설날 받은 복주머니 링크?…세뱃돈 받으려다 내 정보 뺏긴다[설 연휴 보안수칙①]

[서울=뉴시스] 신효령 기자 = #1. 직장인 A씨는 최근 자주 이용하는 온라인 마트로부터 '설맞이 세뱃돈 증정 이벤트' 문자를 받았다. 평소 이용 빈도가 높았던 터라 명절 기념 혜택으로 생각한 A씨는 의심 없이 문자 내 링크(URL)를 클릭했다. 연결된 페이지에서 이름, 연락처, 계좌번호를 입력했다. 며칠 뒤 계좌에서 거액이 인출된 사실을 확인하고 나서야 해당 문자가 스미싱이었음을 깨달았다.

SK텔레콤·KT·롯데카드·쿠팡 등에서 대규모 개인정보 유출 사고가 잇따라 발생하면서 스미싱·보이스피싱 등 2차 피해에 대한 우려가 커지고 있다. 특히 이번 설 명절을 앞두고 '세뱃돈'이나 '이벤트'를 미끼로 한 스미싱 공격이 기승을 부리고 있어 이용자들의 각별한 주의가 요구된다.

최근의 스미싱 공격은 과거와 달리 매우 정교하다. 유출된 개인정보를 바탕으로 피해자가 평소 이용하던 서비스나 지인을 사칭해 경계심을 무너뜨리는 방식이다. 정확하게 상대방 이름과 전화번호, 여기에 주소까지 알고 있다면 더 속이기 쉽다. 명절 전후에는 '설 선물 배송', '세뱃돈 증정', '명절 이벤트' 등 시의적절한 키워드를 미끼로 던져 피해자가 의심 없이 문자 내 링크(URL)를 클릭하도록 유도한다.

특히 명절에는 가족의 연락을 기다리는 부모님들의 마음을 노린 스미싱 공격을 조심해야 한다.

공격자들은 자녀를 사칭해 '핸드폰을 분실했다' '액정이 파손됐다'며 다급한 내용의 문자나 메신저를 보낸다. 이후 공격자는 문화상품권 구매 후 일련번호 전송, 신분증 사진 요구, 정상 앱으로 위장한 악성 앱 설치 등을 유도한다. 악성 앱을 설치하면 휴대전화 속 저장된 각종 정보가 탈취되며, 이를 악용해 금전적 손실이나 추가 보이스피싱 공격 등 2차 피해로 이어질 수 있다.

공공기관을 사칭하는 스미싱 공격에도 주의가 필요하다. 건강보험공단, 우체국 등 신뢰할 수 있는 기관명을 사칭하면서 '미납 고지', '배송 실패'와 같은 내용을 담아 피해자가 링크를 클릭하도록 유도한다. 또는 벌금을 물게 됐으니 확인하라는 내용을 담아, 수신자가 순간적으로 당황해 클릭하도록 유도한다.

택배 송장 안내형도 대표적인 명절 스미싱 유형이다. 주소 오류가 있다고 하거나, 물품이 반송될 예정이라며 링크 클릭을 유도한다.

설날에는 새해 관련 키워드를 활용한 스미싱 공격도 증가한다. 세뱃돈, 복주머니와 같은 키워드와 함께 악성 링크를 전달해 사용자의 클릭을 유도하고, 링크 클릭시 악성 파일이나 정보 입력을 유도한다. 이러한 문자를 수신했다면 열람 전 발신자에게 확인하고, 실수로 링크를 클릭해 악성 파일이 다운로드 됐더라도 설치하지 않으면 안전하니 바로 삭제해야 한다.

보안 당국은 스미싱 피해 예방을 위해 철저한 보안 수칙 준수를 강조한다. 출처가 불분명한 인터넷 주소나 전화번호는 클릭하지 않는 것이 원칙이다. 만약 실수로 링크를 클릭해 파일이 다운로드됐더라도, 설치만 하지 않으면 안전하므로 즉시 삭제해야 한다.

긴박한 입금 요청 문자를 받으면 반드시 직접 전화해 사실관계를 확인해야 하며, 스마트폰 내에 신분증 사진을 저장해두는 행위는 지양해야 한다. 금융 거래 보안을 위해 플랫폼 계정의 OTP 및 다단계 인증(MFA)을 활성화하는 것도 효과적인 방안이다.

보안 업계 관계자는 "앱 설치시 반드시 구글 플레이스토어나 갤럭시 스토어 같은 공식 마켓을 이용해야 한다"며 "명절 분위기에 편승한 유혹적인 메시지일수록 세심한 주의가 필요하다"고 당부했다.


◎공감언론 뉴시스 [email protected]