테크인포
보안

피싱 사기 피하는 법 — 진짜 사이트와 가짜 사이트 구별하기

매년 수천억 원이 피싱 사기로 사라집니다. 가짜 사이트를 한눈에 알아보는 방법과 피싱 이메일 대처법을 알아봅니다.

📅 2025-02-10#피싱#사기예방#보안#인터넷사기
피싱 사기 피하는 법 — 진짜 사이트와 가짜 사이트 구별하기

피싱이란?

피싱(Phishing)은 공식 기관이나 기업을 사칭하여 개인정보, 비밀번호, 금융 정보를 탈취하는 사이버 사기입니다. 2024년 한국인터넷진흥원 자료에 따르면 국내에서 매년 수천억 원이 피싱 사기로 피해를 입고 있습니다.

최근에는 AI를 활용해 이메일 문체와 디자인을 정교하게 모방하는 사례가 늘고 있습니다. 육안으로는 구분하기 어려울 만큼 완성도가 높아져 더욱 주의가 필요합니다.

피싱 사이트의 5가지 특징

1. URL을 자세히 확인하세요

가장 확실한 방법입니다. 주소창의 도메인을 꼼꼼히 확인하세요.

  • 정상: https://www.kbstar.com
  • 피싱: https://www.kbstar-login.com ← 도메인이 다릅니다
  • 피싱: https://www.kb5tar.com ← 숫자 5를 사용해 혼동 유도
  • 피싱: https://www.kbstar.com.login-auth.net ← 뒷부분이 진짜 도메인

특히 마지막 예처럼 진짜 도메인처럼 보이지만 실제로는 login-auth.net이 진짜 도메인인 경우가 많습니다. 주소창에서 맨 마지막 슬래시(/) 전까지가 진짜 도메인이라는 점을 기억하세요.

2. HTTPS 여부만으로 판단하지 마세요

예전에는 "자물쇠 아이콘(HTTPS)이면 안전"이라는 인식이 있었지만, 현재는 피싱 사이트도 HTTPS를 사용합니다. HTTPS는 데이터 전송을 암호화할 뿐, 사이트 자체의 신뢰성을 보장하지 않습니다.

"HTTPS면 도청은 안 되지만, 사기꾼에게 직접 입력하는 것"이 될 수 있다는 점을 명심하세요.

3. 과도한 긴급성을 경계하세요

  • "계정이 정지될 예정입니다 — 24시간 내에 확인하세요!"
  • "당신의 카드가 해외에서 사용되고 있습니다. 즉시 로그인하세요!"
  • "본인 인증을 하지 않으면 계좌가 동결됩니다."

이런 메시지는 당신을 급하게 만들어 URL 확인을 소홀히 하도록 유도합니다. 어떤 공식 기관도 이런 방식으로 긴급하게 로그인을 요구하지 않습니다.

4. 너무 좋은 제안은 의심하세요

  • "귀하가 100만 원 상금에 당첨되었습니다"
  • "지금 클릭하면 아이폰 무료 증정"
  • "포인트 소멸 전 지금 바로 확인하세요"

상식적으로 말이 안 되는 제안은 반드시 의심해야 합니다. 특히 클릭 한 번으로 선물이나 당첨금을 받을 수 있다는 내용은 피싱일 가능성이 매우 높습니다.

5. 맞춤법과 문법 오류

정식 기업의 공식 메일이나 사이트에 맞춤법 오류가 많다면 가짜일 가능성이 높습니다. 특히 어색한 한국어 표현, 외국어를 직역한 듯한 문체는 경고 신호입니다.

사이버보안 경고

국내 주요 피싱 사례

카카오/네이버 계정 사칭

"카카오 계정 이상 활동 감지, 본인인증 필요" 형태로 문자나 이메일이 옵니다. 링크를 누르면 카카오 로그인 페이지와 똑같이 생긴 가짜 사이트로 연결됩니다.

