[팩트UP=설옥임 기자]휴가철 여행 준비로 한창인 일반인들을 타겟으로 한 사이버 범죄가 급증하고 있다. 여름철은 휴가와 폭염으로 긴장이 풀어진 상태에서 스마트폰과 공공 와이파이 사용량은 크게 늘어나, 피싱, 스미싱, 가짜 예약사이트, 악성 이메일 등에 대한 각별한 주의가 필요한 시기다.

사이버 위협헌팅 보안기업 '씨큐비스타'는 최근 해커들이 실제 항공사나 예약 플랫폼과 구분하기 힘든 가짜 사이트로 결제를 유도하고, 기업 내부 메일을 사칭해 인트라넷에 침투하는 등 수법이 한층 고도화되면서 피해가 속출하고 있어, 여름 휴가철 사이버 범죄를 효과적으로 예방할 수 있는 '휴가철 5대 보안 수칙'을 공개했다고 밝혔다.

씨큐비스타는 경계가 늘어지는 틈을 타, 매년 휴가철마다 더욱 정교하고 교묘해진 사이버 범죄가 늘어나고 있다고 강조했다. 실제로 대한항공, 아시아나항공 등 자주 이용하는 항공사를 사칭한 'E-Ticket' 피싱 메일을 이용자에게 발송한 사례가 있으며, 메일에 포함된 탑승권 PDF 파일이나 링크를 실행할 경우 백도어 악성코드가 설치돼 로그인 자격 증명, 인증서, 금융 정보 등이 탈취될 수 있다. 기업용 이메일 계정이 탈취되면 내부자료 유출로도 이어질 수 있어 각별히 주의해야 한다.

가짜 예약사이트를 통한 정보 탈취도 잇따르고 있다. 부킹닷컴, 야놀자, 이스타항공 등 유명 예약서비스를 사칭한 피싱사이트가 대량 유포돼, 실제 사이트와 유사한 UI와 정교한 도메인 주소를 사용해 사용자가 별다른 의심 없이 로그인 정보를 입력하거나 결제까지 진행하며 큰 피해를 낳고 있다. 입력된 정보는 공격자 서버로 전송돼 계정 도용, 무단 결제, 저장된 카드 정보 유출 등의 피해로 이어질 수 있다.

피해규모가 가장 큰 BEC 피싱의 경우 개인은 물론 기업차원의 보안 강화도 필요하다. 기업을 겨냥한 BEC(Business Email Compromise) 피싱의 대표 사례는 '휴가 신청 확인 요청' 등 인사팀이나 경영진을 사칭한 이메일 공격으로, 내부망에서 첨부파일 실행 시 정보 탈취 악성코드가 실행돼, 조직 내 다른 시스템에도 접근이 가능해진다. 실제 한 중견기업에서 인사담당자가 사칭 메일을 열람해 사내 이메일 계정이 탈취됐고, 임직원 명의로 2차 피싱 메일이 유포돼 내부 전자결재 시스템까지 침해 시도가 발생한 사례가 있었다.

씨큐비스타는 휴가철 사이버 범죄 피해를 예방하기 위한 5가지 보안 수칙을 제안했다.

△ 항공·숙소 관련 문자 URL 주의

항공·숙소 관련 문자를 받았을 때는 첨부된 URL을 바로 클릭하지 않아야 한다. 먼저 URL 도메인과 발신처를 꼼꼼히 확인해 사칭 여부를 확인하고, 포털에서 해당 항공사나 여행사, 숙소를 검색, 홈페이지에 접속해 문자 내용이 맞는지 재차 확인하는 것이 안전하다.

△ 개인 테더링 또는 VPN 사용

공항이나 숙소의 와이파이를 통한 '중간자 공격' 가능성이 있기 때문에, 공공 와이파이 접속보다는 개인 테더링이나 VPN을 사용해야 한다.

△ 출처 불명확한 어플 설치하지 않기

출처가 불분명한 앱은 설치하지 않는다. 추가 '인증 앱' 설치를 요구하는 경우나, '업데이트 파일' 설치를 유도하면 해킹을 의심해야 한다.

△ SNS 위치 실시간 공유 자제

SNS에 위치를 실시간으로 공유할 경우, 집을 비우는 시점이 알려져 오프라인 범죄와 연계될 수 있기 때문에, 위치가 드러날 수 있는 게시물은 시간차를 두고 업로드하는 것이 좋다. 위치정보는 가급적 비공개를 유지하는게 안전하다.

△ 백신은 항상 최신버전으로 유지

스마트폰과 노트북 운영체제(OS)와 백신앱, 보안 앱은 수시로 업데이트하는 것을 생활화해 최신 버전을 유지하도록 한다.

전덕조 씨큐비스타 대표는 "요즘 피싱 공격은 예전처럼 단순하지 않고, 실제 항공사나 리조트 예약 메시지처럼 만들어져 감쪽같이 속을 만큼 정교하다"며 "소중한 사람과의 여행길이 해커의 공격 대상이 되지 않도록, 보안을 생활 습관처럼 정착시키고, 여행 준비 점검 리스트에 '휴가철 5대 보안 수칙'도 꼭 포함하길 바란다"고 강조했다.