'긴급생활비 지원 사칭해 개인정보 탈취' 스미싱 기승

본인인증 위장 페이지로 유인해 개인정보 빼가…출처 불분명한 URL 실행 말아야

입력 : 2020-06-16 오전 9:35:05
피싱 사이트. 사진/안랩
[뉴스토마토 박현준 기자] 긴급재난지원금을 사칭해 개인정보를 탈취하는 스미싱이 발견돼 주의가 요구된다. 
 
스미싱은 문자메시지와 피싱의 합성어로 피싱 인터넷주소(URL)가 포함된 휴대폰 문자를 전송해 사용자의 금융·개인정보를 탈취한다. 
 
16일 안랩에 따르면 공격자는 "긴급생할비(긴급생활비의 오타) 지원사업이 집수(접수의 오타)되었습니다 다시한번 확인 부탁드립니다. http://******.***(피싱 URL)"와 같은 문자 메시지를 발송했다. 
 
사용자가 이 문자메시지에 있는 URL을 실행하면 휴대폰 본인인증을 위장한 피싱 사이트가 나타난다. 해당 피싱 사이트에 개인정보 입력 후 ‘인증번호 요청’ 버튼을 누르면 입력한 개인정보가 공격자에게 전송된다.   
 
해당 피싱 사이트는 실제 휴대폰 본인인증 화면과 매우 유사하고 정상 인증 과정과 유사한 기능을 수행하기 때문에 사용자가 피싱 사이트임을 인지하기 어렵다. 탈취된 개인정보는 보이스피싱이나 금융정보 탈취 시도 등 공격자의 목적에 따라 다양하게 악용될 수 있다. 
 
안랩은 이같은 피해를 줄이기 위해 △출처가 불분명한 정보성 문자메시지 내 URL·첨부파일 실행금지 △인터넷 상에서 개인정보 입력시 접속한 웹 페이지 이상 여부 확인 △스마트폰에 V3 모바일 시큐리티 등 모바일 백신설치 및 관련 기능 활성화 등의 보안수칙을 지킬 것을 당부했다. 
 
박태환 안랩 ASEC대응팀장은 "최근 몇 개월 동안 재난 지원금을 사칭한 스미싱이 지속적으로 발견되고 있다"며 "사회적 이슈를 활용한 스미싱 공격은 앞으로도 발생할 것이므로 문자메시지 내 출처 불분명 URL은 가급적 접속을 자제하는 것이 좋다"고 말했다.
 
박현준 기자 pama8@etomato.com
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
박현준 기자