메일 열었더니 '네이버 첫 화면'이…무심코 로그인했다간

머니투데이 황국상 기자 2024.01.30 15:43
글자크기
왼쪽이 공식 네이버 로그인 화면, 오른쪽이 피싱 로그인 화면 / 사진=ASEC 홈페이지 캡쳐왼쪽이 공식 네이버 로그인 화면, 오른쪽이 피싱 로그인 화면 / 사진=ASEC 홈페이지 캡쳐


네이버(NAVER (170,400원 ▼4,900 -2.80%)), 카카오 (43,650원 ▼100 -0.23%) 등 국내 대표 플랫폼 기업을 사칭한 피싱 사이트들이 활개를 치고 있다. 자칫 주의를 소홀히 하면 개인정보를 탈취하기 위한 피싱 사이트에 내 정보를 고스란히 입력해 갖다 바치는 것은 물론이고 내 돈까지 털릴 수 있는 위험이 크다는 지적이다.

30일 안랩의 ASEC(안랩 시큐리티 대응센터)와 이스트시큐리티의 ESRC(이스트시큐리티 침해대응센터) 등에 따르면 최근 네이버 로그인 페이지로 위장한 피싱 사이트가 발견됐다.



피싱(Phishing)이란 이메일, 모바일 문자·메시지 등을 이용해 이용자의 아이디, 비밀번호 및 신용카드 정보 등 개인정보를 부정한 방법으로 탈취하려는 공격을 일컫는다. ASEC에 의해 확인된 네이버 피싱 로그인 페이지는 얼핏 봐도 공식 로그인 페이지와 거의 차이가 없을 정도로 정교하게 만들어져 있다.

가짜 로그인 페이지는 하이퍼링크, 즉 이메일이나 전자문서에 삽입된 링크의 형태로 유포됐을 것으로 추정된다. 이용자가 가짜 로그인 페이지에 자신의 아이디, 비밀번호 등을 입력하면 이 정보는 공격자의 C2서버(커맨드 앤 컨트롤 서버)로 전송된다. C2서버란 침투를 당한 이용자의 디바이스(장비)와 공격자 사이의 통신을 유지하는 데 쓰이는 지점을 일컫는 용어다. 이를 통해 이용자의 국가, 지역, 도시 및 이용자 장비의 브라우즈 환경과 OS(운영체제) 등 정보가 공격자에게 넘어간다.



ASEC는 "이렇게 탈취당한 사용자 정보는 추가 악성행위에 대한 타깃이 될 위험이 있다"며 "출처가 불분명한 메일 열람을 통해 연결되는 로그인 페이지를 사용할 때는 깊은 주의가 필요하고 주기적으로 계정 정보를 관리해야 한다"고 당부했다.
카카오 서비스 사칭한 피싱 사이트 / 사진=ESRC 블로그 캡쳐카카오 서비스 사칭한 피싱 사이트 / 사진=ESRC 블로그 캡쳐
카카오를 사칭한 스미싱(SMishing)도 최근 확인된 공격방식 중 하나다. 스미싱이란 여러 피싱 공격 중에서도 주로 문자메시지 등을 이용해 전송되는 방식을 일컫는다. "[Web발신] 친구님이 카카오P에서 ******님께 5만원을 송금했습니다. 안전한 송금 입니다. 친구에게 송금여부를 직접 확인해보세요."라는 문구와 함께 돈을 받을 링크가 삽입된 형태다. 이 링크를 클릭하면 "진짜가 다가온다, 카카오 P!"라는 페이지가 뜬다. "카카오P 참여를 위해 확인을 눌러달라"는 팝업의 링크를 클릭하면 APK(안드로이드 패키지) 파일이 다운로드된다. 이 파일을 실행하면 전화, SMS(문자메시지), 미디어파일, 주소록 등의 권한을 요구한다.

이같은 권한요청을 모두 허용할 때 문제가 생긴다. 휴대폰에서 이 APK파일의 아이콘이 사라짐과 동시에 백그라운드에서 SMS내용, 주소록, 위치정보, 사진첩, 공인인증서 등 이용자 휴대폰에 담긴 민감정보들을 공격자에게로 마구 전송한다. ESRC는 "수집한 정보들은 공격자 서버로 전송되고 통신 성공시 추가 악성 동작을 수행한다"며 "분석 시점에는 해당 서버 접근이 차단된 상태였다"고 했다.

ESRC는 "(공격자가) 이렇게 탈취한 정보들을 조합해 2차 피해를 발생시킬 수 있는 만큼 사용자 여러분들의 각별한 주의가 필요하다"며 "수상한 SMS 내에 포함돼 있는 링크 클릭을 지양하고 실수로 링크를 눌러 APK를 내려받았더라도 설치를 하지 않으면 아무 피해가 없으니 바로 삭제해달라"고 했다.
'카카오P'라는 이름의 피싱 APK파일 아이콘 / 사진=ESRC 블로그 캡쳐'카카오P'라는 이름의 피싱 APK파일 아이콘 / 사진=ESRC 블로그 캡쳐
문제는 이같은 공격 행위를 원천적으로 완전히 막을 수 있는 방법은 없다는 데 있다. 이용자들 스스로가 사전에 조심하는 게 최선일 뿐이고 아직은 사후적 대응을 할 수밖에 없다는 것이다. 네이버 관계자는 "네이버는 국내에서 가장 많은 피싱 데이터를 구축해 이를 웨일 브라우저 등 네이버 서비스 전반에 반영해 피싱을 차단하고 있다"며 "로그인 인터페이스를 수시로 바꾸는 등 방법으로 공격을 차단하고는 있지만 999개를 차단하더라도 1개의 공격이 성공해 피해를 또 초래하기도 한다"고 했다.


이 관계자는 "이용자 피해를 줄이기 위해 캠페인도 진행하고 있지만 사용자들도 (피해를 줄이기 위해) 같이 노력해주실 필요가 있다"며 "바이러스와 백신의 싸움처럼 사이버 공간에서의 공격과 방어도 창과 방패의 싸움처럼 반복되고 있다"고 했다.

카카오 관계자도 "카카오톡에서 이뤄지는 피싱에 대해서는 기술적·운영적 조치를 취할 수 있다"면서도 "외부에서 사이트를 만드는 데 대해 직접 조치를 취할 수 있는 것은 없다"고 했다.

또 "이용자들에게 피해가 발생하지 않도록 공지하고 있다"며 "문제의 사이트에 대해서도 KISA(한국인터넷진흥원)를 통해 차단조치했다"고 설명했다.
TOP