카카오 계정 이전 메일을 받았다면? 이것부터 확인하세요

카카오 계정 이전 메일을 받았다면? 이것부터 확인하세요

최근 카카오 공식 안내 메일처럼 보이도록 꾸며진 계정 이전 안내 피싱 메일이 확인됐다. 해당 메일은 사용자의 카카오 계정이 이전될 예정이라는 내용으로 불안감을 유도하고, 본문에 포함된 ‘계정이용 확인’ 링크 클릭을 유도한다. 사용자가 연결된 피싱 페이지에서 이메일 계정과 비밀번호를 입력하면, 입력한 자격 증명 정보가 공격자가 제어하는 외부 서버로 전송될 수 있다. 이번 글에서는 카카오 계정 이전 안내 메일을 가장한 피싱 수법과 사용자가 주의해야 할 점을 살펴보자.

로그인 페이지 같지만 목적은 계정 정보 탈취

카카오 계정은 메신저, 포털, 각종 온라인 서비스와 연결돼 있어 공격자들이 자주 노리는 계정 중 하나다. ASEC은 최근 대북 관련 인사를 대상으로 한 카카오 위장 피싱 메일을 확인했다. 이번 피싱 메일은 카카오 계정 이전 안내로 위장해 사용자의 불안감을 자극하고, ‘계정이용 확인’을 명목으로 본문 링크 클릭을 유도했다. ‘계정 이전’, ‘이용 확인’, ‘보안 확인’처럼 사용자의 행동을 재촉하는 문구는 피싱 메일에서 자주 활용되는 키워드다.

[그림 1] 카카오 계정 이전 안내로 위장한 피싱 메일 본문

그러나 해당 문구에 삽입된 하이퍼링크를 클릭하면 카카오 계정 관리 사이트를 모방한 피싱 사이트로 이동한다. 피싱 사이트에는 이메일 입력란과 비밀번호 입력란이 표시되며, 사용자가 이를 정상적인 계정 확인 절차로 오인해 정보를 입력할 경우 자격 증명 정보가 외부로 전송될 수 있다. 이처럼 공격자는 실제 서비스의 로고와 안내 문구를 활용해 사용자의 의심을 낮추기 때문에, 메일 화면의 디자인만으로 정상 여부를 판단해서는 안 된다.

피싱 페이지에서 확인해야 할 것들

메일 본문 링크를 통해 열린 로그인 페이지라면, 화면이 익숙하게 보이더라도 바로 정보를 입력해서는 안 된다. 특히 계정 이전 확인, 비밀번호 확인, 보안 점검처럼 보이는 절차는 실제로는 자격 증명 정보 탈취를 위한 입력 단계일 수 있다.

따라서 계정, 비밀번호, 인증번호처럼 민감한 정보를 요구하는 페이지에서는 먼저 주소창의 도메인이 공식 서비스와 일치하는지 확인해야 한다. 의심스럽다면 메일 본문 링크를 그대로 이용하지 말고, 공식 앱이나 공식 웹사이트를 통해 다시 접속하는 것이 안전하다.

[그림 2] 피싱 페이지 예시

정상 웹사이트 경로를 악용한 피싱 페이지

이번 사례에서 피싱 페이지는 일반적인 무료 호스팅 사이트가 아니라, 정상적으로 운영 중인 웹사이트의 서버가 악용된 형태로 확인됐다. 공격자는 정상 웹 사이트를 침해한 뒤, 해당 서버 안에 피싱 페이지를 생성해 사용자가 의심하지 않도록 만든 것으로 보인다.

이 경우 사용자는 URL에 완전히 낯선 도메인이나 조잡한 문자열이 보이지 않더라도 속을 수 있다. 피싱 페이지가 정상 웹사이트의 일부 경로처럼 보이면, 사용자가 이를 신뢰할 가능성이 높아지기 때문이다.

따라서 화면 구성이 익숙하거나 접속한 주소가 낯설지 않게 보이더라도, 로그인 정보를 입력하기 전에는 반드시 공식 서비스 주소인지 확인해야 한다. 특히 계정, 비밀번호, 인증번호처럼 민감한 정보를 요구하는 페이지라면 메일 본문 링크를 그대로 이용하지 말고, 공식 앱이나 공식 웹사이트를 통해 다시 접속하는 것이 안전하다.

