[뉴스줌인] 설 연휴 잊지 말아야 할 것은 ‘보안’

[IT동아 권명관 기자] IT동아 편집부는 하루에 수십 건 이상의 보도자료를 받습니다. 대부분 새로운 제품, 혹은 서비스 출시 관련 소식인데요. 이에 IT동아는 독자들에게 도움될 수 있는 자료를 추려서 자세하게 전달해드리고자 합니다. 다만, 기업에서 보내준 보도자료 원문에는 전문 용어, 혹은 해당기업에서만 사용하는 독자적인 용어가 다수 포함되어 있습니다. 이런 용어 또는 IT 이슈에 익숙하지 않은 독자 여러분을 위해 보도자료를 해설하는 기획기사 '뉴스 줌인'을 전달합니다.

출처: ㈜이스트시큐리티
제목: 설 연휴 사이버 보안 피해 예방 ‘정보보호 수칙’ 발표

원문: 1. 택배 사칭 스미싱 URL 클릭 주의
설 연휴 택배를 사칭한 스미싱 공격에 주의해야 한다. 스미싱 공격은 휴대폰상에서 문자메시지(SMS)를 이용해 실행하는 방식으로, 명절 연휴를 앞두고 ‘택배’, ‘선물’, ‘인사’ 등 키워드를 악용해 공격했다. 특히, 이번 설 연휴는 ‘5인 이상 모임 금지’ 등의 조치로 예년보다 택배 이용 물량 증가에 따라 스미싱 공격도 활발하게 이루어질 것으로 예상한다.

해설: 가장 주의해야 할 부분이고, 가장 안일하게 대응해 피해를 입는 사례다. 사용자들이 일상 속에서 자연스럽게 이용하는 서비스로 위장해 공격하는 방식으로 항상 조심해야 한다. 문자를 수신할 경우 출처를 반드시 확인하고, 메시지 안에 포함된 URL이나 첨부파일은 클릭하지 않도록 주의를 기울여야 한다.

사용자 클릭을 유도하는 '시간차 스미싱'도 있다. 비슷한 내용의 문자를 하루 간격으로 보내 확인하도록 유도하는 방식이다. 처음엔 '택배 수령 확인' 문자를 보내고, 반응 없을 경우 '택배 상품 반송' 문자를 보낸다. 특정 번호로 같은 내용의 문자가 계속 오면 본인과 관련된 내용으로 믿고 클릭할 가능성이 높다.

만약, 모바일 결제 등으로 인해 금전적인 피해를 입었다면 이동통신사 고객센터에서 스미싱 피해 신고 및 '소액결제확인서' 등을 발급 받아 경찰청 사이버수사대 또는 민원실(112)에 신고해 '사건사고 사실 확인서'를 발급 받아야 한다. 결제 금액 환급은 통신사나 결제대행 업체에 요청하면 된다.

원문: 2. 모바일 전용 백신 사용 및 최신 업데이트
설 연휴 동안 휴대폰 사용량 증가로, 악성 앱 감염 위협도 늘어난다. 모바일 백신 앱을 사용한다면 사전 탐지 기능을 통해 악성코드 감염 피해, 스미싱 피해 등을 예방할 수 있다. 사용자는 각종 악성 앱으로부터 휴대전화를 안전하게 보호하기 위해 모바일 보안 앱을 최신 버전으로 유지하고, 정기적인 검사를 진행할 필요가 있다.

해설: 새롭게 앱을 내려받으면 원활한 이용을 위해 '카메라 권한 허가’ 또는 ‘전화 접근 권한 허가’ 등을 요구한다. 이는 앱이 특정 서비스를 조작하기 위함인데, 악성 앱은 이를 악용해 개인정보 접근 권한을 요구하거나, 민감한 자료를 탈취한다. 구글이나 애플은 이러한 악성 앱을 사전에 차단하거나, 혹은 신고를 통해 구글 앱스토어에서 삭제하지만 웹브라우저나 이메일 첨부 파일, 카카오톡 등으로 이용자가 클릭해 설치한 경우는 막지 못한다.

특히, 안드로이드 스마트폰의 경우 악성 앱 설치 피해로부터 자유롭지 못하기 때문에, 꼭 모바일 보안 앱을 사용해야 한다. 모바일 보안 앱 감지 능력과 기능은 앱별로 차이나지만, 문제있는 악성 코드를 사전에 감지하고, 지운다는 원칙은 다르지 않다. 국산 모바일 보안 앱은 V3 모바일 시큐리티, 알약M 등이 대표적이다. 두 서비스 모두 국내기업에서 만드는 프로그램이라 국내 문제에 빠르게 대응하고, 한글 서비스 등이 장점이다.

외산 모바일 보안 앱으로는 카스퍼스키(Kaspersky) 모바일, 아바스트(Avast) 바이러스 백신, 아비라 시큐리티(Avira Security) 등이 있다. 아바스트와 아비라는 한글 서비스도 지원한다. 모두 PC 버전으로 유명한 백신인데, 이를 기반으로 모바일에 대응하고 있다.

