내주 시작하는 추석연휴 기간 스마트폰을 타깃하는 보안위협이 증가할 것으로 예상되는 가운데, 이스트시큐리티가 16일 사용자가 위협에 대비할 수 있도록 대표 스미싱공격 유형과 예방법을 공개했다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 올해 8월까지 모바일 백신(알약M)을 통해 확인된 스미싱 공격은 14만건을 상회한 것으로 집계됐다. 

이번 추석연휴는 코로나19 영향으로 직접 방문하지 않고 선물이나 메시지를 통해 인사를 대체하는 경우가 많아 이와 관련된 스미싱이 기승을 부릴 것으로 예상된다.

실제 명절을 앞둔 현재 ‘택배’, ‘5차 재난지원금’, 추석 선물/기프티콘 도착’ 등의 키워드를 사용하는 공격이 크게 늘어난 것으로 분석됐다.

우선 ‘택배 사칭’ 스미싱은 가장 흔하게 발견되는 스미싱 위협 중 하나다. 선물 발송 등 택배 이용이 증가하는 명절연휴에 기승을 부릴 것으로 예상된다. 일반적으로 이 공격은 택배 반송, 주소지 불명 등을 안내하기 위해 발송된 것으로 사칭해 택배 상태조회를 위해 첨부된 URL을 클릭하도록 유도한다.

코로나19 사태가 장기화되면서 정부가 5차 국민지원금을 지급하는 가운데 관심이 집중되는 것을 노리는 사회공학적 기법을 사용한 ‘국민 재난지원금’ 사칭 스미싱도 최근 급증하고 있다.

공격자는 최근 금융사 등 여러 기관에서 5차 국민지원금 대상 여부 확인 등을 안내하기 위해 전 국민에게 문자메시지(SMS)를 발송하는 것을 틈타 악성 URL이 첨부된 가짜 안내 스미싱 SMS를 발송하고 있다.

추석 선물을 가장한 ‘모바일 상품권’을 사칭한 스미싱도 다수 발견되고 있다. 공격자는 추석명절 기간에는 여러 기관이나 기업에서 명절 기념 모바일 상품권을 경품 목적으로 발송하거나, 코로나로 인해 고향에 방문하지 못하는 많은 국민이 모바일 상품권과 기프티콘 등을 통해 선물을 주고받는 경우가 많아지는 점을 악용하고 있다.

코로나 여파로 명절에 가족을 직접 만나지 못하고 SMS를 통해 안부를 주고받는 국민이 증가하는 것을 노려 고령의 부모님 전화번호로 자녀를 가장한 스미싱 SMS를 발송하는 ‘비대면 추석 안부문자’를 사칭한 공격도 발생하고 있다.

스마트폰 사용이 익숙하지 않은 노년층의 경우 이와 같은 SMS를 수신하면 의심 없이 첨부된 악성 URL을 클릭할 가능성이 크다.

따라서 지인의 이름으로 발송된 안부 문자에 첨부된 URL을 눌러보지 않도록, 자녀나 친인척 등이 고령의 부모님 주의를 사전에 환기할 필요가 있다.

ESRC 센터장 문종현 이사는 “스미싱 피해를 예방하기 위해서는 스미싱 탐지, 차단 기능이 있고 신뢰할 수 있는 모바일 전용 보안 앱을 반드시 사용해야 한다”며 “스미싱 공격은 최근 사회적으로 주목받고 있는 키워드를 활용하는 경우가 많아 관심을 끄는 내용으로 URL이 첨부된 SMS를 수신할 경우 반드시 의심해 보는 습관을 가져야 한다”고 당부했다.