👨‍👩‍👧‍👦명절 연휴, 투자자를 노리는 주식 보안 위협 3가지

명절 연휴는 잠시 주식시장이 멈추는 기간이지만, 해커들에게는 오히려 ‘기회’의 시기입니다.
증권사와 금융기관의 보안 인력이 줄어드는 틈을 타, 투자자들의 계좌 정보와 인증서 비밀번호를 노린 공격이 집중적으로 발생하기 때문입니다.
실제로 한국인터넷진흥원(KISA)은 매년 명절 전후로 금융·투자 스미싱 신고 건수가 급증한다고 밝혔습니다.

주식 투자로 수익을 얻는 것도 중요하지만 보안을 통해 정보를 지키는 것도 중요하겠죠?
휴식과 함께 방심이 찾아오는 시기, 투자자라면 반드시 알아둬야 할 대표적인 보안 위협 세 가지를 정리했습니다.

1️⃣ “배당금 입금 안내”로 위장한 스미싱

명절 직전 “배당금이 입금되었습니다”, “계좌 거래가 일시 중지되었습니다”라는 문자가 대량 발송되는 사례가 반복되고 있습니다.
문자 속에는 실제 증권사 로고와 유사한 도메인이 포함돼 있고, 링크를 클릭하면 가짜 로그인 페이지로 연결됩니다.
이 페이지는 실제 증권사 사이트의 디자인과 거의 동일하게 만들어져 있어, 투자자들이 무심코 계좌번호와 인증서 비밀번호를 입력하게 됩니다.

입력한 정보는 실시간으로 공격자의 서버로 전송돼, 단 몇 분 만에 예치금이 인출되는 경우도 있습니다.
특히 최근에는 공동인증서 비밀번호뿐 아니라 휴대폰에 저장된 인증서 파일 자체를 탈취하는 방식으로 발전했습니다.

👉 예방 방법:
문자나 카카오톡으로 온 금융 알림은 절대 클릭하지 말고, 반드시 증권사 공식 앱이나 홈페이지에서 직접 로그인하세요.
또한 ‘발신번호가 +82’ 등으로 시작하거나, 링크가 한글 도메인이 아닌 경우 즉시 삭제하는 것이 안전합니다.

2️⃣ “명절 이후 급등 예정 종목” 투자 리딩 피싱

명절 이후에는 주식시장에 대한 기대감이 커지는 시기입니다. 이를 노린 ‘급등주 리딩방’ 피싱도 꾸준히 보고되고 있습니다.
최근에는 카카오톡 오픈채팅방, 텔레그램 채널, 유튜브 라이브 등을 통해 “설 이후 폭등할 테마주” “추석 끝나면 강세 종목 공개” 같은 문구로 투자자들을 유인합니다.

처음에는 무료 리딩을 제공하는 것처럼 보이지만, 이후 “정식 회원 전환을 위해 보안 인증이 필요하다”며 원격 제어 앱 설치를 유도합니다.
이 앱을 통해 공격자는 피해자의 휴대폰 화면을 그대로 제어하며, 문자 인증번호·보안카드·OTP 코드 등을 모두 확인할 수 있습니다.
일부는 투자 리딩을 가장해 가짜 수익 인증 캡처를 보여주거나, 허위 증권사 로고를 삽입해 신뢰를 조작하기도 합니다.

👉 예방 방법:
금융투자협회에 등록되지 않은 리딩방·투자자문은 모두 불법입니다.
“무료 리딩”, “보안 인증 절차”라는 말이 나왔다면 즉시 대화를 중단하고 신고하세요.

3️⃣ 증권사 앱으로 위장한 악성 앱 배포

또 다른 위험은 ‘보안 점검’이나 ‘업데이트’를 빙자한 악성 앱 설치 유도입니다.
공격자는 “HTS·MTS 업데이트가 필요합니다”, “앱 보안 점검을 완료하세요”라는 알림을 문자나 이메일로 발송합니다.
링크를 클릭하면 ‘.apk’ 파일 다운로드 페이지로 연결되고, 이 파일을 설치하면 금융정보 탈취용 악성코드가 즉시 실행됩니다.

일부 악성 앱은 실제 증권사 로고와 UI를 그대로 복제해 아이콘까지 구별하기 어렵습니다.

설치 후에는 사용자의 SMS·연락처·앱 사용 기록을 수집하며, 공인인증서나 간편인증 관련 파일까지 외부 서버로 전송합니다.
피해자는 앱 실행 시 아무 이상이 없어 보이기 때문에 감염 사실을 인지하지 못한 채 계좌가 털리는 경우가 많습니다.

👉 예방 방법:
증권사 앱은 반드시 공식 앱스토어(구글 플레이·앱스토어) 를 통해 설치해야 합니다.
휴대폰 설정에서 ‘출처를 알 수 없는 앱 설치 허용’ 기능이 켜져 있다면 즉시 꺼두세요.
또한 모바일 백신을 최신 버전으로 유지하면 악성 앱 탐지가 가능합니다.

명절은 투자자에게 잠시의 휴식이지만, 해커에게는 움직이기 좋은 시기입니다.
해마다 명절 전후로 금융 보안 사고가 반복되는 이유는 단순합니다.
사람들이 ‘시장도 쉬니까 나도 괜찮겠지’라고 생각하는 순간, 공격자는 가장 활발히 움직입니다.

연휴 전에 할 수 있는 최소한의 대비만으로도 피해를 막을 수 있습니다.

• MTS·HTS 비밀번호 변경
• 휴대폰 백신 업데이트
• OTP 기기 정상 작동 여부 확인

이 세 가지 점검만 해도 해커의 절반 이상 공격은 무력화됩니다.
이번 명절에는 계좌를 들여다보기보다, 내 보안 상태부터 확인하는 투자자가 되어보세요.

혹시 의심스러운 문자나 앱을 설치했다면, 즉시 KISA 118 상담센터 또는 경찰청 사이버수사대(112) 에 신고해 조치를 받는 것이 좋습니다.

 

모두 행복한 추석 되세요!