트시큐리티는 한국인터넷진흥원(KISA)과의 협력을 통해, 연휴 관련 키워드를 활용한 메일, 스미싱 공격에 대비하기 위한 집중 모니터링 체계를 가동하고 있으며, 사이버 보안 피해 사고에 대비하고 있다. 특히 연휴를 앞두고 해당 기간 사이버 공격을 당했을 경우 담당자들의 부재로 인하여 시의성 있게 조치가 이루어지기 어려운 만큼 각별한 주의를 당부했다.
황정빈 기자(jungvinh@zdnet.co.kr)
Copyright © 지디넷코리아. 무단전재 및 재배포 금지.
- 北 해킹 조직, 대학교수·공무원 사칭해 외교·안보 종사자 해킹 시도
- 카카오팀으로 위장한 악성 피싱메일 등장…"해외지역서 로그인됐다고 속여"
- 브랜드 사칭해 국내 기업 계정 탈취…'로고킷' 피싱 공격 발견
- 美 통신사 T모바일 3천700만 고객 정보 유출
- 美 보안 회사 노턴라이프락, 6천개 고객 계정 털려
- "북한 해킹조직 '김수키', 다음 이메일로 위장한 피싱 공격 시도"
- '스무돌' 맞이한 지스타 2024…주요 게임사 대표 모였다
- "하필 수능날 날벼락"…경기 지역서 나이스 먹통, 1시간여 만에 복구
- 세금신고·복지신청, 한 곳에서...공공서비스 더 똑똑하고 편리해진다
- 경계 사라진 비즈니스...엔비디아·어도비 등 ‘빅테크 혁신 팁’ 푼다