추석 연휴가 '해킹 위험기간'…보안 10계명 지켜야

[뉴스웍스=박광하 기자] 최장 10일의 추석 황금연휴를 앞두고 보안업계가 사이버 공격에 대비한 보안수칙을 잇달아 발표했다.

안랩, SK쉴더스, 씨큐비스타 등 여러 보안기업은 10월 초 연휴 기간 보안 공백을 노리는 사이버 공격이 급증할 것으로 예상했다.

이들이 제시한 보안 수칙은 스마트 기기 보안 업데이트, 강력한 비밀번호 설정 및 다단계 인증, 백신 프로그램 최신 유지, 중요 데이터 백업, 공식 경로 콘텐츠 이용, 공용 와이파이 주의 및 VPN 사용, 스마트 기기 잠금 설정, IoT 기기 보안 점검, 피싱 메일 경계, 가족·지인의 사이버 안전 챙기기 등 10가지다. 특히 랜섬웨어 공격에 대비한 오프라인 백업과 원격 근무 시 VPN 사용이 강조됐다.

올해 추석은 개천절과 한글날이 이어지며 10월 3일부터 9일까지 공식 휴일만 7일에 달한다. 10일 하루만 휴가를 내면 최장 12일까지 쉴 수 있는 황금연휴다. 보안업계는 이처럼 긴 연휴 기간 보안 공백을 노린 사이버 공격이 급증할 것으로 예상하고 있다.

안랩은 9월 30일 '추석 귀성길 안전 운전 수칙과 함께 실천할 수 있는 사이버 보안 수칙'을 발표했다. 스마트 기기 보안 업데이트, 스마트 기기 잠금 설정, 발신자가 불분명한 문자 내 URL 실행 금지, 공식 경로로만 콘텐츠 이용, 가족·지인의 사이버 안전 챙기기 등을 당부했다.

박태환 안랩 사이버시큐리티센터(ACSC) 본부장은 "예년보다 길어진 이번 추석 연휴에는 들뜬 분위기 속 작은 방심 하나가 예상치 못한 보안 사고로 이어질 수 있다"며 "본인뿐 아니라 가족과 지인의 안전까지 함께 살피며 보안 습관을 생활화할 때 모두가 안전하고 즐거운 명절을 보낼 수 있다"고 말했다.

SK쉴더스도 9월 29일 '안전한 추석 명절을 위한 온·오프라인 보안수칙'을 공개했다. SK쉴더스의 물리보안 브랜드 ADT캡스가 2024년 관제센터 데이터를 분석한 결과, 사건·사고 처리 건수의 43.9%가 새벽·심야 시간대에 집중됐다. 지난해 추석 연휴 동안 사건·사고 일평균 건수는 평년 대비 20.25% 증가했다.

SK쉴더스는 명절 인사 메시지나 선물 배송 안내 등을 사칭해 악성 링크 접속을 유도하는 피싱 공격 사례가 급증하고 있는 만큼, 출처가 불분명한 문자·메일의 링크는 절대 클릭하지 말고 즉시 차단하는 습관을 갖는 것이 중요하다고 강조했다. 계정 보안을 위해 비밀번호를 주기적으로 변경하고, 다단계 인증(MFA)을 설정해 추가적인 방어막을 구축해야 한다고 덧붙였다.

씨큐비스타는 1일 '추석연휴 사이버 보안수칙 7가지'를 발표했다. 씨큐비스타가 제시한 보안수칙은 강력한 비밀번호와 다중 인증(MFA), 의심하고 확인하고 클릭 금지, 최신 버전 유지 및 백신 가동, 중요 정보는 오프라인 백업, VPN 사용 의무화, 스마트홈 기기 점검, 이상 징후 모니터링 및 대응 체계 점검 등이다.

전덕조 씨큐비스타 대표는 "긴 연휴는 설레이는 마음만큼, 개인의 부주의와 기업의 보안 공백을 노리는 사이버 범죄자들에게도 절호의 기회가 된다"며 "황금같은 연휴가 사이버 범죄로 인해 악몽으로 변하지 않도록 추석연휴 사이버 보안수칙을 철저히 준수해 안전하고 즐거운 명절 보내길 바란다"고 당부했다.

보안업계가 제시한 주요 보안수칙을 살펴보면 먼저 스마트 기기의 운영체제(OS)와 소프트웨어를 최신 버전으로 업데이트해야 한다. 스마트 기기의 OS와 소프트웨어를 최신 버전으로 유지하지 않으면 방치된 취약점이 해커의 침입 경로가 될 수 있다. 최근 글로벌 스마트폰 제조사들이 잇따라 취약점 긴급 패치를 배포한 바 있다.

모든 금융·포털·SNS 계정에 타인이 유추하기 쉬운 비밀번호 사용을 지양하고 반드시 다중인증(MFA)을 활성화해야 한다. MFA를 적용하면 계정 정보가 유출될 경우에도 악의적인 공격자가 인증을 우회하기 어렵게 돼 해킹을 방지하는 데 도움이 된다. 백신 프로그램을 최신 상태로 유지하는 것도 필수다. 연휴 시작 전 스마트폰과 PC의 OS, 앱, 백신 프로그램을 모두 최신 버전으로 업데이트해야 한다.

랜섬웨어 공격에 대비해 중요 데이터는 오프라인 백업이 필수다. 기업의 중요 데이터는 물론 개인의 소중한 사진이나 문서도 별도의 외장하드나 클라우드에 백업해야 한다. 불법 다운로드는 금지하고 공식 경로로만 콘텐츠를 이용해야 한다.

연휴 중 원격 근무 시에는 보안이 취약한 공용 와이파이 대신 반드시 회사의 공식 VPN(가상사설망)을 사용해 접속해야 한다. 공용 와이파이를 꼭 사용해야 하는 상황이라면 반드시 비밀번호가 설정돼 있고, WPA2나 WPA3와 같은 최신 보안 프로토콜이 적용된 와이파이를 사용하는 것이 안전하다.

스마트폰과 태블릿PC 등 스마트 기기에는 비밀번호나 생체인증을 설정해야 한다. 외부에서 원격으로 제어하는 CCTV, 스마트 도어락 등 IoT 기기의 초기 설정 비밀번호를 반드시 변경하고 펌웨어를 최신으로 업데이트해 사생활 침해 및 해킹 경로를 차단해야 한다.

각종 통지서 안내문을 전자문서로 전달해 주는 서비스를 사칭한 피싱 공격이 지속되고 있다. 증명서 재발급, 주민등록사실조사 안내, 운전면허 적성검사 갱신과 같은 실제 생활과 밀접한 관계가 있는 키워드를 사용해 사용자 클릭을 유도하며 개인정보 탈취를 시도한다. 수상한 이메일을 받았을 때는 반드시 발신자 주소 및 페이지 URL을 확인해야 한다.

본인뿐 아니라 가족과 지인, 특히 노인 등 취약계층의 보안 상태를 함께 점검해야 한다. 만약 금융정보 유출 등 피해가 의심된다면 즉시 거래 은행에 지급정지를 요청하는 것이 중요하다. 사이버 범죄가 의심될 경우 국번 없이 112(경찰청) 또는 118(한국인터넷진흥원 상담센터)로 즉시 연락해야 한다.