[디지털데일리 김보민기자] 2025년 설 연휴가 시작됐다. 선물 배송 확인부터 기차표 예매까지, 개인 기기를 사용할 일이 많아진 시기인 만큼 '알면서도 당하는' 사이버 사기를 주의할 필요가 커졌다. 정부와 보안업계는 개인정보를 훔치고 결제 사기를 유도하는 스미싱과 불법 소프트웨어(SW), 설문조사, 중고거래 등을 통한 공격을 주의해야 한다고 강조하고 있다.

"띵동, 세뱃돈이 도착했습니다" : 악성앱 감염 유도하는 '사기 문자'

명절에 특화된 대표적인 사이버 사기는 스미싱이다. 스미싱은 문자메시지와 피싱의 합성어로, 공격자는 악성 앱 주소가 포함된 문자를 전송해 이용자가 설치를 하도록 유도한다. 연말정산, 과태료, 범칙금 조회 등 관련 기관을 사칭하거나 온라인 송금, 상품권 지급 등 명절 선물을 위장하는 경우도 있다.

과학기술정보통신부(이하 과기정통부)가 관계 당국과 함께 집계한 문자사기 현황(2022년~2024년)에 따르면, 과태료·범칙금 등 정부 및 공공기관을 사칭하는 유형은 총 162만건을 기록했다. 사회관계망서비스(SNS) 기업을 사칭한 계정 탈취 유형은 46만건에 달했다. 청첩장, 부고장 등 지인 사칭형도 약 42만건으로 집계됐다.

설 명절의 경우 가족을 방문하기 위해 차량을 이용하는 시민이 늘어난느 만큼 범칙금, 과태료 부과 조회 등 유도 문자가 유포될 수 있다. 연초 연말정산 기간 중 환급액을 조회하라는 내용의 악성 문자가 전송될 가능성도 배제할 수 없다.

정부는 '세뱃돈이 도착했다' 혹은 '설 선물 배송을 조회하세요' 등의 내용으로 악성 문자가 전송될 수 있다고 보고 있다. 이러한 문자를 열람하거나 인터넷주소(URL)를 누를 경우, 악성 앱이 설치되거나 개인정보가 탈취될 수 있다. 악성 앱의 경우 원격으로 기기 조종을 가능하게 해, 재산상 피해를 발생시킬 가능성이 있다.

"안전거래 링크 눌러주세요" : 중고거래족 노리는 '피싱 사이트'

설 명절 때 받은 선물이나 상품권 등을 중고거래 시장에 올리는 경우도 다수다. 알뜰한 여행을 위해 여행 물품을 중고거래로 구매하려는 이들도 있다. 이때 '안전거래'라는 명목으로 링크가 오가는 경우가 있는데, 실제 공식 사이트와 유사한 허위 사이트가 전달될 가능성이 있어 주의가 필요하다.

이스트시큐리티는 최근 '설 명절 보안수칙'을 통해 이러한 공격 가능성을 제기했다. 이스트시큐리티에 따르면 허위 사이트는 구매대금을 입금하도록 유도하거나, 입금 뒤 추가 수수료를 요구하며 금전적 피해를 입히려 시도할 수 있다. 모르는 사람으로부터 링크를 전달 받았을 경우, 거래 전 보안인증서(HTTPS)와 URL 주소를 확인하는 과정이 필요하다고 제언했다.

뿐만 아니라 설문조사로 위장한 개인정보 탈취 공격도 일어날 수 있다고 전망했다. 설 명절을 맞아 설날 이벤트를 진행하는 기업이 많은 만큼, 이 틈을 타 설문조사를 빙자한 개인정보 탈취 공격이 발생할 가능성이 있다는 취지다. 이러한 공격은 구글과 네이버 설문조사 양식으로 진행되며, 고가 경품을 내걸어 사용자를 현혹한다는 특징이 있다. 개인정보 입력만을 요구하고 악성 설치파일(apk)을 내리지 않기 때문에, 실제 공격을 당했는지 인지하기 어렵다고 이스트시큐리티는 설명했다.

불법 스트리밍 사이트를 활용한 사이버 사기 시도도 기승을 부릴 것으로 전망했다. 설 명절을 맞아 드라마 시청이나 콘텐츠 제작을 위해 불법 SW를 내려받는 경우가 있는데, 해당 파일에 악성코드가 있을 가능성이 있다는 취지다.

한편 경찰청은 설 연휴 기간 전후 발생하는 사이버 사기 범죄에 대한 단속을 강화하고 예방수칙을 제공하고 있다. 명절 연휴 중 사이버 범죄 피해를 입은 경우, 112로 신고하거나 '경찰청 사이버범죄 신고시스템(ECRM)'을 통해 온라인으로 피해 신고를 접수할 수 있다.