[파이낸셜뉴스] #사례. "배달물 예상배송일 4월 8일(수요일)입니다. 주소확인부탁드립니다." 재택근무중인 직장인 A씨는 스마트폰으로온 택배 알림문자와 함께 온 약식 링크를 터치했다. 링크를 터치하면 스마트폰 제조사가 설정해놓은 경고 메시지가 나온다. 보안 위험이 발생할 수 있다는 메시지다. A씨는 이를 무시하고 링크를 통해 사이트를 방문했다. A씨의 스마트폰 화면엔 택배업체 B사 로고가 선명하게 떠있었다. 화면 상단엔 휴대폰 번호를 입력하고 본인을 확인해달라는 안내문이 떠있다. 휴대폰 번호를 입력하고 '조회' 버튼을 누르니 app.apk라는 파일을 스마트폰이 다운받기 시작했다.
코로나19 확산으로 '집콕'족이 늘면서 택배 안내를 가장해 정보를 빼내가는 '피싱' 수법이 기승을 부리고 있다. 필수품이나 물품을 택배로 받는 경우가 많다보니 생기는 일이다. 최근 스마트폰 피싱 유형은 택배 안내문자를 보내고, 링크를 통해 정보를 빼내가는 형태다. 링크를 터치하면 택배회사를 가장한 홈페이지가 뜨고, 교묘하게 만들어놓은 곳에 개인정보를 입력토록 하는 형식이다. 원치않게 앱을 내려받도록 해 이를 실행하면 개인정보를 빼내갈 수도 있다.
이런 피싱 문자는 택배회사, 은행, 우체국 등 다양한 형태로 돌고 있다. 특히 최근엔 택배수요가 늘고 있어 국내 유명 택배회사 홈페이지를 흉내낸 가짜 사이트가 많다. 특히 모바일로 링크를 따라가는 경우 이런 사이트를 창에서 제대로 확인하기 어렵다. 이런 가짜 사이트는 개인정보를 입력하는 칸이 있고, 그 외의 다른 메뉴를은 터치하면 실제 택배회사 홈페이지로 연결되기도 한다. 진짜와 가짜를 구분하기 어렵게 만드는 수법이다.
택배업체인 B사 관계자는 "피싱 유형이 우체국, 은행 등 여러가지가 있지만 최근엔 택배업체의 모바일 홈페이지를 그대로 베낀 가짜 사이트를 만든 후 정보를 빼내가는 유형이 있다"면서 "택배회사는 배송 예정시간 등을 알려줄 뿐 휴대폰 번호 등 개인정보를 묻지 않으니 이상한 점이 있으면 반드시 택배회사 고객센터를 통해 전화로 확인해달라"고 말했다.
스마트폰의 보안 설정을 미리 강화하는 것도 방법이다. 안드로이드폰의 경우 제조사마다 '출처를 알 수 없는 앱' 등 보안설정을 바꾸는 메뉴가 있다. 기본적으로는 구글 플레이 등 믿을 만한 앱 장터에서 내려받은 파일이 아니면 실행하지 못하게 막아 놓는다.
보안업계 관계자는 "정보를 빼내가기 위해 링크를 보내는 경우 터치하기 전에는 쉽게 알아보지 못하도록 축약된 링크를 보내는 경우가 있는데 이 경우 되도록 터치하지 않는 것이 좋다"고 조언했다.
ksh@fnnews.com 김성환 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지