Home > 전체기사

추석 연휴를 노린 사이버 공격, 어떻게 대응해야 하나

  |  입력 : 2021-09-16 09:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이스트시큐리티, 추석 앞두고 스미싱 등 공격 기승 부릴 것으로 예상
개인 사용자는 택배나 안부인사 등 사칭한 문자 메시지 주의하고 백신 설치 및 업데이트
기업은 보안 인프라 점검하고 백업 시스템 가동 여부 점검...임직원 시스템 업데이트도 해야


[보안뉴스 이상우 기자] 올해 추석 역시 코로나19 영향으로 친인척을 직접 방문하지 않고 선물이나 메시지를 통해 인사를 대체하는 ‘비대면 명절’을 보낼 것으로 보인다. 스미싱 공격은 이러한 시기를 놓치지 않는다. 올해 추석 역시 택배나 안부인사 등을 사칭한 스미싱 공격이 기승을 부릴 것으로 예상되며, 실제로 추석 명절을 앞둔 현재 ‘택배’, ‘5차 재난지원금’, 추석 선물/기프티콘 도착’ 등의 키워드를 사용하는 공격이 증가하고 있는 추세다.

[이미지=이스트시큐리티]


이스트시큐리티(대표 정상원)가 다가오는 추석 연휴 기간, 스마트폰 보안 위협이 증가할 것으로 예상되는 가운데, 사용자가 위협에 대비할 수 있도록 대표적인 스미싱 공격 유형과 예방법을 공개했다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 올해 8월까지 모바일 백신 ‘알약M’을 통해 확인된 스미싱 공격은 14만 건을 상회한 것으로 집계됐다.

‘택배 사칭’ 스미싱은 연중 가장 흔하게 발견되는 스미싱 위협 중 하나로, 선물 발송 등 택배 이용이 증가하는 명절 연휴에 더욱 기승을 부릴 것으로 예상된다. 일반적으로 이 공격은 택배 반송, 주소지 불명 등을 안내하기 위해 발송된 것으로 사칭해 택배 상태 조회를 위해 첨부된 URL을 클릭하도록 유도한다. 만약 수신자가 첨부된 URL에 접속할 경우 택배 기업 앱으로 위장한 악성 앱이 다운로드되고, 로그인을 위해 계정 정보를 입력하면 공격자에게 정보가 탈취된다.

다음으로 최근 코로나19 확산세가 장기화되며 정부가 5차 국민 재난지원금을 지급하는 가운데, 국민의 관심이 집중되는 것을 노리는 사회공학적 기법을 사용한 ‘국민 재난지원금’ 사칭 스미싱도 증가하고 있다.

공격자는 최근 금융사 등 여러 기관에서 5차 국민 재난지원금 대상 여부 확인 등을 안내하기 위해 전 국민에게 문자 메시지(이하 SMS)를 발송하는 것을 틈타, 악성 URL이 첨부된 가짜 안내 스미싱 SMS를 발송하고 있다. 국민 재난지원금은 전 국민의 관심이 집중되고 있고, 특히 추석 명절 준비로 지원금을 사용하려는 국민이 이 SMS를 수신할 경우 성급한 마음에 악성 URL을 클릭할 확률이 높기 때문에 각별한 주의가 필요하다.

이 밖에도 추석 선물을 가장한 ‘모바일 상품권’ 사칭 스미싱 공격도 다수 발견되고 있다. 공격자는 추석 명절 기간에는 여러 기관이나 기업에서 명절 기념 모바일 상품권을 ‘경품’ 목적으로 발송하거나, 코로나로 인해 고향에 방문하지 못하는 많은 국민이 모바일 상품권과 기프티콘 등을 통해 선물을 주고받는 경우가 많아지는 점을 악용하고 있다. 따라서 문자 메시지로 상품권이나 기프티콘을 선물 받았을 경우, 첨부된 URL을 클릭하기 전 선물을 발송한 대상에게 실제 선물 발송 여부를 확인해 악성 URL 클릭을 예방하는 습관을 가져야 한다.

마지막으로 코로나 여파로 추석 명절에 가족을 직접 만나지 못하고 SMS를 통해 안부를 주고받는 국민이 증가하는 것을 노려 비교적 고령의 부모님 전화번호로 자녀를 가장한 스미싱 SMS를 발송하는 ‘비대면 추석 안부 문자’ 사칭 공격도 발생하고 있다. 노년층의 경우 스마트폰 사용이 익숙하지 않은 경우가 많기 때문에, 이러한 SMS를 수신하면 자녀가 보낸 것으로 생각하고 의심 없이 첨부된 악성 URL을 클릭할 가능성이 크다. 따라서 지인의 이름으로 발송된 안부 문자에 첨부된 URL을 눌러보지 않도록 자녀나 친인척 등이 고령의 부모님 주의를 사전에 환기할 필요가 있다.

ESRC 센터장 문종현 이사는 “이러한 스미싱 피해를 예방하기 위해서는 ‘알약M’과 같이 스미싱 탐지, 차단 기능이 있고 신뢰할 수 있는 모바일 전용 보안 앱을 반드시 사용해야 한다”며, “또한, 스미싱 공격은 최근 사회적으로 주목받고 있는 키워드를 활용하는 경우가 많기 때문에 관심을 끄는 내용으로 URL이 첨부된 SMS를 수신할 경우 반드시 의심해 보는 습관을 가져야 한다”고 당부했다.

한편, ESRC에서는 추석 명절 연휴 개인 사용자와 기업 보안 담당자가 준수해야 하는 필수 보안수칙도 함께 안내했다.

먼저 개인 사용자가 지켜야 할 보안 수칙으로 △택배, 코로나 관련 SMS에 포함된 URL 클릭 주의 △추석 선물 택배 박스 폐기 시, 개인정보 라벨 제거 △공식 홈페이지나 앱스토어를 통해 SW 및 앱 설치 △이메일에 첨부된 파일과 URL 클릭 주의 △PC와 모바일 백신 설치 및 최신 업데이트 유지를 꼽았다.

아울러 보안 공백이 발생하기 쉬운 명절 연휴 기업 보안 담당자가 사전에 준비해야 할 보안 수칙으로는 △사내 모든 PC와 서버의 보안 인프라 점검 △긴급 상황 대비 비상 연락망 업데이트 △중요 데이터 백업 시스템 정상 가동 여부 점검 △사용하지 않는 사내 시스템 차단과 네트워크 격리 조치 △임직원이 사용 중인 모든 시스템에 최신 보안 업데이트 적용 권고 등을 선정했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)