'에어비앤비인 줄 알았는데'...휴가철 숙박 사이트 피싱 주의보

휴가철을 앞두고 항공권과 숙박 예약 사이트를 사칭한 피싱 공격이 기승을 부리고 있다. 실제 여행 플랫폼과 흡사한 가짜 사이트를 만들어 이용자의 로그인 정보와 결제 정보를 빼내는 방식이다.

18일 글로벌 사이버 보안 기업 체크포인트리서치에 따르면 올 여름 여행 성수기를 앞두고 관련 피싱 공격이 증가할 것으로 예상된다.

이미 온라인 여행 예약 브랜드를 사칭한 피싱 사이트가 운영 중이다. 에어비앤비 등 실제 숙박 플랫폼과 외관이 유사해 이용자가 쉽게 구분하기 어렵다. 위 사이트는 캐나다 여행객을 겨냥해 로키산맥 사진과 함께 몬트리올·토론토·밴쿠버 등의 숙박 시설 목록을 제공하는 등 실제 사이트처럼 꾸며졌다.

부킹닷컴을 사칭한 사이트는 로그인 절차를 그대로 모방해 사용자 인증 정보와 결제 카드 정보를 수집한다. 중국어 사용자를 대상으로 기존 홈페이지를 현지화해 위안화 가격을 표기하고, 예약 성수기를 노리면서 ‘여름 세일’ 배너도 내걸었다.

가짜 ‘도메인’도 피싱의 주요 수단으로 쓰이고 있다. 체크포인트리서치에 따르면 지난 5월 한 달 동안 등록된 여행 관련 도메인은 4만7000여 개에 달했다. 공격자들은 호텔 도메인을 대량 생성해 피싱 인프라를 자동화했다. 아메리칸 익스프레스와 로이드 트래블 초이스 등 유명 금융 브랜드를 사칭하고 ‘travelchoice’와 같은 키워드를 결합한 단기 피싱 공격도 이어졌다.

스카이스캐너를 사칭한 일부 도메인은 실제 존재하는 것처럼 보이는 말레이시아 리조트의 ‘사전 예약 가격’을 노출한 뒤, 실제 예약과 무관한 예약금 결제를 요구했다.

이러한 여행·호텔·레저 업종을 겨냥한 사이버 공격은 꾸준히 증가하고 있다. 체크포인트리서치에 따르면 지난 5월 기업당 주 평균 2291건으로 집계돼 전년 동월 대비 24% 증가했다. 2023년 5월 이후 공격 건수는 두 배 이상 늘었으며, 3년간 누적 증가율은 122%에 달했다.

한국인터넷진흥원(KISA)은 지난달 12일 여행 예약 플랫폼 해킹을 통한 스미싱 메시지가 유포되고 있다며 2차 피해 예방을 당부했다.

KISA는 문자나 이메일로 받은 출처 불분명 사이트를 클릭하지 말 것을 권고했다. 공식 홈페이지 주소와 일치하는지 확인하고, 본인 인증번호 등 개인정보를 타인에게 전달해서는 안 된다고 강조했다. 아울러 ‘보호나라’ 카카오톡 채널 내 ‘스미싱·피싱 확인서비스’를 통해 의심 URL의 악성 여부를 확인할 수 있다고 설명했다.

오승주 인턴기자 seungjuoh@hankyung.com