원문: 3. 불법 콘텐츠 및 소프트웨어 다운로드 금지
이번 설은 홀로 설 연휴를 보내는 ‘혼설족’ 증가를 예상, 연휴 기간 지루함을 달래줄 콘텐츠 소비가 급증할 것으로 전망된다. 해커들이 이 점을 악용해 넷플릭스와 같은 스트리밍 서비스 또는 파일 공유 프로그램 ‘토렌트’ 내 다양한 콘텐츠 파일로 위장해 악성코드를 유포할 가능성이 높다. 영화나 드라마, 소프트웨어(SW)를 내려받을 때는 불법 경로가 아닌 공식 경로를 이용하는 것이 중요하다.

해설: 100번 강조해도 무족하다. 안전한 파일은 없다는 의심을 거두지 않아야 한다. 어디서 생성하지 확인할 수 없는 파일을 내 PC, 내 휴대폰에 저장한다는 것은 누군가로부터의 공격을 인정한다는 것과 같다. 친구나 지인이 보내온 파일에서도 감염될 수 있다. 상대도 감염 여부를 모르고 보냈을 수 있다. 어디까지나 예방이 최선이다.

특히, 최근에는 전문가도 구분하기 어려운, 교묘한 피싱 사이트가 등장하고 있다. 이러한 피싱 사이트는 사용자의 의심을 줄이기 위해 URL과 디자인, 문구 등을 정상 사이트와 똑같이 준비한다. 기존 피싱 사이트들이 정상 사이트를 어설프게 베끼는 수준과는 다르다. 심지어 과거에는 '경찰청 사이버 테러대응 센터'로 위장한 피싱 사이트도 있었다. 조심, 또 조심해야 한다.

원문: 4. 2단계 인증 활성화 및 주기적인 비밀번호 변경
2단계 인증을 활성화하고, 비밀번호를 주기적으로 변경해야 한다. 이 공격은 공격자가 여러 경로에서 수집한 사용자의 로그인 정보를 다른 사이트에 무차별 대입해, 여러 사이트에 동일한 로그인 정보를 사용하는 모바일 사용자를 위협한다. 만약 사용자가 이용하는 사이트 중 한 곳이 해킹을 당해 계정 유출 사고가 발생한다면, 동일한 계정 정보를 사용하는 다른 곳의 개인정보는 잠재적 위협에 노출된다. 따라서, 피해 예방을 위해서는 2단계 인증을 활성화하고, 비밀번호를 주기적으로 변경해야 한다.

원문: 5. 무료 와이파이 사용 시 금융거래 자제
무료 와이파이 사용 시, 서비스 제공자를 반드시 확인하고 금융 거래는 자제해야 한다. 해커 다수가 이용하는 공공장소의 공유기를 해킹하거나, 기관을 사칭한 무료 와이파이를 제공해 접속 기기의 정보 탈취를 시도할 수 있기 때문이다. 사용자는 가능한 공개된 무료 와이파이 사용을 자제하고, 꼭 필요한 경우라면 와이파이 시 금융 거래는 하지 않도록 주의해야 한다.

해설: 전자 금융사기의 가장 효과적인 예방법으로 여겼던 백신마저 회피하는 방식이다. 사람들이 의심 없이 즐겨 쓰는 '무료 와이파이'를 악용하는 수법이다. 무선공유기를 조작해 와이파이 이용자를 가짜 사이트로 유도한 후 개인 정보를 빼낸다. 백신 등을 설치했더라도, 해커가 조작한 무선공유기로 와이파이에 접속하면 피해를 입을 수 있다.

특히, 이처럼 무선공유기를 이용한 수법은 개인이 사전에 예방할 방법이 거의 없다. 공유기 보안 설정을 강화해 피해를 막을 수 있지만, 공공장소의 공유기는 사용자 개인이 손을 댈 수 없기 때문이다. 따라서 공공장소에서는 제공자가 불분명한 무료 와이파이 이용을 삼가야 한다.

"사기는 테크닉이 아니다. 심리전이다. 그 사람이 뭘 원하는지, 그 사람이 뭘 두려워하는 지를 알면 게임 끝이다."

영화 '범죄의 재구성' 마지막 대사다. 이 영화는 사기꾼들의 시각에서 왜 사람들이 사기에 속을 수 밖에 없는 지를 명료하게 보여준다. 이 대사에는 '인간 심리'와 '갈망'에 대한 사기의 대원칙이 들어 있다. 시대가 변하고 그에 따라 그 수법 또한 다양한 형태로 변했지만, 이 모든 사기 수법을 관통하는 원리는 분명 존재한다. 돌다리도 두들겨 보고 건너라는 속담을 잊지 말자.

글 / IT동아 권명관(tornadosn@itdonga.com)