휴가철 ‘가짜 예약사이트’ 기승···씨큐비스타, ‘5대 보안 수칙’ 발표

[사진=씨큐비스타]

[이뉴스투데이 김진영 기자] 휴가철 여행객을 노린 사이버 범죄가 급증하고 있다. 여름철은 휴가와 폭염으로 경계심이 느슨해지는 데다 스마트폰·공공 와이파이 사용량이 늘어나 피싱, 스미싱, 가짜 예약사이트, 악성 이메일 공격 피해 위험이 높아진다.

씨큐비스타는 휴가철 피해 예방을 위한 ‘5대 보안 수칙’을 공개했다고 12일 밝혔다. 최근 해커들이 항공사·예약 플랫폼과 구분하기 어려운 가짜 사이트를 만들어 결제를 유도하거나, 기업 내부 메일로 속여 인트라넷에 침투하는 사례가 늘고 있어 보안 위험성이 커지고 있다.

실제 대한항공, 아시아나항공 등 항공사를 사칭한 ‘E-티켓’ 피싱 메일이 발송돼 첨부 PDF나 링크 실행 시 백도어 악성코드가 설치되는 사례가 보고됐다. 로그인 자격 증명, 인증서, 금융 정보가 탈취되고 기업용 이메일 계정이 해킹돼 내부 자료 유출로 이어질 수 있다.

부킹닷컴, 야놀자, 이스타항공 등을 사칭한 가짜 예약사이트도 기승을 부린다. 실제 화면과 유사한 UI·도메인을 사용해 이용자가 로그인 정보와 결제 정보를 입력하게 만들고 이를 공격자 서버로 전송해 계정 도용, 무단 결제, 카드 정보 유출 피해를 발생시킨다.

기업을 겨냥한 기업 이메일 무역사기(BEC) 피싱도 주의해야 한다. ‘휴가 신청 확인 요청’ 등 인사팀·경영진 명의 이메일을 내부망에서 열람하면 첨부파일 실행을 통해 정보 탈취 악성코드가 작동해 다른 시스템 접근까지 가능해진다. 실제 한 중견기업은 인사담당자 계정이 탈취돼 임직원 명의의 2차 피싱 메일이 사내에 유포됐고 전자결재 시스템 침해 시도까지 이어졌다.

씨큐비스타가 제안한 휴가철 5대 보안 수칙은 △항공·숙소 관련 문자 URL 클릭 전 발신처·도메인 확인 △공공 와이파이 대신 개인 테더링·VPN 사용 △출처 불명 앱 설치 금지 △SNS 실시간 위치 공유 자제 △운영체제·백신 최신 업데이트 유지다.

전덕조 씨큐비스타 대표는 “최근 피싱 공격은 실제 항공권이나 리조트 예약 메시지처럼 정교해 순간 방심해도 피해로 이어질 수 있다”며 “여행 준비 점검표에 보안 수칙을 포함해 안전한 휴가를 보내야 한다”고 말했다.