대처법: 절대 문자/이메일의 링크를 눌러 로그인하지 마세요. 항상 공식 앱을 직접 실행하거나 브라우저에서 주소를 직접 입력하세요.

택배 피싱

"배송 주소 불명확, 확인 요망"이라는 문자와 함께 링크가 옵니다. 클릭하면 악성 앱 설치 또는 개인정보 탈취 사이트로 연결됩니다.

대처법: 택배 조회는 반드시 각 택배사 공식 앱이나 사이트에서만 하세요.

공공기관 사칭

국세청, 경찰청, 법원을 사칭하여 "세금 미납", "수사 협조", "재판 소환장" 등을 빌미로 클릭을 유도합니다. 이런 공공기관은 절대 이메일이나 문자로 링크를 보내 로그인을 요구하지 않습니다.

피싱 이메일 대처법

받았을 때

  1. 링크를 클릭하지 마세요 — 이것이 가장 중요합니다
  2. 발신자 이메일 주소를 확인하세요 (도메인이 이상하면 피싱)
  3. 링크에 마우스를 올려 실제 이동 URL을 미리 확인하세요
  4. 의심스러우면 공식 앱이나 직접 URL 입력으로 접속하세요
  5. 스팸으로 신고하세요

클릭했을 때 (피해 최소화)

  1. 즉시 브라우저를 닫으세요
  2. 비밀번호를 입력했다면 해당 사이트에서 즉시 비밀번호 변경
  3. 카드 번호, 계좌 번호를 입력했다면 해당 금융기관에 즉시 연락해 카드 정지 또는 계좌 동결 요청
  4. 악성 앱이 설치되었을 수 있으니 스마트폰 백신 앱으로 검사

실용적인 예방 도구

Google Safe Browsing 크롬, 파이어폭스 등 주요 브라우저에 기본 탑재되어 있습니다. 위험한 사이트에 접근하려 할 때 자동으로 경고 화면을 표시합니다.

2단계 인증(2FA) 비밀번호가 탈취되어도 두 번째 인증이 없으면 로그인할 수 없습니다. 주요 계정에 반드시 설정하세요.

피싱 신고 채널

  • 한국인터넷진흥원(KISA) 118 콜센터: 피싱 사이트 신고 및 상담
  • 금융감독원 1332: 금융 피싱 피해 신고

자주 묻는 질문

Q. 링크를 클릭만 해도 정보가 탈취되나요? A. 단순 클릭만으로는 대부분 탈취되지 않습니다. 다만 일부 악성 사이트는 브라우저 취약점을 이용해 악성코드를 설치할 수 있습니다. 링크를 클릭한 뒤 어떤 정보도 입력하지 않았다면 즉시 창을 닫고 백신 앱으로 검사하는 것이 안전합니다.

Q. 카카오톡 메시지로 오는 피싱은 어떻게 구별하나요? A. 친구 계정에서 오는 "급하게 돈을 빌려줘" 류의 메시지는 계정이 탈취되었을 가능성이 높습니다. 반드시 전화로 직접 확인한 후 송금하세요. 공식 채널을 가장한 메시지는 발신자 ID를 꼼꼼히 확인하세요.

Q. VPN을 쓰면 피싱을 막을 수 있나요? A. VPN은 트래픽을 암호화하지만 피싱 자체를 막지는 못합니다. VPN은 네트워크 도청 방지에는 도움이 되지만, 가짜 사이트에 직접 정보를 입력하는 행위는 막을 수 없습니다.

마무리

피싱은 기술력보다 사람의 심리를 악용합니다. 급하게 만들고, 무섭게 만들고, 설레게 만들어 판단력을 흐립니다. 어떤 메시지에도 "잠깐, 이게 정말 맞나?" 하고 1초 멈추는 습관이 최고의 보안입니다. 의심스러우면 공식 앱을 직접 열고, 링크는 절대 클릭하지 마세요.

#피싱#사기예방#보안#인터넷사기