“결제 완료” 네이버 멤버십 피싱 메일 기승…클릭 순간 계정 털린다

네이버플러스 멤버십 피싱 메일. 네이버 시큐리티 블로그 캡처

네이버 플러스 멤버십 결제 안내 메일을 사칭해 이용자 계정 정보를 탈취하려는 피싱 메일이 확산하고 있어 주의가 요구된다. 실제 결제 알림과 비슷하게 꾸며 계정 정보를 빼내려는 수법이다.

17일 정보통신기술 업계에 따르면 네이버는 최근 자사 실제 네이버플러스 멤버십 결제 메일을 모방한 피싱 메일 사례를 확인하고 이용자 대상 보안 안내를 공지했다.

문제가 된 메일은 ‘[MemberShip] 멤버십 결제 완료’, ‘[MemberShip] 결제 완료 ’ 등의 제목을 사용해 공식 안내 메일처럼 보이도록 제작됐다.

메일 본문에 포함된 ‘마이 멤버십으로 이동’ 버튼을 클릭하면 피싱 사이트로 이동해 비밀번호 입력을 유도하는 방식이다.

이번 사례에서는 결제일과 버튼 디자인만 다르게 구성된 두 종류의 메일이 함께 발견됐다. 버튼 색상이나 결제 날짜 등 세부 구성은 달랐지만 전체적인 형식은 동일했다. 이러한 방식은 대규모로 피싱 메일을 발송하는 캠페인의 특징이다.

두 가지 메일 모두 상품명·결제금액·이용기간 등 실제 네이버 플러스 멤버십 안내와 비슷하게 적혀 있어 이용자가 정상 메일로 오인하기 쉽다. 다만 세부 내용을 보면 공식 메일과 차이가 있다.

우선 정상적인 네이버 플러스 멤버십 결제 안내 메일의 제목과 달리 피싱 메일은 제목 앞에 영문 ‘[MemberShip]’ 문구가 붙어 있으며, 발신 주소도 공식 도메인 ‘@navercorp.com’이 아닌 다른 도메인 ‘@uitc.com.sg’을 사용하고 있는 것으로 확인됐다.

또 메일 본문 속 ‘마이 멤버십으로 이동’ 버튼을 클릭하면 네이버 계정 페이지와 유사하게 꾸며진 외부 사이트로 이동한다. 공식 네이버 서비스는 ‘nid.naver.com’ 도메인에서만 계정 정보를 요구하지만, 해당 사이트는 ‘membership.ink’ 라는 전혀 다른 도메인을 사용하고 있는 것으로 나타났다.

멤버십 사칭 피싱 메일 본문 내 연결 URL. 네이버 시큐리티 블로그 캡처

특히 이 사이트는 접속 시 수신자의 이메일 계정이 자동 입력된 것처럼 보이게 설계됐다. 이용자가 이미 로그인된 상태라고 착각하게 만들어 경계심을 낮추려는 의도로 풀이된다.

화면 역시 일반 로그인 창이 아니라 ‘비밀번호 재확인’ 형태로 구성됐다. 보안 확인 절차처럼 보이게 해 비밀번호를 다시 입력하도록 유도하는 방식이다.

이 과정에서 입력된 정보는 실제 네이버 서버가 아닌 공격자 서버로 전달되는 것으로 파악됐다. 네이버는 해당 피싱 사이트(membership.ink)가 지난 8일에도 운영 중인 것이 확인돼 각별한 주의를 요구했다.

네이버는 의심스러운 메일을 받았을 경우 링크를 누르지 말고 메일을 즉시 삭제해야 하며, 결제 여부는 반드시 공식 홈페이지에서 직접 확인해야 한다고 강조했다.

또 이미 계정 정보를 입력했다면 네이버 비밀번호를 즉시 변경하고, 동일한 아이디와 비밀번호를 사용하는 다른 네이버 사이트 계정도 함께 수정할 필요가 있다고 설명했다.

이와 함께 계정 보안을 위해 2단계 인증 설정을 권고했으며, 피싱이 의심되는 경우 웨일 브라우저·네이버 앱·네이버 세이프 브라우징 기능 등을 활용해 피해를 예방할 수 있다고 안내했다.

한편 최근 메신저 서비스 카카오톡의 공식 다운로드 페이지를 위장한 피싱 사이트를 제작·유포한 사례도 확인됐다. 해당 사이트는 구글과 마이크로소프트의 검색 엔진인 빙 등을 통해 검색 결과 상단에 노출되며, 이용자가 악성코드가 포함된 설치 파일을 정상 프로그램으로 오인해 내려받도록 유도한 것으로 확인됐다.

서다희 기자 happiness@kyeonggi.com