"'아빠, 나야' 등 자녀 휴대폰 번호로 수상한 문자가 오면 전화로 확인하세요!"

안랩이 추석 명절 연휴를 앞두고 ‘부모님께 알려드려야 할 추석 3대 보안수칙’을 발표했다.

안랩에 따르면 추석 보안수칙은 ▲문자 메시지·메신저로 전달받은 앱(.apk) 설치 금지▲문자로 자녀 등 가족의 긴급 요청을 받아도 꼭 전화로 직접 확인하기 ▲인터넷 콘텐츠 다운로드는 정식경로 이용 등이다.

먼저 저금리 대출, 정부 지원금에서부터 택배 미수령까지 명절을 앞두고 생활밀착형 주제의 문자 메시지에 전화번호 또는 메신저 아이디를 넣어 사용자의 연락을 유도하는 해킹 공격에 유의해야 한다.

문자 메시지 내 전화번호나 아이디로 연락하면, 연락받은 공격자는 다양한 이유를 들며 금융앱 등을 위장한 악성 앱 설치파일(.apk) 전달과 함께 설치를 유도한다.

사용자가 무심코 악성 앱을 설치하면 사용자의 휴대전화 속 정보가 유출될 뿐만 아니라, 경찰 또는 금융기관의 정상번호로 통화를 시도해도 이를 가로채 공격자에게 연결해 신고나 확인을 가로막고 보이스피싱 사기를 진행한다.

안랩 관계자는 “고도화된 보이스피싱으로 인한 피해를 막기 위해선 부모님에게 ‘정상 금융 서비스에선 문자와 전화로 앱 설치를 절대로 요구하지 않는다’는 점을 알려드려야 한다”라며 “앱은 반드시 공식 앱스토어 등 정식 경로에서만 다운로드하고 모바일 백신을 미리 설치하는 것도 피해를 막기 위한 주요 보안 수칙”이라고 했다.

또 자녀의 연락을 기다리는 노년층은 자녀를 사칭한 문자에 유의해야 하며 긴박한 요청이 가족에게서 오더라도 꼭 전화로 확인해야 한다. 공격자는 자녀를 사칭해 ‘핸드폰을 분실했다’, ‘액정이 파손됐다’라며 다급한 내용의 문자나 메신저를 보낸다.

이후 공격자는 자연스러운 말투로 문화상품권 구매 후 일련번호 전송, 신분증 사진 요구, 정상 앱으로 위장한 악성 앱 설치 등을 유도한다. 악성 앱을 설치하면 휴대전화 내 저장된 각종 정보가 탈취되며, 이를 악용해 금전적 손실이나 추가 보이스피싱 공격 등 2차 피해로 이어질 수 있다.

부모는 자녀나 가족 구성원의 긴박한 입금 요청 등의 문자를 받으면 정상적인 판단이 어려울 수 있어, 이런 경우 반드시 메시지를 보낸 본인에게 직접 전화해 사실관계를 확인하라고 당부해야 한다.

또, 혹시 모를 악성 앱 설치에 대비해 부모의 스마트폰에 모바일 백신을 미리 설치해두는 것도 필요하다.

노령 중장년층이 관심 있어 하는 유튜브, 검색 키워드 등을 악용해 악성코드 파일 유포가 있을 수 있어 주의가 필요하다. 최근 중장년층과 노년층은 온라인 검색, 유튜브 영상 시청 등 PC를 이용한 인터넷 활용도가 높으며, 추석 전후에는 이용량이 증가할 수 있기 때문.

실제로 작년 안랩이 ‘블루크랩 랜섬웨어 동향’을 분석한 결과, 공격자는 장노년층이 즐겨듣는 ‘트로트 메들리.mp3′를 비롯해 유명 트로트 가수, 노래 이름을 이용해 가짜 사이트를 만들어 랜섬웨어를 유포하기도 했다.

아울러, 최근에는 유튜브에 각종 파일 다운로드 방법을 안내하는 영상을 올린 후 상세설명란에 악성코드 다운로드 페이지로 연결되는 악성 URL을 포함하는 방식의 공격도 발견되고 있다. 따라서 유튜브 사용이 잦은 장노년층은 더욱 조심해야 한다.

보안수칙으로는, PC 이용 시 악성코드 감염을 막기 위해서 부모에게 음악, 영화 등 콘텐츠는 반드시 공식 경로에서 다운로드해야 함을 안내해야 한다. 백신을 최신 버전으로 업데이트하고 실시간 감시 기능을 켜두어야 한다. 

박태환 안랩 사이버시큐리티센터(ACSC) 대응팀장은 “장노년층의 디지털 기기 사용 증가에 따라, 악성코드를 이용한 보이스피싱, 스미싱, 랜섬웨어 감염 등 각종 사이버 공격에 노출될 수 있다”라며 “특히 명절에는 가족의 연락을 기다리는 부모님들의 마음을 이용하거나 인터넷 콘텐츠를 다운로드하려는 장노년층을 노린 사이버 공격이 성행할 수 있어 자녀들의 각별한 관심이 필수”라고 강조했다.

이글루코퍼레이션, 안전한 추석 위한 ‘추석 보안수칙’ 발표

한편, 시큐리티·인텔리전스 기업 이글루코퍼레이션도 사이버 공격에 맞서 안전한 추석 연휴를 보내기 위한 ‘추석 보안 수칙’을 발표했다.

이글루코퍼레이션 보안분석팀은 개인 사용자들 사이버 보안 피해를 예방하기 위해 필요한 보안 수칙으로 ▲추석 선물 택배, 안부 문자 등으로 위장한 스미싱 문자 주의, ▲출처가 불분명한 앱 및 콘텐츠 다운로드 자제를 꼽았다.  

기업 사용자들을 위한 보안 수칙으로 ▲비상대응체계 확립 및 비상연락망 점검 필수, ▲장기간의 업무 공백에 대비한 선제적인 보안 점검 필요를 제시했다.