여름 휴가철을 맞아 일반인을 겨냥한 사이버 범죄가 급증하고 있다. 휴가 준비와 폭염으로 경계심이 낮아진 틈을 타 스마트폰과 공공 와이파이 사용이 늘면서 피싱, 스미싱, 가짜 예약사이트, 악성 이메일 피해가 잇따르고 있다.

사이버 위협헌팅 보안기업 씨큐비스타는 최근 공격 수법이 실제 항공사·예약 플랫폼과 구분하기 어려울 정도로 정교해졌다며, 여름 휴가철 피해 예방을 위한 ‘휴가철 5대 보안 수칙’을 12일 공개했다.

씨큐비스타에 따르면 항공·여행 관련 사칭 메일이 대표적이다. 대한항공, 아시아나항공 등을 사칭한 ‘E-Ticket’ 피싱 메일이 유포됐고, 메일에 포함된 탑승권 PDF나 링크를 실행할 경우 백도어 악성코드가 설치돼 로그인 자격 증명, 인증서, 금융 정보가 탈취될 수 있다. 기업용 이메일 계정이 탈취되면 내부자료 유출 등 2차 피해로 번질 위험도 크다.

가짜 예약사이트를 통한 정보 탈취도 기승을 부리고 있다. 부킹닷컴, 야놀자, 이스타항공 등 유명 서비스를 사칭한 피싱 사이트가 대량 유포되며, 실제와 유사한 화면과 정교한 도메인으로 이용자의 의심을 피해 로그인·결제까지 유도한다.

입력된 정보는 공격자 서버로 전송돼 계정 도용, 무단 결제, 저장된 카드 정보 유출로 이어진다.

기업을 겨냥한 BEC(Business Email Compromise) 피싱 역시 피해 규모가 크다. 인사팀이나 경영진을 사칭해 ‘휴가 신청 확인 요청’ 등의 제목으로 내부망에서 첨부파일 실행을 유도하는 방식이다.

정보 탈취 악성코드가 실행되면 조직 내 다른 시스템으로의 접근이 가능해진다. 실제 한 중견기업에서는 인사담당자 사칭 메일을 열람한 뒤 사내 이메일 계정이 탈취됐고, 임직원 명의의 2차 피싱 메일이 유포되며 내부 전자결재 시스템 침해 시도가 발생했다.

씨큐비스타는 여름철 특히 다음 ‘5대 보안 수칙’을 강조했다.

1. 항공·숙소 문자 URL 주의: 문자의 URL을 바로 누르지 말고 도메인과 발신처를 확인한 뒤, 포털에서 공식 홈페이지를 직접 검색해 사실 여부를 재확인한다.

2. 개인 테더링 또는 VPN 사용: 공항·숙소 공공 와이파이에는 중간자 공격 위험이 커, 가능하면 개인 테더링이나 신뢰 가능한 VPN을 사용한다.

3. 출처 불명확한 앱 설치 금지: 추가 ‘인증 앱’ 설치 요구나 ‘업데이트 파일’ 설치 유도는 해킹 신호일 수 있어 설치하지 않는다.

4. SNS 위치 실시간 공유 자제: 집을 비우는 시점 노출을 막기 위해 위치가 드러나는 게시물은 시간차 업로드하고, 위치정보는 비공개로 유지한다.

5. OS·백신 상시 최신화: 스마트폰·노트북 운영체제와 백신·보안 앱을 항상 최신 버전으로 유지한다.

전덕조 씨큐비스타 대표는 “요즘 피싱은 실제 항공사나 리조트 예약 메시지처럼 정교해 한눈팔면 속기 쉽다”며 “여행 준비 점검 리스트에 ‘휴가철 5대 보안 수칙’을 포함해 보안을 생활 습관으로 정착시키길 바란다”고 전했다.