네이버 멤버십 공식 메일·보안 화면 흉내낸 피싱 공격 확산

실제 보안 페이지까지 정교 복제

[파이낸셜뉴스] 네이버 이용자 계정 비밀번호를 노린 정교한 피싱 공격이 확산됐다. 정상 결제 안내 메일과 보안 페이지를 거의 그대로 복제해 이용자가 이미 로그인된 상태라고 착각하도록 설계됐다.

17일 ICT 업계에 따르면 네이버는 최근 '멤버십 결제 완료'라는 제목으로 네이버플러스 멤버십 결제 안내 메일을 사칭한 피싱 메일이 유포되고 있다며 이용자들에게 주의를 당부했다.

피싱 메일은 외형만 보면 실제 네이버가 보내는 결제 안내 메일과 구별하기 쉽지 않은 수준이다. 상품명과 결제 금액, 이용 기간 등 주요 정보 배치가 실제 안내 메일과 동일하게 구성됐고, 본문 안에는 '마이 멤버십으로 이동' 버튼까지 넣어 자연스럽게 클릭을 유도했다.

이용자가 해당 버튼을 누르면 네이버가 아닌 공격자가 만든 피싱 도메인으로 연결되며, 이 페이지는 실제 네이버 ID 보안 설정 화면과 거의 같은 디자인으로 꾸며졌다. 일반 로그인 화면이 아니라 '보안을 위해 비밀번호를 다시 입력해 달라'는 비밀번호 재확인 화면처럼 위장한 점이 특징이다.

이용자는 이미 로그인된 상태에서 추가 인증만 요구받는다고 착각하기 쉽고, 자연스럽게 비밀번호를 입력하게 된다. 입력된 정보는 네이버 서버가 아니라 공격자의 서버로 전송됐다.

피싱 페이지 접속 시 수신자의 이메일 주소를 활용해 아이디가 이미 자동 입력된 것처럼 보이도록 구성했다. 이용자가 '내 계정 정보가 이미 표시되니 정상 페이지겠지'라고 오인할 가능성을 노린 장치다.

네이버가 확인한 피싱 메일은 최소 두 가지 버전이다. 결제일과 버튼 색상이 서로 다르게 제작됐는데, 이는 대량 발송형 피싱 캠페인에서 자주 나타나는 방식이다. 동일한 내용이라도 형태를 조금씩 바꿔 보안 필터 탐지를 피하고 클릭률을 높이려는 의도로 해석된다.

정상 메일과 구별할 수 있는 흔적도 있다. 피싱 메일 제목 앞에는 공식 안내에서 사용하지 않는 영문 'MemberShip' 태그가 붙어 있었고, 발신자 주소 역시 네이버 공식 도메인인 '@navercorp.com'이 아니었다.

네이버는 이미 계정 정보를 입력한 이용자에게 즉시 비밀번호를 변경하라고 안내했다.

같은 아이디와 비밀번호 조합을 다른 사이트에서도 사용 중이라면 해당 계정 정보도 모두 바꾸라고 권고했다.

이용자들이 가장 먼저 확인해야 할 부분은 발신자 이메일 주소 전체와 공식 아이콘 표시 여부다. 메일 본문 디자인이 익숙하다는 이유만으로 링크를 누르면 계정 탈취 피해로 이어질 수 있다.

jjw@fnnews.com 정지우 기자