최근의 해킹은 기술적인 침투보다 사람의 심리를 이용하는 '사회 공학적 해킹'이 주를 이룹니다. 그중 가장 흔하고 강력한 수단이 바로 **이메일 피싱(Phishing)**입니다. "비정상적인 로그인이 감지되었습니다", "결제가 완료되었습니다"와 같은 긴급한 메시지로 사용자를 속여 비밀번호를 탈취하는 수법이죠. 오늘은 교묘해진 피싱 이메일을 1초 만에 가려내는 실전 식별법을 공개합니다.
[1. 보낸 사람의 '도메인'을 확인하세요]
해커는 보낸 사람의 이름을 'Google 보안팀', 'Netflix 지원센터'처럼 꾸밀 수 있습니다. 하지만 실제 이메일 주소(도메인)까지 완벽하게 속이기는 어렵습니다.
가짜 주소 예시:
security-noreply@google-support.com(정상은no-reply@accounts.google.com)알파벳 눈속임:
nletflix.com(l 대신 i를 넣음)이나micros0ft.com(o 대신 0을 넣음)처럼 철자를 미세하게 바꾼 주소를 주의 깊게 살펴야 합니다.
[2. 링크 클릭 전 '마우스 오버'의 습관]
이메일 본문에 있는 "로그인하여 확인하기"나 "결제 취소" 버튼을 바로 누르지 마세요.
확인 방법: PC라면 마우스 커서를 버튼 위에 살짝 올리고(클릭 금지), 브라우저 왼쪽 하단에 뜨는 **'실제 연결 주소'**를 확인하세요. 만약 버튼 텍스트는 공식 홈페이지인데, 연결 주소가 이상한 난수(예:
bit.ly/xxxx또는short.url/xxxx)라면 100% 피싱입니다.
[3. 경험담: "애플 결제 완료" 메일에 속을 뻔한 사연]
저도 한때 "Apple ID로 15만 원이 결제되었습니다. 본인이 아니라면 아래 링크를 클릭해 취소하세요"라는 메일을 받은 적이 있습니다. 결제된 적이 없으니 당황해서 즉시 취소 버튼을 누르려 했죠. 하지만 숨을 고르고 보낸 주소를 확인하니 애플 공식 주소가 아닌 개인 메일 주소였습니다. 해커는 사용자의 '공포와 당급함'을 이용해 이성적인 판단을 흐리게 만듭니다.
[4. 첨부파일은 '독이 든 사과'입니다]
"인보이스(송장)", "저작권 위반 안내문"이라며 첨부된 .zip이나 .html, 심지어 .pdf 파일도 주의해야 합니다.
위험성: 파일을 여는 순간 악성 코드가 설치되어 내 키보드 입력을 가로채는 '키로거'가 작동할 수 있습니다. 모르는 발신자가 보낸 첨부파일은 절대 실행하지 말고, 백신 프로그램으로 먼저 검사하는 습관이 필요합니다.
[5. 공식 앱이나 사이트로 직접 접속하기]
가장 안전한 대처법은 이메일 내부의 링크를 아예 무시하는 것입니다.
만약 네이버 계정 보안이 걱정된다면, 메일의 링크를 누르지 말고 브라우저에 직접
naver.com을 입력해 접속한 뒤 알림 내역을 확인하세요. 공식 앱을 통해 들어가는 것이 피싱 사이트로 연결되는 경로를 원천 차단하는 유일한 길입니다.
[핵심 요약]
이메일 보낸 사람의 이름이 아닌, 실제 이메일 주소의 도메인이 공식 주소와 일치하는지 대조하세요.
링크나 버튼을 누르기 전, 마우스 커서를 올려 실제 연결되는 URL 주소를 미리 확인하는 습관을 들여야 합니다.
결제나 보안 관련 경고 메일은 심리적 압박을 주어 클릭을 유도하므로, 일단 의심부터 하는 자세가 필요합니다.
메일의 링크를 통하지 않고, 공식 홈페이지나 전용 앱으로 직접 접속하여 상태를 확인하는 것이 가장 안전합니다.
![[9편] 자동화 입문: 재피어(Zapier)로 단순 반복 업무 자동화하기](https://4.bp.blogspot.com/-O3EpVMWcoKw/WxY6-6I4--I/AAAAAAAAB2s/KzC0FqUQtkMdw7VzT6oOR_8vbZO6EJc-ACK4BGAYYCw/w680/nth.png)
0 댓글