삐끗하면 털린다…극한의 틀린 그림 찾기 ‘피싱사이트’

2024.03.20 06:00 입력 2024.03.20 06:50 수정 박채영 기자

하나는 포털 사이트 ‘네이버’의 진짜 로그인 화면, 나머지 하나는 ‘피싱사이트’을 캡쳐한 것이다. 피싱사이트 캡쳐 화면은 ‘에이아이스페라(AI SPERA)’의 사이버 위협 인텔리전스 검색엔진 플랫폼 ‘크리미널아이피(Criminal IP)’ 제공.

언뜻 보기엔 둘 다 그럴듯하지만 둘 중 하나는 가짜다. 하나는 진짜 네이버 로그인 화면, 나머지 하나는 네이버 로그인 화면을 모방한 ‘피싱사이트’다. 진짜는 어느 것일까? (정답은 기사 마지막에)

피싱사이트는 피싱범들이 범죄에 활용하기 위해 진짜 사이트를 모방해 만든 가짜 사이트다. 목적은 피해자를 속여 개인정보를 입력하게 하거나 결제를 유도하는 것. 진짜 사이트와 구분할 수 없도록 외관뿐 아니라 인터넷주소(URL)도 진짜 사이트와 유사하게 꾸민다. 구글(google.com) URL을 ‘gooogle.com’ 등으로 바꾸는 식이다.

보안 전문 업체 ‘AAG IT 서비스’는 전 세계적으로 매달 평균 140만개의 피싱사이트가 생성되고 있다고 추산했다. 피싱사이트는 어떤 사이트들을 모방할까? 그리고 어떻게 이렇게 많은 피싱사이트가 빠르게 만들어질 수 있는 걸까?

검찰·은행 사이트부터 안전결제 페이지까지

쿠팡을 모방한 피싱사이트 캡쳐 화면. 에이아이스페라(AI SPERA)의 사이버 위협 인텔리전스 검색엔진 플랫폼 ‘크리미널아이피(Criminal IP)’ 제공.

피싱사이트가 모방하는 대상은 다양하다. 수사기관이나 은행 등 금융기관 피싱사이트가 대표적이다. 최근에는 유명 포털 사이트나 온라인 쇼핑몰을 모방한 피싱사이트도 늘고 있다. 넷플릭스의 페이지를 모방해서 만든 피싱사이트도 있다.

최근 온라인상에서는 중고거래에서 주로 이용하는 안전결제 페이지를 모방한 피싱사이트가 화제가 됐다. 안전결제는 돈만 받고 물건을 보내주지 않는 중고거래 사기를 방지하기 위해 도입된 시스템인데, 안전결제 페이지를 복제한 피싱사이트가 새로운 범죄의 도구가 되고 있는 것이다.

A씨는 2021년 9월 중고거래 온라인 카페에서 ‘커피머신을 판다’는 글을 보고, 판매자에게 연락했다. 판매자는 안전결제 페이지 URL을 보내주며 “입금하면 택배로 커피머신을 보내주겠다”고 했다. 하지만 판매자가 보내준 URL은 진짜 안전결제 페이지를 모방해 만든 가짜였다.

판매자는 A씨가 안전결제 페이지를 통해 처음 60만원을 송금한 후에도 “안전결제 수수료가 입금되지 않아 결제가 안 됐다. 수수료까지 포함해서 다시 돈을 보내라”며 A씨에게 총 10회에 걸쳐 861만9000원을 받아냈다.

넷플릭스를 모방한 피싱사이트. 에이아이스페라(AI SPERA)의 사이버 위협 인텔리전스 검색엔진 플랫폼 ‘크리미널아이피(Criminal IP)’ 제공.

피싱사이트 만들기 생각보다 쉽다?

문제는 피싱사이트를 만드는 것이 생각보다 어렵지 않다는 점이다. 금융범죄 조직들은 피싱사이트를 만들 때 ‘피싱키트(Phishing kit)’ 혹은 ‘피싱툴킷(Phishing Toolkit)’이라고 불리는 것을 사용한다.

피싱키트는 피싱에 필요한 소프트웨어 도구 모음이다. 주로 다크웹에서 유통되는데, 피싱키트를 사용하면 프로그래밍 경험이 적은 사람도 피싱사이트와 가짜 이메일 등을 쉽게 만들 수 있다.

지난해 8월 인터폴이 운영자 등을 검거한 피싱키트 ‘16샵(16shop)’은 신용카드 번호 등 개인정보 입력을 유도하는 피싱키트를 판매하던 곳이었다. 외신에 따르면 16샵 피싱키트에는 피해자의 위치에 따라 언어를 자동으로 현지화해주는 기능까지 깔려있었다.

보안 솔루션 기업 에이아이스페라(AI SPERA)의 강병탁 대표는 “탐지되는 피싱사이트 중 거의 상당수가 이런 피싱키트를 이용해서 만들어진 경우”라며 “코딩을 조금만 익힌 초등학생도 마음만 먹으면 피싱사이트를 만들 수 있고, 이것이 피싱이 과거에 비해 어마어마하게 늘어나는 이유”라고 밝혔다.

강 대표는 “피싱키트는 텔레그램이나 다크웹에서 거래가 되는데 사실 무료 피싱키트도 많기 때문에 개발 지식이 좀 있다면 꼭 구매 과정 없이도 피싱사이트를 만들어낼 수 있다”며 “한국의 유명 사이트를 모방한 피싱사이트에도 당연히 피싱키트가 활용된다”고 밝혔다.

피싱사이트에 안 당하려면?

피싱사이트에 당하지 않으려면 우선 출처가 불분명한 이메일과 문자메시지에 포함된 URL을 누르지 말아야 한다. 사이트에 접속했다면 개인정보를 입력하거나 돈을 입금하기 전에 URL을 먼저 확인해야 한다. 백신 프로그램을 최신 버전 유지하고 주기적으로 핸드폰과 컴퓨터를 검사하는 것도 필요하다.

피싱범들은 주로 불특정 다수에게 문자나 이메일로 피싱사이트 URL을 보내 피해자의 접속을 유도한다. 최근에는 사회관계망서비스(SNS)나 유튜브 광고를 통해 피싱사이트 접속을 유도하는 사례도 늘고 있다. 심지어 피싱사이트 URL을 포털 사이트 상단에 노출하기 위해 유료 광고를 하기도 한다.

강병탁 대표는 “구글 검색 등을 했을 때 맨 위에 나오는 URL을 무조건 맹신하지 말아야 한다”며 “피싱범들이 피싱사이트를 유료 등록해두면 (검색 결과) 상단에 나타나기 때문”이라고 밝혔다. 강 대표는 “확실하지 않은 주소다 싶으면 그 도메인을 다시 네이버나 구글에 검색해보는 과정이 꼭 필요하다”고 조언했다.

정답: 오른쪽 화면이 진짜 네이버 로그인 화면이다.

참고한 판결문: 서울남부지방법원 2021고단3672