정부 긴급재난지원금 신청 사이트인 것처럼 꾸며 수신자 개인정보를 빼내는 문자 스미싱 공격이 등장했다. 택배 문자를 사칭해 해당 사이트에 접근하도록 꾸민 이중 사칭 사례다. 이같은 사회공학적 공격에 대응하기 위해서는 출처가 불분명한 문자를 주의해야 한다. 모바일 보안 강화도 필수다.
이번에 발견된 스미싱 문자는 11일 오후부터 다수 유포된 상태다. ‘주소가 불분명해 배달이 불가능하다'는 내용을 담고 있어 문자에 첨부된 인터넷주소(URL)를 누르도록 유도한다.
만약 수신자가 URL을 클릭하면 공격자가 미리 제작해둔 가짜 정부 긴급재난지원금 신청 사이트가 나온다. 수신자가 사이트에서 자신의 개인정보를 입력 후 인증번호 요청 버튼을 누르면 해당 개인정보가 공격자에게 넘어가게 된다.
이스트시큐리티는 "이번 공격은 재난지원금 신청 유도 내용이 아닌 택배를 사칭한 문자 메시지(SMS)를 표방해 가짜 사이트 연계를 유도했다는 점이 특이하다"며 "공격이 발견된 후 시간이 흐른 12일 오전6시까지도 택배 문자를 사칭해 스미싱이 유포되고 있는 것으로 확인했다"고 밝혔다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "정부 긴급재난지원금을 두고 국민 관심이 높아진 만큼 출처가 불분명한 번호로부터 유사 내용의 문자를 수신한다면 주의를 기울여야 한다"며 "최근 사회공학적 기법을 결합해 코로나19 키워드를 활용한 스미싱 사례가 발견된 만큼 모바일 보안 강화가 필요하다"고 조언했다.
김평화 기자 peaceit@chosunbiz.com