[보안 따라잡기]추석 앞두고 울리는 해킹·스미싱 주의보

안부인사 사칭한 메시지로 악성앱 설치, 정보 탈취 시도할 수 있어
“통신비·소상공인 지원 등 문자에 `링크`는 클릭하지 마세요”
카메라도 제어하는 몸캠피싱 앱 등장…“잘 모르는 파일 열지 말아야”

등록 2020-09-26 오후 4:33:30

수정 2020-09-26 오후 4:33:30
가 가

과학기술정보통신부, 보건복지부, 교육부, 고용노동부, 중소벤처기업부는 4차 추가경정예산 관련 통신비, 고용지원금 지원 등을 사칭한 스미싱이 증가할 것으로 예상된다며 이용자들의 주의를 당부했다.(자료=과학기술정보통신부 제공)

[이데일리 이후섭 기자] 추석 연휴를 앞두고 악성 이메일 공격이나 스미싱 문자를 주의해야 한다는 우려의 목소리가 높다. 올해 추석에는 코로나19로 인해 이동제한을 권고하는 상황이라 혼자서 추석을 보내는 `혼추족`들이 많을 것으로 예상되는 만큼 이들을 노린 사이버 공격도 기승을 부릴 전망이다. 출처가 불분명한 이메일이나 파일은 절대 열어보지 말고, 통신비·소상공인 지원 등을 사칭한 문자에 주의해야 한다는 당부다.

26일 보안 업계에 따르면 올 추석연휴에는 각종 사이버 범죄 및 디지털 성범죄 등이 급증할 것으로 예상된다. 고향 방문을 자제하면서 긴 연휴를 혼자 지내기에 자연스럽게 PC나 스마트폰 이용량이 늘어날 수 밖에 없고 그만큼 위험에 노출될 가능성도 더 높아질 수 있다.

“통신비·소상공인 지원 등 문자에 `링크`는 클릭하지 마세요”

특히 직접 보지 못하는 대신 문자메시지나 메신저 등으로 안부인사를 전하는 이들이 많을 것으로 예상되는데, 가족 구성원을 사칭하거나 안부 인사로 위장한 메시지로 악성 앱 설치나 금융정보 탈취를 시도하는 공격이 많아질 것으로 우려된다.

또 정부가 추석 연휴를 앞두고 통신비, 고용지원금 지원 등을 위한 문자메시지 안내에 나섰는데, 이를 위장한 스미싱 문자도 발견됐다. 스미싱(smishing)은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 악성 앱 주소가 포함된 휴대폰 문자(SMS)를 대량 전송 후 이용자가 악성 앱을 설치하거나 전화를 하도록 유도해 금융정보·개인정보 등을 탈취하는 수법이다.

올 들어 지난 8월까지 스미싱 탐지 건수는 70만783건으로 전년동기대비 378% 급증했고, 코로나19 관련 긴급재난지원금을 사칭한 스미싱은 10만753건에 달했다. 최근에는 `(국세청) 2차 재난지원금 신속지급 즉시확인`이라는 내용에 악성 인터넷주소(URL)를 포함한 스미싱 문자메시지가 발견되기도 했다.

이에 정부는 4차 추가경정예산 관련 지원대상이 아닌 이용자가 문자를 받은 경우는 클릭하지 말고 바로 삭제하고, 지원 대상자는 스미싱 문자인지 여부 확인 등 URL 클릭에 세심한 주의가 필요하다고 당부하고 나섰다. 과기정통부가 보내는 통신비(2만원) 지원은 16세~34세 및 65세 이상을 대상으로 하고 있으며, 아동양육한시지원은 미취학(보건복지부) 및 초·중학교 연령 아동(교육부) 670만명을 지원한다. 고용노동부는 고용유지지원금의 경우 지원 사업장 3만여개를 대상으로, 청년특별구직지원금은 저소득 미취업 청년 20만명에게 보낼 예정이다. 중소벤처기업부는 소상공인(240만명)에 새희망자금을, 폐업 소상공인(20만명)에게는 폐업점포 재도전 장려금 문자를 발송하게 된다.

라바웨이브는 최근 새로운 형태의 APK파일을 사용하는 몸캠피싱 앱을 발견했다. 해당 앱의 개발업체가 다크웹에 올린 광고글(자료=라바웨이브 제공)

카메라도 제어하는 몸캠피싱 앱 등장…“잘 모르는 파일 열지 말아야”

카메라 제어, 실시간 녹음 기능까지 탑재한 몸캠피싱 앱까지 등장해 경각심을 더욱 높일 필요가 있다. 몸캠피싱은 영상채팅 과정에서 피해자의 알몸이나 신체 일부가 드러난 영상을 확보한 뒤 퍼뜨리겠다고 협박해 금품을 요구하는 범죄를 말한다. 협박범들은 영상채팅 과정에서 APK파일 같은 해킹파일을 보내 피해자가 설치하도록 하는데 ,이를 통해 필요한 연락처를 확보하고 녹화된 영상을 유포하겠다고 협박하며 금전을 요구한다.

디지털성범죄 대응 전문 기업 라바웨이브에 따르면 최근 새로운 형태의 APK파일을 사용하는 몸캠피싱 앱이 발견됐다. 해당 파일은 실행시 권한허용 선택이 아예 없고 출처를 알 수 없는 앱 설치를 비활성화해도 무시하고 설치가 된다. 또 전화번호부, 문자내역, 통화기록, 사진첩 뿐만 아니라 앞뒤 카메라 제어, 실시간 녹음, 강제발신, 발신전환 등 지금까지는 보기 힘들었던 기능마저 탑재했다. 해당 개발업체는 몸캠피싱 범죄단체들의 구매를 부추기고 있다.

김태원 라바웨이브 전략기획팀장은 “몸캠피싱 피해를 당했다면 바로 경찰에 신고하고 전문 보안업체를 찾아 영상이 유포되거나 금품을 빼앗기는 피해를 막아야 한다”며 “잘 모르는 상대가 보낸 파일은 악성코드가 깔려 있을 가능성이 높기 때문에 절대로 열어보거나 깔면 안된다”고 강조했다.