여름 휴가철을 맞아 여행 준비에 나선 일반인들을 겨냥한 사이버 범죄가 급증하고 있다. 피싱, 스미싱, 가짜 예약사이트, 악성 이메일 등 다양한 형태의 공격이 기승을 부리면서 각별한 주의가 요구된다.

사이버 위협헌팅 보안기업 씨큐비스타(대표 전덕조)는 12일 최근 해커들이 실제 항공사나 예약 플랫폼과 구분하기 힘든 가짜 사이트를 만들어 결제를 유도하거나, 기업 내부 메일을 사칭해 인트라넷에 침투하는 등 수법이 한층 고도화되면서 피해가 속출하고 있다고 밝혔다. 이와 함께 여름 휴가철 사이버 범죄를 예방하기 위한 ‘휴가철 5대 보안 수칙’을 발표했다.

■ 정교해진 항공·숙소 사칭 공격

씨큐비스타는 휴가철마다 경계가 느슨해진 틈을 타 정교해진 사이버 범죄가 꾸준히 증가하고 있다고 경고했다. 실제 대한항공, 아시아나항공 등 자주 이용하는 항공사를 사칭한 ‘E-Ticket’ 피싱 메일이 유포된 사례가 확인됐다. 이 메일에는 탑승권 PDF 파일이나 링크가 포함돼 있으며, 이를 실행하면 백도어 악성코드가 설치돼 로그인 자격 증명, 인증서, 금융 정보 등이 탈취된다. 기업용 이메일 계정이 탈취되면 내부자료 유출까지 이어질 수 있다.

가짜 예약사이트를 통한 피해도 잇따르고 있다. 부킹닷컴, 야놀자, 이스타항공 등 유명 예약서비스를 사칭한 피싱 사이트가 대량 유포되며, 실제 사이트와 유사한 UI와 정교한 도메인 주소로 이용자들을 속인다. 피해자들은 로그인 정보나 결제 정보를 입력한 뒤 계정 도용, 무단 결제, 저장된 카드 정보 유출 등 심각한 피해를 입고 있다.

■ 기업도 노리는 BEC 피싱

피해 규모가 큰 BEC(Business Email Compromise) 피싱은 개인뿐 아니라 기업 차원의 대응이 필요하다. 대표적인 수법은 ‘휴가 신청 확인 요청’ 등 인사팀이나 경영진을 사칭한 이메일 공격이다. 내부망에서 첨부파일을 실행하면 정보 탈취 악성코드가 작동해 조직 내 다른 시스템에도 접근이 가능해진다. 실제 한 중견기업에서는 인사담당자가 사칭 메일을 열람해 사내 이메일 계정이 탈취됐고, 임직원 명의로 2차 피싱 메일이 발송돼 내부 전자결재 시스템까지 침해 시도가 발생했다.

■ 휴가철 5대 보안 수칙

씨큐비스타는 휴가철 사이버 범죄 피해를 예방하기 위해 다음과 같은 5가지 보안 수칙을 제안했다.

첫째, 항공·숙소 관련 문자에 포함된 URL을 바로 클릭하지 말고 도메인과 발신처를 확인한 뒤, 포털 검색을 통해 공식 홈페이지에 접속해 내용을 확인한다.

둘째, 공항이나 숙소의 공공 와이파이 대신 개인 테더링이나 VPN을 사용한다.

셋째, 출처가 불분명한 앱은 설치하지 않으며, 인증 앱 설치나 업데이트 파일 설치를 요구하면 해킹을 의심한다.

넷째, SNS에 위치를 실시간으로 공유하지 않고, 시간차를 두고 게시하며 위치정보는 가급적 비공개로 유지한다.

다섯째, 스마트폰과 노트북 운영체제, 백신 앱 등은 항상 최신 버전으로 업데이트한다.

전덕조 씨큐비스타 대표는 “요즘 피싱 공격은 실제 항공사나 리조트 예약 메시지처럼 만들어져 감쪽같이 속을 만큼 정교하다”며 “여행 준비 점검 리스트에 ‘휴가철 5대 보안 수칙’을 꼭 포함해 해커의 표적이 되지 않도록 해야 한다”고 말했다.

이준문 기자/jun@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지