국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 대규모 개인정보 유출 사고가 발생하면서 이를 악용한 보이스피싱이나 스미싱(문자메시지 이용 개인정보 탈취) 등 2차 피해가 우려돼 주의가 필요하다.

1일 보안업계에 따르면 한국인터넷진흥원(KISA)은 쿠팡 개인정보 유출사고가 터지자 즉시 보안 공지를 통해 “피해보상, 피해 사실 조회, 환불 등 키워드를 활용한 피해기업 사칭 스미싱 유포 및 피해보상 안내를 빙자한 보이스피싱 등 피싱 시도가 예상된다”고 경고했다.

이는 ‘긴급 앱 업데이트’ ‘피해보상 신청’ ‘환불’ 등 안내 문자에 악성 인터넷주소(URL)를 삽입해 피싱 사이트나 악성 앱 설치를 유도하는 방식다.

이중 ‘피해사실 조회’ 등 관련 키워드를 이용해 포털 검색결과 상단이나 광고 영역에 피싱 사이트를 노출하는 방식도 가능하다. 이 경우 해당 사이트에 접속해 자신의 정보를 입력하면 고스란히 개인정보가 유출될 수 있다. 특히 법죄자들이 유출 사실 통보나 보상·환불 절차 안내를 가장해 전화로 원격제어 앱 설치를 요구하거나 특정 사이트 접속을 유도하는 수법도 우려된다.

스미싱·피싱 사이트 확인은 KISA가 운영 중인 보호나라 카카오톡 채널을 활용하면 된다. 의심스러운 메시지을 받으면 보호나라 카카오톡 채널 내 ‘스미싱·피싱 확인서비스’를 통해 악성여부를 판별하고 신고할 수 있다. 문자메시지 등을 통한 피싱과 스미싱은 △문자 수신 화면의 ‘스팸으로 신고’ △보이스피싱 통합신고 대응센터의 ‘스미싱 문자메시지 차단 신고하기’ △보호나라 카카오톡 채널 내 ‘스미싱 확인서비스’를 이용하면 피해를 막을 수 있다.

KISA는 발신자가 불분명한 메시지의 주소는 클릭하지 말고 즉시 삭제하고, 의심되는 사이트는 정식 주소와 일치하는지 반드시 확인해야 한다고 당부했다. 휴대전화 번호·아이디·비밀번호 등 개인정보는 신뢰할 수 있는 사이트에만 입력해야 하며 인증번호는 모바일 결제로 연계될 수 있어 각별한 주의가 필요하다고 강조했다.

KISA는 “정부 기관 및 금융회사는 전화나 문자 등을 통해 원격제어 앱 설치를 요구하지 않는다”고 강조했다.

만약 악성 앱이나 피싱 사이트로 인해 정보가 유출된 경우 이동통신사에 무료 ‘번호 도용 문자 차단 서비스’를 신청한다. 모바일 결제 피해가 확인되면 통신사 고객센터에서 소액결제 확인서를 발급받아 경찰에 신고해야 한다.

문자에 포함된 URL을 통해 설치된 앱은 즉시 삭제하고, 서비스센터애서 점검을 받아야 안전하다. 악성 앱 감염 상태에서 금융서비스를 이용했다면 공인인증서·보안카드 등 금융정보가 유출됐을 수 있어 폐기 후 재발급 받아야 한다.

특히 악성 앱이 주소록을 통해 지인에게 스미싱 메시지를 전송하는 등 2차 피해가 발생할 수 있어 주변에 피해 사실을 알리고 주의를 요청해야 한다.

장세풍 기자 spjang@naeil.com