항공사·예약사이트 사칭 급증…여름 휴가철 보안 비상

[이데일리 강경록 여행전문기자] 여름 휴가철을 맞아 항공사·예약 플랫폼 사칭, 가짜 예약사이트, 악성 이메일 등을 통한 사이버 범죄가 급증하고 있다. 보안 전문기업 씨큐비스타(대표 전덕조)는 12일 ‘휴가철 5대 보안 수칙’을 발표하며, 여행객과 기업 모두 각별한 주의를 당부했다.

씨큐비스타에 따르면 최근 사이버 범죄 수법은 실제 항공사나 숙박 예약 플랫폼과 거의 구분이 불가능할 정도로 정교해졌다. 대한항공, 아시아나항공 등을 사칭한 ‘E-티켓’ 피싱 메일이 대표적이다. 메일에 첨부된 PDF 파일이나 링크를 실행하면 백도어 악성코드가 설치돼 로그인 정보, 인증서, 금융 데이터 등이 탈취된다. 이 과정에서 기업용 이메일 계정이 해킹되면 내부자료 유출로 이어질 수 있다.

가짜 예약사이트 피해도 늘고 있다. 부킹닷컴, 야놀자, 이스타항공 등을 사칭한 사이트가 유포돼 사용자가 의심 없이 로그인·결제를 진행하는 사례가 잇따르고 있다. UI 디자인과 도메인 주소를 실제와 유사하게 꾸며 피해자가 속기 쉽다. 입력한 개인정보와 결제 정보는 공격자 서버로 전송돼 계정 도용, 무단 결제 등 2차 피해로 이어진다.

기업을 겨냥한 BEC(Business Email Compromise) 피싱은 피해 규모가 크다. ‘휴가 신청 확인’ 등 인사팀·경영진을 사칭한 이메일을 내부망에 유포해, 첨부파일 실행 시 악성코드가 작동한다. 한 중견기업에서는 인사담당자가 사칭 메일을 열람해 사내 이메일 계정이 탈취됐고, 이를 통해 내부 전자결재 시스템까지 침해하려는 시도가 있었다.

씨큐비스타가 제안한 ‘휴가철 5대 보안 수칙’은 ▲항공·숙소 관련 문자 내 URL 클릭 자제 및 발신처·도메인 확인 ▲공공 와이파이 대신 개인 테더링·VPN 사용 ▲출처 불명확한 앱 설치 금지 ▲SNS 위치 실시간 공유 자제 ▲OS·백신·보안 앱 최신 버전 유지 등이다.

전덕조 씨큐비스타 대표는 “최근 피싱은 단순한 사기 수준을 넘어, 실제 예약·결제 메시지처럼 정교하게 제작돼 감쪽같이 속을 수 있다”며 “여행 준비 체크리스트에 반드시 보안 수칙을 포함해, 휴가가 해커의 공격 대상이 되지 않도록 해야 한다”고 강조했다.