인코딩돼 외부로 전송되는 계정 정보

분석 결과, 피싱 페이지 내부에는 사용자가 입력한 이메일 계정과 비밀번호를 외부로 전송하는 코드가 포함돼 있었다. 입력 정보는 전송 과정에서 알아보기 어려운 형태로 변환된 뒤, 공격자가 제어하는 외부 서버로 전달되는 구조였다.

일반 사용자는 이런 내부 동작을 직접 확인하기 어렵다. 핵심은 피싱 페이지가 가짜 로그인 화면을 보여주는 데 그치지 않고, 사용자가 입력한 정보를 실제로 수집하고 전송하도록 설계될 수 있다는 점이다. 그렇기 때문에 메일 본문 링크를 통해 열린 로그인 페이지에서는 평소보다 더 신중하게 접근해야 한다.

카카오 계정 보호를 위한 대응 방법

계정 관련 안내 메일을 받았다면 다음 사항을 확인해야 한다.

1) 발신자 주소 확인

보낸 사람 이름이 ‘카카오팀’ 또는 ‘Kakao’처럼 표시되더라도 실제 이메일 주소가 공식 도메인인지 확인해야 한다. 보낸 사람 이름은 쉽게 위장될 수 있어, 표시된 이름만 보고 정상 메일로 판단해서는 안 된다.

2) 메일 본문 링크 바로 클릭 금지

계정 확인이나 비밀번호 확인을 요구하는 메일이라면, 링크 위에 마우스를 올려 실제 연결 주소를 먼저 확인해야 한다. 의심스럽다면 메일의 링크를 누르지 말고, 브라우저나 공식 앱에서 직접 카카오 계정 관리 페이지에 접속하는 것이 안전하다.

3) 로그인 정보 입력 전 URL 확인

화면이 카카오 계정 관리 페이지처럼 보이더라도 주소창의 도메인이 공식 서비스와 일치하는지 확인해야 한다. 낯선 도메인이나 불필요하게 긴 URL, 의미를 알 수 없는 경로가 포함된 경우에는 계정 정보를 입력하지 않아야 한다.

4) HTTPS와 자물쇠 아이콘 확인

민감 정보를 입력하기 전에는 페이지의 보안 인증(HTTPS, 자물쇠 아이콘)을 확인하고, 의심스러운 경우 절대 정보를 입력하지 않도록 한다.

5)    비밀번호를 입력했다면 즉시 변경

피싱이 의심되는 페이지에 계정 정보를 입력했다면, 즉시 공식 카카오 계정 페이지에서 비밀번호를 변경해야 한다. 동일한 비밀번호를 사용하는 다른 서비스가 있다면 함께 점검하고, 가능하면 2단계 인증 등 추가 보안 설정도 적용하는 것이 좋다.

6) 의심 메일은 삭제하거나 보안 담당자에게 전달

회사 메일로 수신한 경우 임의로 링크를 클릭하거나 첨부 파일을 열지 말고, 내부 보안 담당 부서에 신고해야 한다. 개인 메일로 수신했더라도 링크 접속이나 정보 입력은 피하는 것이 안전하다.

이번 사례는 공격자가 익숙한 브랜드와 계정 안내 문구를 활용해 사용자의 행동을 유도한 피싱 공격이다. 계정이 이전된다는 문구는 사용자의 불안감을 자극하기 쉽고, 정상적인 계정 확인 절차처럼 보이는 화면은 로그인 정보 입력을 유도할 수 있다.

하지만 계정 관련 안내 메일일수록 더 신중하게 확인해야 한다. 메일의 디자인보다 발신자 주소와 실제 URL을 먼저 확인하고, 로그인 정보는 반드시 공식 앱이나 공식 웹사이트에서만 입력해야 한다. 작은 확인 습관이 계정 탈취 피해를 막는 가장 기본적인 방어 수단이다.

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.