따뜻한 봄철을 맞아 옷차림이 가벼워지면서 쇼핑을 서두르는 이들이 많아지고 있다. 특히, 온라인 쇼핑 활성화로 그 방법과 루트가 다양해지면서 전 세계 온라인 쇼핑몰을 넘나들며 자신만의 ‘워너비 아이템’을 찾는 ‘해외 직구족’도 크게 늘어났다. 무엇보다 국내에서 쉽게 구할 수 없는 제품이나 해외에서 구매하면 더욱 저렴한 가격에 구입할 수 있다는 이유로 국내 배송대행지 등을 이용해 해외 사이트에서 직접 구매하고 결제하는 방식은 이미 대중화되어 있다.
개인 금융정보 탈탈 터는 유사·사칭앱 등장, 앱 다운로드 전 현혹되지 않도록 확인 또 확인
최근 해외 유명사이트와 비슷하지만 다른 유사·사칭 앱이 버젓이 앱 마켓에 등장하면서 이를 통해 개인 금융정보가 탈취되는 사례가 속출하고 있다. 소비자들은 해외 유명 사이트로 오인해 앱을 설치하게 되는데, 이 경우 실제 원하는 서비스를 정상적으로 제공받지 못할 뿐 아니라 결제정보가 해커들에게 노출되는 경우도 발생한다. 이는 안드로이드 마켓인 구글 플레이 스토어 뿐만 아니라 애플 앱스토어에서도 발견되는데, 앱 등록 규정이 상대적으로 까다로운 애플 앱스토어보다 안드로이드 마켓에 더 많이 등장하고 있다. 소비자는 앱 다운로드 전에 자신이 찾는 앱인지 먼저 확실하게 확인하고 무분별한 다운로드는 지양해야 한다.
해외결제 위장 피싱·스미싱 주의...해커들은 카드 결제 과정 중간에 ‘피싱 결제창 끼워넣기’
실제 정보 유출로 인한 해외결제 피해도 발생하고 있지만, 해외 직구 앱을 사칭한 ‘해외결제 위장 메시지’로 피싱 앱 접속을 유도하는 전통적인 스미싱 공격도 여전하다. 피싱·스미싱 공격은 기존 앱의 메뉴와 동일하게 제작해 클릭하면 로그인 페이지로 이동시켜 소비자로 하여금 정보 입력을 유도하고, 공격자의 서버로 전송해 정보를 탈취한다. 이에 소비자는 해외결제 내용과 URL이 함께 첨부되어 있다면 스미싱일 가능성이 높기 때문에 절대 URL을 클릭해선 안 된다. 이미 클릭한 후라면, 해외 직구 앱 설치 요구나 관련 앱 화면이 표출되더라도 정보를 입력해선 안 된다.
보안이 취약할수록 결제 절차도 간단...카드정보 결제 페이지 저장은 위험
전자상거래가 급증하면서 피싱·해킹에 의한 카드정보 유출로 부정사용 민원이 증가하고 있다. 특히, 보안체계가 제대로 갖춰지지 않은 해외 온라인 쇼핑몰의 경우, 카드 정보만으로 본인확인 등의 추가 인증 절차 없이 즉시 결제 처리된다. 해커들은 이같이 카드정보 암호화 과정이 생략된 허점 등을 이용해 해킹하고 탈취한 개인정보 및 카드정보를 다크웹을 통해 불법 유통 및 판매하고 있다.
이에 따라 금감원은 금융보안원·카드사와 협력해 다크웹에서 불법 유통 중인 카드 정보에 대한 부정 결제 시도를 차단하고, 카드사가 소비자 보호조치를 차질 없이 수행할 수 있도록 노력을 기울이고 있다.
해외 직구 사이트 이용 시 ‘해외 온라인 거래용 가상카드 발급’ 적극 추천
해외 직구 이용객 증가와 아울러 해외 쇼핑 피해량도 급속히 늘어나면서 카드사들은 지난 2021년부터 ‘해외직구용 가상카드 발급서비스’를 시행하고 있다. ‘가상카드’는 △카드번호 △유효기간 △CVC코드를 임의로 생성해 ‘카드정보 유출 피해’를 방지할 수 있다. 또한, 소비자가 △한도액 △사용횟수 △사용기간을 직접 지정할 수 있어 해당 기간 경과 시에는 자동으로 사용이 불가능하게 된다.
이미 정보 유출 피해를 입었거나 의심된다면? 즉각 카드사에 정지·재발급 요청
온라인 쇼핑 후에 카드 정보 유출 및 피싱 등이 의심되는 경우라면 즉시 카드사에 요청해 카드 정지·재발급을 신청해야 한다. 과정이 다소 불편하더라도 피해 이후 부정사용 가능성을 근절할 수 있는 유일한 방법이다.
느낀점: 나도 해외 직구 사이트인 아마존을 이용해 다양한 물품들을 산 적이 있는데 자칫 잘못하다가 개인정보가 유출될 수 도 있다는 사실을 알게됐고, 다양한 유사 사칭앱이 등장하고 있다고 하니 앱을 다운 받기 전 해당 앱이 맞는지 잘 확인해봐야 할 필요가 있겠다. 또한 카드 정보를 저장하는 일은 절대 있어서는 안되겠다. 해외 사이트를 이용해 물품을 안전하게 구매하기 위해서는 나도 '해외 온라인 거래용 가상카드'를 발급받아서 사용할 것이다. 또한 '해외원화결제차단서비스'를 이용해 필요할 때만 활성화하는 것도 좋은 방법이라고 생각한다.
'보안뉴스' 카테고리의 다른 글
| 스캠의 진화... 대화형 스캠이 당신을 노린다 (21-04 6주차) (0) | 2023.04.21 |
|---|---|
| 정교해지는 이메일 피싱 공격…"기업 대부분 보안 인식 수준 낮아"(12-04 5주차) (0) | 2023.04.12 |
| HTML 형식 도움말 파일 CHM 악용한 APT 공격 사례 발견(28-03 3주차) (0) | 2023.03.28 |
| 오픈AI CEO "GPT-4, 인류 역사상 가장 위대하지만 두려운 기술"(21-03 2주차) (0) | 2023.03.21 |
| 단순한 암호 방식으로 손쉽게 복호화 가능한 iswr 랜섬웨어 국내 유포(14-03 1주차) (0) | 2023.03.14 |