[디지털데일리 김보민기자] #설날 파격 이벤트, 당신만 놓치실 건가요? 지금 바로 아래 링크에 접속해 할인 쿠폰과 혜택을 확인하세요.

오랜만에 만난 가족들과 풍성한 날을 보내는 설 연휴가 다가왔다. 그러나 무심코 움직인 손가락 하나로 개인정보를 탈취 당하거나, 금전을 뺏기는 피싱 공격이 불청객처럼 기승을 부릴 전망이다.

특히 악성 앱 설치를 유도하거나, 대형마트 및 숙박업소 운영자를 위장해 개인정보를 빼가는 범죄 행위가 활개 치고 있다. 설 연휴 특성상 피싱 문자 및 메일 등의 공격 수법이 동시다발적으로 일어나는 만큼 각별한 주의가 필요하다.

자극적인 단어에 혹하지 말라 : '스미싱'

스미싱은 문자(SMS)와 피싱의 합성어로, 휴대폰 문자를 통해 악성코드를 심거나 개인정보를 빼가는 해킹 기법이다. 기기 사용자가 문자에 포함된 링크를 누르면 해킹 사이트로 자동 연결되거나, 개인정보를 입력하는 화면이 뜨는 방식이다.

설 연휴의 경우 귀성길에 오르는 이들이 주목할 만한 키워드를 넣어 문자를 보내는 스미싱 사례가 늘어날 가능성이 크다. 대표적으로 신호위반이나 과속 등 도로 교통법을 위반했다며 자세한 정보를 링크를 통해 확인하라고 유도할 수 있다.

설 선물 택배 배달, 세뱃돈 등의 키워드를 넣는 경우도 있다. 최근에는 유명 편의점에서 설날 이벤트로 문자를 받은 이들에게 5만원을 지급한다는 스미싱 문자가 돌기도 해 논란이 된 바 있다.

링크를 클릭했더라도 단순 피싱 사이트에 접속한 것만으로 기기가 감염될 가능성은 낮지만, 해킹 앱이 자동 다운·실행될 수 있어 경계가 필요하다. 기기에 설치된 앱을 즉시 삭제해야 하고, 악성 여부를 알기 위해 관련 보안 백신을 활용할 필요도 있다.

모르는 이에게 전화하지 말라 : '콜백 스미싱'

문자 링크를 누르는 것을 넘어, 회신을 요구하는 방식의 스미싱 기법도 등장했다. 카드 발급을 위해 고객이 직접 상담원과 대화를 나눠야 한다며 고객센터 전화번호를 기재하는 방식이다.

문자 속 번호로 전화를 걸면 고객센터를 위장한 공격자들이 응답하게 된다. 본인확인, 악성 앱 설치 등을 유도해 개인정보와 금융 정보를 탈취할 가능성이 있다. 일각에서는 보이스피싱과 스미싱을 결합한 새로운 범죄 행위라는 해석도 나온다.

이러한 콜백 스미싱 방식의 경우, 실제 고객센터 직원이 하는 말과 절차를 따르기 때문에 실제와 거짓을 구분하기가 어렵다. 특히 연휴에 이러한 피해를 입었을 경우 즉각 대응이 어려울 수 있어 주의가 필요하다.

메일 속에 숨은 해킹 범죄자 : '피싱 메일'

문자뿐만 아니라 메일도 대표적인 피싱 수단으로 쓰인다. 메일에 국세청 혹은 국민연금 납부 내역 등의 키워드를 넣어 사용자가 의심 없이 관련 링크나 페이지를 클릭하도록 유도하는 방식이다.

특히 무작위로 계정정보를 대입해 해킹하는 '크리덴셜 스터핑' 공격을 추가로 가할 가능성이 있다. 크리덴셜 스터핑은 여러 가지 경로로 수집한 회원 인증 정보를 다른 사이트 계정 정보에 대입하는 수법이다. 여러 사이트에 같은 아이디(ID)와 비밀번호를 사용하는 이들이 목표물이 될 가능성이 높다.

피싱 메일에 당하지 않으려면 주기적으로 계정 정보를 변경할 필요가 있다. 또한 2단계 인증 혹은 해외 로그인 차단 등과 같이 추가적인 보안 조치를 취해 피해를 예방해야 한다.

공돈 준다고 해도 절대 찍지 말라 : '큐싱'

큐알코드(QR Code)는 격자무늬 코드를 카메라로 찍어 연결 링크로 자동 접속할 수 있도록 도와준다. 따로 홈페이지 주소를 입력할 필요가 없어, 할인쿠폰을 받거나 파일을 전송할 때 쓰인다.

그러나 큐알코드 또한 스미싱 및 피싱 수법에 활용되고 있다. '큐싱'은 QR코드를 통해 사용자가 악성 파일을 설치하도록 하거나 악성 링크에 접속하도록 유도하는 방식을 뜻한다. 일반인의 눈으로는 QR 코드의 진위 여부를 확인할 수 없다는 특징이 있다.

때문에 출처를 알 수 없거나 불특정 다수가 배포한 QR 코드를 인식하는 행위를 자제해야 한다. 코드를 스캔했더라도 개인정보를 입력하라고 요청한다면 다시 한번 출처를 확인할 필요가 있다.

펜션 사장인 척 속여서 공격 : '스캠'

이번 연휴는 주말을 껴 총 4일인 만큼 국내외 관광지로 여행을 떠나는 이들도 많을 것이다. 마치 숙박업소 주인이나 대형마트 운영자인 것처럼 위장해 공격을 가하는 '스캠' 방식을 경계해야 할 때라는 의미다.

숙박 플랫폼이나 업소를 위장해 신용카드 정보를 가져가고 금전적인 피해를 입히는 공격이 발생할 가능성도 있다. 카드 오류 혹은 자동 취소와 같은 링크가 포함된 문자를 받는 경우도 있어, 해당 숙소나 대형마트의 공식 전화번호를 통해 진위 여부를 확인할 필요가 있다.

한편 정부는 연휴를 앞둔 지난 7일 '보이스피싱 대응 범정부 태스크포스(TF)'를 개최해 국내에서 발생하고 있는 다양한 피싱 범죄를 점검하고, 관련 범죄 행위에 강력 대응하겠다고 뜻을 밝혔다.