본문 바로가기
IT 소식/해킹 & 보안

[해킹] "문자 속 URL 절대 클릭하지 마세요"

$ecu_Log 2025. 9. 21.

1. 주제

1.1. 제목 

진짜보다 더 진짜 같은 가짜: 지능화되는 URL 피싱 공격의 위협

 

1.2. 핵심 요약 

사건/기술: 신뢰할 수 있는 기업, 기관을 사칭하여 악성 URL 링크가 포함된 이메일, 문자 메시지를 유포하는 '피싱' 공격

피해/영향: 가짜 웹사이트에 접속한 사용자의 계정 정보(ID, 비밀번호), 금융 정보 등 민감 데이터 탈취 및 2차 피해 발생

핵심 원인/기술: 정상 사이트와 구별하기 어려운 가짜 웹사이트 제작, 사용자의 신뢰와 긴급한 상황을 이용하는 사회 공학적 기법

2. 주요 내용

악성 URL 링크를 이용한 공격은 대표적으로 두 가지 형태로 나눌 수 있습니다. 첫째는 사용자의 시스템을 직접 감염시키거나 장악하는 '악성 프로그램 설치' 유도이며, 둘째는 민감 정보를 직접 훔쳐내는 '피싱 사이트 접속' 유도입니다.

최근 공격자들은 특히 후자인 피싱 사이트를 통해 사용자가 신뢰할 수밖에 없도록 교묘한 방법을 사용합니다. 예를 들어, "비밀번호가 곧 만료됩니다", "비정상적인 로그인 시도가 감지되었습니다"와 같은 긴급한 조치가 필요한 것처럼 보이는 메시지를 보내 사용자의 불안 심리를 자극합니다. 사용자가 이 메시지에 포함된 링크를 클릭하면, 실제 공식 사이트와 디자인, 주소까지 매우 흡사하게 만들어진 가짜 로그인 페이지로 이동하게 됩니다. 사용자가 여기에 자신의 계정 정보를 입력하면, 이 정보는 고스란히 공격자에게 전송되어 계정 탈취나 금융 사기 등에 악용됩니다.

https://www.dailysecu.com/news/articleView.html?idxno=200654

 

2차 소비쿠폰 스미싱 경보 발령…“문자 속 URL 절대 클릭하지 마세요” - 데일리시큐

금융당국이 2차 민생회복 소비쿠폰 지급 기간(9월 22일~10월 31일)에 맞춰 스미싱 범죄 시도가 급증할 것으로 예상된다며 소비자경보 수준을 ‘주의’에서 ‘경고

www.dailysecu.com

 

3. 핵심 이슈 및 기술 

3.1. 사건의 전개 / 기술의 원리

  1. 공격자는 사용자들이 자주 사용하는 서비스(은행, SNS 등)의 로그인 페이지를 그대로 복제하여 가짜 웹사이트를 제작합니다.
  2. 이메일이나 문자 메시지를 통해 "계정 보호를 위해 본인 인증을 완료하세요" 와 같은 메시지와 함께 가짜 웹사이트로 연결되는 URL을 전송합니다
  3. 사용자는 공식적인 알림으로 착각하고 링크를 클릭합니다
  4. 진짜와 구별이 어려운 가짜 로그인 페이지가 나타나고, 사용자는 의심 없이 ID와 비밀번호를 입력합니다
  5. 입력된 정보는 정상적인 로그인에 사용되는 대신, 공격자가 미리 설정해 둔 서버로 전송 및 저장됩니다

3.2. 사용된 공격 기법 / 핵심 기술

사회 공학 (Social Engineering): 시스템의 취약점이 아닌 사람의 심리적 허점을 공략하는 기법. 신뢰, 권위, 긴급함 등을 이용해 사용자가 스스로 정보를 노출하도록 유도합니다

사이트 클로닝 (Site Cloning): 실제 웹사이트의 HTML, CSS를 그대로 복사하여 매우 짧은 시간 안에 감쪽같은 가짜 사이트를 만들어내는 기술입니다

4. 개인 생각

URL 피싱 공격의 핵심은 기술보다 심리에 있는 것 같습니다. 아무리 뛰어난 보안 시스템을 갖추고 있더라도, 사용자들이 스스로 악성 링크를 클릭하고 정보를 입력하면 속수무책으로 당할 수밖에 없습니다. 특히 최근에는 QR코드를 이용한 '큐싱'처럼 공격 매체를 다양화하여 기존의 URL 필터링 시스템을 우회하는 등의 공격 기법이 끊임없이 진화하고 있습니다. 공격자들이 방어 체계의 허점을 집요하게 파고들고 있음을 의미하고 기술적 방어만큼이나 사용자의 보안 의식 수준을 높이는 것이 얼마나 중요한지를 보여줍니다.

5. 향후 전망 및 대응 방안

개인: 링크를 클릭하기 전에 실제 연결되는 주소를 확인하는 습관을 들여야 합니다. 출처가 불분명한 이메일이나 메시지의 링크는 절대 클릭하지 않고 MFA 인증을 활성화하여 계정 보안을 강화해야 합니다.

 

기업: URL 필터링뿐만 아니라, 발신자 정보나 이메일의 맥락을 분석하는 AI 기반 보안 솔루션을 도입하고, 전 직원을 대상으로 주기적인 피싱 대응 훈련을 실시해야 합니다.

 

이번 글에서는 진화하는 URL 피싱 공격의 위험성과 그 원리에 대해 알아보았습니다. 이러한 공격들은 결국 사용자를 속여 민감한 로그인 정보를 빼앗는 것을 최종 목표로 합니다.

 

다음 글에서는 직접 어떻게 로그인 정보가 탈취되는지 실습해보며 알아보겠습니다

저작자표시 비영리 변경금지 (새창열림)

'IT 소식 > 해킹 & 보안' 카테고리의 다른 글

Google Gemini 트리펙타 취약점  (0) 2025.10.02
국가정보자원관리원 화재 사건  (0) 2025.09.29
[해킹] 간편 로그인으로 로그인 했더니 해킹 당하다?  (0) 2025.09.19
[해킹] 수도권 KT 이용자 타겟 소액결제 피해 급증, 국내 첫 '가짜 기지국' 공격 현실화되나?  (0) 2025.09.10
[해킹]금융기관을 대상으로 블라인드 모의해킹 훈련에 착수  (0) 2025.09.07

'IT 소식/해킹 & 보안' 관련글

티스토리툴바