“000님, 네이버플러스 멤버십이 결제 완료됐습니다.”

최근 네이버와 카카오를 사칭해 계정 비밀번호를 탈취하거나 공식 사이트로 속여 악성코드를 유포하는 사례가 기승을 부리고 있다. 이를 막기 위해 두 회사는 메일 제목과 주소 확인을 안내하는 동시에, 회사 차원 모니터링 시스템을 가동해 불법 사이트 단속을 이어간다.

27일 한국인터넷진흥원(KISA)에 따르면 올해 2월 10일부터 지난달 14일까지 두 달간 ‘카카오톡 PC버전’ 공식 다운로드 페이지를 위장한 피싱 사이트에서 약 560건의 악성코드 다운로드가 발생한 것으로 추정된다.

“공식 사이트 위장 악성코드, 두 달간 560건”…멤버십 결제 사칭 사례도

공격자는 구글 등 주요 검색엔진에서 ‘카카오톡 PC버전’을 검색하면 결과 상단에 피싱 사이트가 노출되도록 조작했다. 위장된 설치 파일을 실행하면 사용자 PC에 정보 유출이 가능한 악성코드가 깔려 PC에 저장된 민감 정보가 외부로 빠져나갈 위험이 존재한다.

최근 네이버에서도 유사 사례가 발생했다. 네이버플러스 멤버십 결제 안내 메일로 위장해 이용자의 계정 비밀번호를 탈취하려는 피싱 메일이 유포된 것이다. 

피싱 메일은 ‘[MemeberShip] 멤버십 결제 완료’ 또는 ‘[Membership] 결제 완료’라는 제목으로 실제 네이버플러스 멤버십 결제 안내 메일과 유사하게 제작됐으며, 본문에 포함된 ‘마이 멤버십으로 이동’ 버튼을 클릭하면 피싱 사이트로 이동해 비밀번호를 입력하도록 설계됐다.

메일 제목·이메일 주소 확인 필수…반드시 공식사이트 이용해야

이번 사례를 두고 네이버 측은 메일 제목과 발신자 이메일 주소를 확인하고, 포함된 URL을 확인할 것을 권고했다. ‘Membership’ 태그를 제목 앞에 붙이고 있는 피싱 메일과 달리 네이버 공식 안내 메일은 ‘[네이버플러스 멤버십] 결제 내역 안내’라는 제목으로 발송되기 때문이다.

발신자 이메일 주소 역시 회사 공식 안내용 이메일 주소 ‘@navercorp.com’이 아닌 다른 도메인을 사용하고 있다면 피싱을 의심해봐야 한다. 마이 멤버십으로 이동 버튼 또한 공식 메일은 연두색을 채택하고 있어, 빨간색 버튼이 포함됐을 경우 피싱을 의심해야 한다. 해당 버튼 클릭 시 이동하는 URL도 공식 네이버 서비스는 ‘nid.naver.com’ 도메인에서만 계정 정보를 요구한다.

카톡 PC버전 다운로드 피싱 사이트를 통한 악성코드 감염을 방지하기 위해 KISA는 공식 사이트에서 카톡을 포함한 주요 소프트웨어(SW)를 다운로드 받을 것과 검색 결과 중 상단 노출 링크 URL이 정상 사이트와 일치하는지 확인 후 접속할 것을 권장했다.

“피싱 사이트 꼼짝마”…네카오, 자체 모니터링 시스템 운영

이외에도 네이버는 회사 차원에서 피싱으로 유출 의심되는 계정으로 판단되는 경우 선제적으로 보호조치를 적용해 이용자를 보호하고 있다. 2단계 인증 등으로 사전 예방책을 제공하는 중이며, 계정 정보를 피싱사이트에 입력했다면 비밀번호 변경 안내 등 해결 방안을 이용자에게 안내한다.

2024년 1월부터 지난해 9월까지 네이버를 대상으로 한 피싱 공격을 분석한 결과 공공기관·계정보안 위협 사칭 등 스팸 유포방식의 피싱과 검색·간편 로그인 등의 형태로 진화한 것으로 나타났다. 이에 회사는 자체 개발한 피싱 감지·모니터링 시스템을 통해 피싱 사이트를 사전 탐지해 약 566개의 검색 피싱 유포 사이트를 차단했다.

관련기사

카카오는 이용자가 안전하게 서비스를 이용할 수 있도록 공식 홈페이지가 우선 노출될 수 있도록 지속 관리하는 것은 물론 사칭·피싱 등 불법 사이트에 대한 상시 모니터링을 진행한다. 

카카오 관계자는 “특이사항 확인 시 사이트 운영자 대상 시정 요구, 방송통신심의위원회 접속 차단 요청, 호스팅 업체 신고 등 필요한 조치를 실시하고 있다”며 “이용자 피해를 최소화하기 위해 관련 기관과의 협력과 대응 노력을 지속할 방침”이라고 밝혔다.