“깜빡 속았네”…피싱 메일 발송자로 가장 많이 사칭한 곳 어디?

로그프레소, 2월 가짜 도메인 공격에 '네이버' 사칭 가장 많은 것으로 집계
삼성·카카오 등도 다수 사칭 악용…메일에 URL 보내 클릭하도록 유도
"출처 알 수 없는 이메일 속 URL 클릭시 주소 확인해야"

ⓒ뉴시스

사이버 범죄자들이 사용자 개인정보를 훔치기 위해 자행하는 가짜 웹사이트 공격에 네이버를 가장 많이 사칭한 것으로 나타났다.

뒤를 이어 삼성, 카카오 등을 사칭한 가짜 웹사이트도 이런 사이버 범죄에 많이 활용됐는데, 국민 다수가 이용하는 서비스이거나 많이 알려진 기업의 웹사이트에 국민 신뢰도가 높다는 점을 이용했다.

◆‘네이버 용량 확인 해주세요’ 안내에 무심코 클릭

로그프레소가 발간한 3월 CTI(Cyber Threat Intelligence) 월간 리포트에 따르면, 네이버를 사칭한 악성 유사 도메인 활용 공격 사례가 꾸준히 발생하고 있다. 로그프레소는 다양한 보안 위협 정보를 찾아내고 분석하는 기업이다.

‘악성 유사 도메인’은 기존에 잘 알려진 웹사이트로 착각하도록 만든 가짜 도메인을 말한다. 사이버 범죄자들은 피싱, 지능형지속공격(APT)·악성 봇 감염을 시도하기 위해 이러한 악성 유사 도메인을 미끼(Decoy) 도메인로 사용하고 있다.

로그프레소 조사 결과, 이런 악성 유사 도메인 공격에 가장 많이 활용된 웹사이트는 네이버다. 2월 한 달간 총 695건이나 적발됐다. 그 다음으로는 삼성, 카카오, 쿠팡 등의 가짜 웹사이트가 많았다.

가짜 웹사이트를 이용한 사이버 공격은 대개 메일로부터 시작된다. 네이버를 예로 들면, 네이버 이용 관련 안내 내용을 담은 메일을 사용자에게 “메일함 용량이 가득 찼으니 확인을 하라” 혹은 “해외에서 접속된 내용이 있다”는 식이다.

메일에는 안내 내용에 따른 네이버 로그인 페이지 링크가 첨부돼 있다. 사용자가 이 링크를 클릭하면 가짜 네이버 포털사이트로 연결된다.

연결된 가짜 네이버 포털사이트는 웹주소를 nid.naver.pw나 naver.pw 또는naver.com.ro 등으로 교묘히 변경해놨기 때문에 관심을 기울이지 않으면 실제 네이버 사이트와 구분하기 어렵다. 게다가 실제 네이버 메인화면의 실시간 뉴스·광고 배너 등을 완전히 복제한 데다, 심지어 증권·부동산·뉴스 등 국민들이 자주 이용하는 세부 메뉴까지 동일하게 구성해놨다.

이런 가짜 사이트가 무분별하게 확산하고, 국민 피해가 우려되자 지난해 국정원도 나서 ‘네이버(naver.com)를 접속했을 때 ’naverportal‘ 등 비정상적인 접속 도메인 주소인 경우 당장 접속을 중지해 달라’고 당부하기도 했다.

◆출처 알 수 없는 메일 속 인터넷주소 클릭할 땐 ‘확인 또 확인’

이와 같은 피싱 메일에 대한 피해를 예방하기 위해서는 인터넷 주소와 해당 사이트의 정상 작동 여부 확인 등 사용자 주의가 필요하다.

아울러 포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다. 서비스별로 암호를 다르게 설정하거나 이중보안 기능을 이용해 계정 보안을 강화해야 한다.

구동언 로그프레소 전무는 “네이버를 악용하거나, 네이버 계정 정보가 많이 유출된 것은 그만큼 많은 사람들이 이 웹사이트이기 때문”이라며 “가짜 웹사이트 공격에 당하지 않으려면 사이트 주소를 유심히 살피는 것이 중요하다”고 당부했다.

[서울=뉴시스]