씨큐비스타가 휴가철을 맞아 여행객과 기업을 겨냥한 사이버 범죄가 급증하고 있다며 ‘휴가철 5대 보안 수칙’을 공개했다. 여름철은 항공·숙박 예약과 이동이 늘어나는 시기로 해커들은 실제 항공사·예약 플랫폼을 사칭한 피싱과 가짜 사이트, 기업 인사팀을 사칭한 BEC 피싱 등 정교한 공격을 확대하고 있다.
최근에는 대한항공, 아시아나항공 등을 사칭한 ‘E-Ticket’ 피싱 메일이 발송돼 첨부된 PDF나 링크 실행 시 백도어 악성코드가 설치돼 로그인 정보, 인증서, 금융 데이터가 탈취되는 사례가 발생했다. 부킹닷컴, 야놀자, 이스타항공 등 유명 예약 플랫폼을 사칭한 가짜 사이트도 다수 유포돼 실제와 유사한 UI와 도메인 주소로 사용자의 계정·결제 정보가 유출되는 피해가 잇따르고 있다.
기업을 겨냥한 BEC 피싱의 경우, 인사팀·경영진을 사칭한 메일을 통해 내부망 침투를 시도한다. 한 중견기업에서는 인사담당자가 사칭 메일을 열람해 사내 이메일 계정이 탈취되고 이를 이용한 2차 피싱 메일이 임직원에게 발송돼 내부 전자결재 시스템 침해 시도가 있었다.
씨큐비스타는 피해 예방을 위해 ‘항공·숙소 관련 문자 URL 주의’, ‘개인 테더링·VPN 사용’, ‘출처 불명 앱 설치 금지’, ‘SNS 위치 실시간 공유 자제’, ‘백신·OS 최신 상태 유지’ 등 5대 보안 수칙을 제시했다.
전덕조 씨큐비스타 대표는 “피싱 공격은 실제 항공사나 리조트 예약 메시지처럼 정교하게 제작돼 사용자가 속기 쉽다”며 “여행 준비 체크리스트에 반드시 보안 수칙을 포함해 피해를 예방해야 한다”고 강조했다.
헬로티 구서경 기자 |
