여름휴가철을 앞두고 항공권과 숙박 예약 사이트를 사칭한 피싱 공격이 늘고 있다. 공격자들은 가짜 로그인·결제 페이지를 만들거나 실제 숙박 예약정보를 악용해 결제정보를 빼내고 있다.

18일 체크포인트리서치는 여행·숙박·레저 분야를 겨냥한 사이버공격이 2026년 여름 여행 시즌을 앞두고 증가하고 있다고 분석했다.

여행·숙박업 공격 3년새 122% 증가
체크포인트리서치에 따르면 지난달 여행·숙박·레저 분야 조직은 한 곳당 주평균 2291건의 사이버공격을 받았다. 전년 동월보다 24% 늘어난 수치다. 같은 기간 전 산업 평균 증가율이 2%였던 점을 고려하면 여행 관련 산업에 공격이 집중된 셈이다.

3년 전과 비교하면 증가 폭은 더 크다. 이 분야의 조직당 주평균 공격 건수는 2023년 5월 1032건에서 올해 5월 2291건으로 늘었다. 3년간 누적 증가율은 122%에 달한다.

피싱 사이트에 활용될 수 있는 도메인도 빠르게 늘고 있다. 체크포인트리서치는 지난달 새로 등록된 여행 관련 도메인이 4만7318개였다고 밝혔다. 직전 달보다 33%, 전년 동월보다 19% 늘어난 규모다.이 중 112개당 1개꼴로 악성 또는 의심 도메인으로 분류됐다.


부킹닷컴·에어비앤비 사칭…가짜 예약사이트 이미 운영
도메인을 대량으로 확보한 정황도 확인됐다. 공격자는 210개가 넘는 호텔 유인 도메인을 순차적으로 등록했다. 아메리칸익스프레스와 로이즈 트래블 초이스 같은 금융·여행 브랜드를 사칭한 도메인도 있었다. 여행사 브랜드 '포라 트래블'을 108개 최상위도메인에 걸쳐 베껴 등록한 사례도 확인됐다.

이미 운영 중인 가짜 사이트도 적발됐다. 부킹닷컴 사칭 사이트는 로그인 정보와 결제카드 정보를 노렸고, 에어비앤비 사칭 사이트는 캐나다 여행객을 겨냥했다. 스카이스캐너를 사칭한 일부 사이트는 말레이시아 리조트 숙박 상품을 싸게 파는 것처럼 꾸며 예약금 결제를 유도했다.

체크포인트리서치는 여행 관련 피싱이 여름 성수기 예약 수요를 노린 계절성 공격이라고 분석했다. 공격자는 가짜 할인 행사나 특가 숙박 상품처럼 이용자가 급하게 반응할 만한 미끼를 내세운다. 휴가철에는 항공권과 숙박 예약을 서두르는 이용자가 많아 정상 사이트와 비슷한 가짜 페이지에 속을 가능성도 커진다.

실제 예약정보를 활용한 표적형 피싱도 확인됐다. 글로벌 보안업체 젠디지털의 보안 브랜드 노턴 연구진은 지난달 28일 '예약 하이재킹' 사기 분석을 공개하고, 전 세계 50개국 350곳 이상의 숙박시설이 이 같은 사기에 악용된 정황을 확인했다고 밝혔다.

노턴 연구진에 따르면 예약 하이재킹은 숙소명과 투숙 일정 등 실제 예약 정보를 메시지에 넣어 정상 안내처럼 보이게 만드는 수법이다. 피해자는 자신이 예약한 숙소에서 보낸 메시지로 오인해 가짜 결제·인증 페이지에 접속하게 된다.


KISA도 숙박 예약정보 악용 스미싱 경고
국내에서도 유사한 주의보가 나온 바 있다. 한국인터넷진흥원(KISA)은 지난달 12일 '여행 예약 플랫폼' 해킹으로 유출된 숙박 예약정보 등 개인정보를 활용한 스미싱 메시지가 유포되고 있다며 이용자 주의를 당부했다.

KISA에 따르면 공격자는 유출된 예약정보를 이용해 호텔 관리자를 사칭한다. 이후 '결제 문제 발생', '예약 취소 방지를 위한 재확인' 등을 이유로 카드 정보 인증을 요구하고, 공식 사이트처럼 꾸민 피싱 URL로 결제정보 입력을 유도한다.

보안업계는 여행 예약 관련 메시지를 받을 경우 문자나 메신저에 포함된 링크를 바로 누르지 말고 공식 앱이나 웹사이트에서 직접 확인해야 한다고 조언한다. 의심되는 메시지는 숙소나 여행사 공식 고객센터에 따로 확인하는 것이 안전하다.

KISA는 보호나라 카카오톡 채널의 '스미싱·피싱 확인서비스'를 통해 의심 문자를 신고하고 악성 여부를 확인할 수 있다고 안내했다. 출처가 불분명한 URL은 클릭하지 말고, 휴대전화 번호와 아이디, 비밀번호, 본인확인 인증번호 등 개인정보는 신뢰할 수 있는 사이트에서만 입력해야 한다고 당부했다.



kxmxs4104@news1.kr