피싱 공격 완전 가이드:가짜 URL 식별, 소셜 엔지니어링 수법 및 계정 보안 실무

"은행 보안 알림" 이메일이 도착해 24시간 내 링크를 클릭해 계정을 확인하지 않으면 정지된다고 합니다. 이것이 전형적인 피싱(Phishing) 공격입니다. FBI 2025년 인터넷 범죄 보고서에 따르면 피싱은 수년 연속 사이버 범죄 중 피해액이 가장 큰 유형으로, 매년 전 세계에서 35억 달러 이상의 손실을 유발합니다.

1. 피싱이란?

피싱은 공격자가 신뢰할 수 있는 기관이나 개인으로 위장해 비밀번호·신용카드·주민번호 등 민감한 정보를 탈취하거나 송금·악성 소프트웨어 설치 등의 행동을 유도하는 사이버 사기입니다.

유형설명주요 사칭 대상
이메일 피싱대량 발송 위조 이메일은행, PayPal, 정부 기관
스피어 피싱특정 개인·기업 대상 맞춤형 공격기업 임원, 특정 기관 직원
스미싱SMS 가짜 링크 발송택배사, 은행, 국세청
비싱전화로 고객센터나 공공기관 사칭은행 고객센터, 경찰, 건강보험
큐싱위조 QR코드로 피싱 사이트 유도주차 정산기, 식당 메뉴판, 광고

2. 가짜 URL 식별법

동형 문자 공격

시각적으로 유사한 문자로 정상 도메인을 위조합니다:paypa1.com(숫자 1로 l 대체), g00gle.com(숫자 0으로 o 대체)등.

서브도메인 혼동

실제 도메인은 경로 앞 마지막 . 이전 부분입니다:

  • secure.bank.co.kr → 실제 도메인: bank.co.kr
  • bank.co.kr.secure-login.net → 실제 도메인: secure-login.net ✗ (피싱!)
의심스러운 URL 디코딩:URL 인코더로 퍼센트 인코딩된 URL을 즉시 디코딩해 실제 도메인을 확인하세요.

3. 소셜 엔지니어링 심리 조작 수법

수법예시식별 포인트
긴박감"2시간 내 확인하지 않으면 계정 정지"정상적인 은행은 극단적 시한을 설정하지 않음
공포"자금 세탁 혐의 수사에 협조하라"정부 기관은 전화로 송금을 요구하지 않음
권위은행·국세청·경찰 사칭공식 사이트·앱으로 직접 확인
탐욕"당첨됐습니다" "미수령 환급금이 있습니다"공짜는 없다 — 너무 좋은 것은 피싱

4. 의심스러운 이메일 확인 방법

발신자 표시 이름은 위조 가능합니다. 중요한 것은 @ 뒤의 도메인입니다:

이메일 내 링크를 클릭하지 말고, 브라우저에 공식 URL을 직접 입력하거나 북마크로 접속하세요.

5. 계정 보안 기술적 방어

  • 2단계 인증(2FA) 활성화:비밀번호가 유출되어도 두 번째 인증이 보호해줍니다. SMS보다 TOTP 인증 앱 우선 사용
  • 비밀번호 관리자 사용:올바른 도메인에서만 자동 입력되므로 피싱 사이트에서 실수로 입력하는 것을 방지
  • 계정마다 다른 비밀번호:하나의 유출이 연쇄 피해로 이어지지 않도록
비밀번호 보안:비밀번호 생성기는 브라우저 내에서 강력한 랜덤 비밀번호를 생성합니다. 서버에는 아무것도 전송되지 않습니다.

6. 의심스러운 링크를 클릭했을 때

  1. 아무것도 입력하지 않기:클릭 자체는 큰 위험이 아닙니다. 진짜 피해는 무엇을 입력했느냐에 달려 있습니다
  2. 즉시 탭 닫기:확장 프로그램 설치나 파일 다운로드를 요구하면 거부하고 닫기
  3. 악성 소프트웨어 검사:파일을 다운로드했다면 보안 소프트웨어로 검사
  4. 비밀번호 변경:입력했을 가능성이 있는 비밀번호를 즉시 변경하고 재사용 여부 확인
  5. 기관에 연락:은행 관련이면 공식 번호로 즉시 전화해 계좌 정지 요청

요약

  • 피싱은 가짜 URL·긴박감 조작·신뢰감 위장을 결합한 가장 피해액이 큰 사이버 범죄
  • URL 식별:실제 도메인 위치, 동형 문자 대체, 퍼센트 인코딩에 주의
  • 이메일 확인:@ 뒤 도메인 확인, 링크 클릭 금지, 공식 사이트 직접 접속
  • 기술적 방어:2FA 활성화, 비밀번호 관리자, 계정마다 다른 비밀번호
  • 클릭 후:아무것도 입력 금지, 탭 닫기, 악성코드 검사, 비밀번호 변경