휴가철 노린 사이버 범죄 기승…씨큐비스타, ‘5대 보안 수칙’ 공개

항공사·숙박 예약 메일 사칭, 가짜 사이트 통한 개인정보 탈취 잇따라…공공 와이파이·SNS 실시간 위치 공유도 위험

여름휴가 시즌을 맞아 여행을 준비하는 국민을 겨냥한 사이버 범죄가 급증하고 있다. 무더위와 휴가 분위기로 경계심이 느슨해지는 시기에 스마트폰 사용과 공공 와이파이 접속이 늘면서, 피싱·스미싱·가짜 예약사이트·악성 이메일 등 각종 해킹 수법에 노출될 위험이 커지고 있다.

사이버 위협헌팅 보안기업 씨큐비스타(대표 전덕조)는 12일, 실제 항공사나 예약 플랫폼과 구분하기 어려운 가짜 사이트를 통한 결제 유도, 기업 내부 메일 사칭 등을 포함한 휴가철 특화 사이버 공격이 확산되고 있다며, 이를 예방하기 위한 ‘휴가철 5대 보안 수칙’을 발표했다.

■항공사·예약 플랫폼 사칭…백도어 설치로 정보 탈취

씨큐비스타에 따르면 최근 대한항공, 아시아나항공 등 주요 항공사를 사칭한 ‘E-Ticket’ 피싱 메일이 다수 유포됐다. 사용자가 메일 내 첨부된 PDF 탑승권이나 링크를 열면 백도어 악성코드가 설치돼 로그인 자격 증명, 인증서, 금융정보 등이 유출될 수 있다.

이 같은 공격은 기업용 이메일 계정까지 노려, 계정 탈취 후 내부 문서 유출이나 2차 공격으로 확산되는 경우도 있다. 한 중견기업의 경우 인사담당자가 ‘휴가 신청 확인’ 메일을 열어 계정이 탈취됐고, 이후 임직원 명의의 피싱 메일이 사내에 퍼져 전자결재 시스템 침해 시도가 발생했다.

■가짜 예약사이트 통한 계정·결제정보 유출

부킹닷컴, 야놀자, 이스타항공 등 유명 예약 서비스를 사칭한 피싱 사이트 피해도 증가하고 있다. 공격자는 실제 서비스와 거의 동일한 UI와 정교한 도메인 주소를 사용해 이용자의 의심을 피한다. 사용자가 로그인 정보나 결제 정보를 입력하면 해당 데이터는 공격자 서버로 전송돼 계정 도용, 무단 결제, 카드 정보 유출로 이어진다.

■씨큐비스타가 제시한 ‘휴가철 5대 보안 수칙’

씨큐비스타는 여름휴가 기간 피해를 예방하기 위해 다음과 같은 수칙 준수를 당부했다.

-항공·숙소 관련 문자 URL 주의

문자에 포함된 URL을 즉시 클릭하지 말고, 발신처와 도메인을 확인한 후 포털 검색을 통해 공식 홈페이지에 접속해 진위 여부를 확인해야 한다.

-개인 테더링 또는 VPN 사용

공공 와이파이 사용 시 ‘중간자 공격’에 노출될 수 있어, 가능하면 개인 테더링이나 VPN을 활용해야 한다.

-출처 불명확한 앱 설치 금지

추가 인증 앱이나 업데이트 파일 설치를 유도하는 경우 해킹 가능성을 의심하고 설치를 피해야 한다.

-SNS 위치 실시간 공유 자제

실시간 위치 공유는 집이 비어있는 시점을 노출시켜 오프라인 범죄로 이어질 수 있어, 위치 정보가 포함된 게시물은 시간차를 두고 올리는 것이 안전하다.

-백신·보안 앱 최신 버전 유지

스마트폰과 노트북의 운영체제(OS), 백신 및 보안 앱은 항상 최신 상태로 유지해 최신 보안 패치를 적용해야 한다.

전덕조 씨큐비스타 대표는 “최근 피싱 공격은 실제 항공사나 리조트 예약 메시지처럼 정교하게 제작돼 사용자가 속기 쉽다”며 “휴가철 여행 준비 체크리스트에 ‘5대 보안 수칙’을 반드시 포함해 소중한 여행이 범죄 피해로 이어지지 않도록 해야 한다”고 강조했다.

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명

(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)

*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.

△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)

△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정

△사전등록 필수: 클릭

(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.

참석확정 문자와 메일 받은 분만 참석 가능)

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

저작권자 © 데일리시큐 무단전재 및 재배포 금지