KISA "가상자산 한번 털리면 끝…피싱 메일 속지 마세요"
최근 가상자산 탈취를 노린 피싱 공격이 지속 발생해 대응책 마련이 시급한 것으로 전해졌다. 한국인터넷진흥원(KISA)은 이런 피싱 피해 사례 속출로 인해 인터넷 사용자가 각별한 주의를 기울여야 한다고 위협정보 공유시스템(C-TAS)을 통해 17일 밝혔다. 최근 공격자들은 가상자산 커뮤니티에 올라온 글을 토대로 공격 대상을 선정한다. 이후 포털사이트 피싱 메일을 발송해 대상 정보를 빼내는 수법을 활용한다. 사용자가 메일 속 링크를 의심 없이 클릭하고 계정 정보를 입력하면, 공격자는 이를 통해 클라우드 저장소에 저장된 지갑 정보를 확보하는 식이다. 지갑에 일정 금액 이상의 자산이 있을 경우, 이를 해커 지갑 주소로 전송한다. 이에 KISA는 피해 예방을 위해 송신자 주소를 정확히 확인하고, 모르는 이메일과 첨부파일은 열람하지 말 것을 권고했다. 특히 메일 내 본문 링크는 클릭 전 연결 웹사이트 주소가 정상적인지 반드시 확인해야 한다는 점도 알렸다. 출처가 불분명한 첨부파일은 다운로드를 삼가야 한다는 것도 당부했다. 또 휴대전화 번호와 아이디, 비밀번호 등 개인정보는 신뢰할 수 있는 사이트에만 입력해야 한다는 점도 강조했다. KISA는 PC와 스마트폰 보안 강화를 위해 바이러스 백신을 주기적으로 업데이트하고 검사하는 것도 중요하다고 강조했다. 가상자산을 안전하게 보관하려면 하드웨어 지갑(콜드 월렛)을 적극 활용하고, 거래소 API 사용 시에는 권한을 분리해야 한다는 점도 당부했다. 또 지갑주소와 비밀번호, 시드 문구, 거래소 API 키 등의 중요 정보는 이메일함이나 클라우드 저장소를 피하고 안전한 위치에 보관해야 악용 가능성을 줄일 수 있다는 것도 설명했다. KISA는 "당분간 가상자산 탈취를 노린 피싱 공격이 계속될 것으로 예상된다"며 "가상자산 특성상 일단 탈취가 발생하면 복구가 어려운 사례가 많으므로 각종 보안 권고를 철저히 준수하고 습관화해야 한다"고 말했다.
