# “단순히 수능 격려 문자로 알았습니다.” 지난해 대학수학능력시험(이하 수능)을 치른 김 모씨는 당시 받은 문자를 생각하면 아직도 가슴이 철렁 내려앉는다. “수능합격, 이거 보고 힘내”라는 흔한 격려인 줄 알았던 문자가 사실은 악성코드를 설치하기 위한 피싱이었던 것. 당시 메시지와 함께 첨부된 인터넷 주소(URL)는 악성코드 파일과 연결돼 있었다. 그는 “악성코드 설치는 피했지만, 소액결제나 개인정보 탈취 등 2차 피해가 발생했다면 이어진 논술고사 등 다른 전형에 집중할 수 없었을 것”이라고 말했다.
매년 수능 직후 개인정보 탈취를 노린 피싱 범죄가 성행하면서 보안업계가 수험생과 그 가족에게 각별한 주의를 당부했다.
17일 보안업계에 따르면 최근 몇 년 사이에 ‘수능합격! 꼭 되길 바랄게. 이거 보고 힘내! 등의 응원 문구와 함께 악성 URL이 첨부된 피싱 메시지가 유포되고 늘고 있다.
◆수험생에게 전해진 격려 메시지…기재된 링크로 악성코드 설치 노려
문자 메시지를 받는 것만으로 피해가 발생하지 않지만, 링크를 누를 경우 문제가 달라진다. 보안 전문가는 “출처가 불분명한 메시지 속 링크를 누를 경우 악성코드가 스마트폰에 설치돼 스크린샷, 개인정보 유출 등의 피해를 볼 수 있다”라고 경고했다.
이에 대비해 스마트폰 보안설정 메뉴에서 출처를 알 수 없는 앱 설치 제한 기능을 켜두는 것이 좋다. 해당 기능은 애플 앱스토어, 구글 플레이스토어 등 승인된 출처의 앱만 설치되도록 한다. 또 자신이 이용하는 고객센터를 통해 소액결제 한도 설정할 수도 있다. 평소 소액결제를 사용하지 않는다면 소액결제 자체를 차단할 수도 있다. 보안업계는 출처를 알 수 없는 링크를 클릭하지 않는 것이 가장 좋은 대응책이라고 입을 모았다.
◆수능 후 면접·논술고사 등 각 전형일정 겨냥한 피싱도 극성
또 각 대학 계정을 사칭한 메일이나 메시지 피싱도 주의해야 한다. 특히 이달부터 내년 2월까지는 수시모집 전형을 비롯해 정시 원서 접수, 면접 및 논술고사 등 다양한 대입 일정이 진행돼, 이를 노린 피싱 또한 활발하게 이뤄지는 시기다.
보안 업계에 따르면 가장 흔한 수법은 신입생 데이터베이스(DB) 구축을 빌미로 이메일 주소, 주민등록번호 등의 개인정보입력을 요구하는 것이다. 하지만 대부분의 대학이 이런 개인정보 입력의 경우 대표 홈페이지나 대학 포털에서만 가능토록 조치하고 있다. 이에 메일을 통한 직접 입력 등을 요구할 경우 정상 사이트에 접속해 확인을 거치는 것이 좋다.
한 보안업계 관계자는 “각 대학 전형 일정에 맞춰 입학처 등을 사칭한 피싱 메일이 기승을 부린다”라며 “최근에는 메일 주소가 유사할 뿐만 아니라 디자인까지 감쪽같이 베끼기 때문에 개인정보 입력에 앞서 다시 한번 확인해보는 것이 중요하다”라고 말했다.
◆추가합격 발표 몰리는 2월에도 등록금 빼돌리는 피싱 성행
아울러 최근에는 추가합격의 간절한 마음을 파고드는 피싱도 등장해 조심해야 한다. 이는 주로 추가합격 발표가 집중되는 2월에 많이 발생한다. 이 같은 피싱은 수험생들에게 전화나 문자 메시지로 추가합격을 통보하고, 등록 마감 시간이 얼마 남지 않았다며 주의력을 분산시킨다. 가령 “오늘 오후 4시까지 등록금 300만원을 입금해야 합격이 확정된다”라는 식이다.
그러나 이는 대부분 피싱인 경우가 많아 주의가 요구된다. 한 사립대학 관계자는 “대학마다 다르지만, 최근에는 전화로 추가합격을 통보하고, 입학금이나 등록금 입금을 안내하는 사례가 거의 없다”라며 “이런 연락을 받으면 들뜬 마음을 가라앉히고 해당 대학에 직접 문의하면 피해를 예방할 수 있다”라고 말했다.
댓글 0