"은행 보안 알림" 이메일이 도착해 24시간 내 링크를 클릭해 계정을 확인하지 않으면 정지된다고 합니다. 이것이 전형적인 피싱(Phishing) 공격입니다. FBI 2025년 인터넷 범죄 보고서에 따르면 피싱은 수년 연속 사이버 범죄 중 피해액이 가장 큰 유형으로, 매년 전 세계에서 35억 달러 이상의 손실을 유발합니다.
1. 피싱이란?
피싱은 공격자가 신뢰할 수 있는 기관이나 개인으로 위장해 비밀번호·신용카드·주민번호 등 민감한 정보를 탈취하거나 송금·악성 소프트웨어 설치 등의 행동을 유도하는 사이버 사기입니다.
| 유형 | 설명 | 주요 사칭 대상 |
|---|---|---|
| 이메일 피싱 | 대량 발송 위조 이메일 | 은행, PayPal, 정부 기관 |
| 스피어 피싱 | 특정 개인·기업 대상 맞춤형 공격 | 기업 임원, 특정 기관 직원 |
| 스미싱 | SMS 가짜 링크 발송 | 택배사, 은행, 국세청 |
| 비싱 | 전화로 고객센터나 공공기관 사칭 | 은행 고객센터, 경찰, 건강보험 |
| 큐싱 | 위조 QR코드로 피싱 사이트 유도 | 주차 정산기, 식당 메뉴판, 광고 |
2. 가짜 URL 식별법
동형 문자 공격
시각적으로 유사한 문자로 정상 도메인을 위조합니다:paypa1.com(숫자 1로 l 대체), g00gle.com(숫자 0으로 o 대체)등.
서브도메인 혼동
실제 도메인은 경로 앞 마지막 . 이전 부분입니다:
secure.bank.co.kr→ 실제 도메인:bank.co.kr✓bank.co.kr.secure-login.net→ 실제 도메인:secure-login.net✗ (피싱!)
의심스러운 URL 디코딩:URL 인코더로 퍼센트 인코딩된 URL을 즉시 디코딩해 실제 도메인을 확인하세요.
3. 소셜 엔지니어링 심리 조작 수법
| 수법 | 예시 | 식별 포인트 |
|---|---|---|
| 긴박감 | "2시간 내 확인하지 않으면 계정 정지" | 정상적인 은행은 극단적 시한을 설정하지 않음 |
| 공포 | "자금 세탁 혐의 수사에 협조하라" | 정부 기관은 전화로 송금을 요구하지 않음 |
| 권위 | 은행·국세청·경찰 사칭 | 공식 사이트·앱으로 직접 확인 |
| 탐욕 | "당첨됐습니다" "미수령 환급금이 있습니다" | 공짜는 없다 — 너무 좋은 것은 피싱 |
4. 의심스러운 이메일 확인 방법
발신자 표시 이름은 위조 가능합니다. 중요한 것은 @ 뒤의 도메인입니다:
[email protected]→ 정상(@ 뒤가 공식 도메인)[email protected]→ 피싱(paypal.com이 아님)
이메일 내 링크를 클릭하지 말고, 브라우저에 공식 URL을 직접 입력하거나 북마크로 접속하세요.
5. 계정 보안 기술적 방어
- 2단계 인증(2FA) 활성화:비밀번호가 유출되어도 두 번째 인증이 보호해줍니다. SMS보다 TOTP 인증 앱 우선 사용
- 비밀번호 관리자 사용:올바른 도메인에서만 자동 입력되므로 피싱 사이트에서 실수로 입력하는 것을 방지
- 계정마다 다른 비밀번호:하나의 유출이 연쇄 피해로 이어지지 않도록
비밀번호 보안:비밀번호 생성기는 브라우저 내에서 강력한 랜덤 비밀번호를 생성합니다. 서버에는 아무것도 전송되지 않습니다.
6. 의심스러운 링크를 클릭했을 때
- 아무것도 입력하지 않기:클릭 자체는 큰 위험이 아닙니다. 진짜 피해는 무엇을 입력했느냐에 달려 있습니다
- 즉시 탭 닫기:확장 프로그램 설치나 파일 다운로드를 요구하면 거부하고 닫기
- 악성 소프트웨어 검사:파일을 다운로드했다면 보안 소프트웨어로 검사
- 비밀번호 변경:입력했을 가능성이 있는 비밀번호를 즉시 변경하고 재사용 여부 확인
- 기관에 연락:은행 관련이면 공식 번호로 즉시 전화해 계좌 정지 요청
요약
- 피싱은 가짜 URL·긴박감 조작·신뢰감 위장을 결합한 가장 피해액이 큰 사이버 범죄
- URL 식별:실제 도메인 위치, 동형 문자 대체, 퍼센트 인코딩에 주의
- 이메일 확인:@ 뒤 도메인 확인, 링크 클릭 금지, 공식 사이트 직접 접속
- 기술적 방어:2FA 활성화, 비밀번호 관리자, 계정마다 다른 비밀번호
- 클릭 후:아무것도 입력 금지, 탭 닫기, 악성코드 검사, 비밀번호 변경