6월 호

NHN 커머스 - 보안캠페인

모르면 당하는 온라인 피싱 수법 A to Zㅣ보안 캠페인 6월호

안녕하세요, NHN커머스 보안 캠페인 6월 호입니다.

이번 호에선 쇼핑몰 운영자를 위협하는 온라인 피싱 수법 A to Z에 대한 내용을 안내해 드리고, 대처법까지 안내해 드릴게요.

해당 캠페인을 통해 온라인 피싱 피해를 완벽 방어하는 보안의 달인이 되어보아요.

---

이거 하나만 신경 써도 막을 수 있는데...

이 메일을 읽는 운영자분은 피싱으로 인해 개인정보 유출 사건을 겪으신 적이 있으신가요? 최근 공공기관에서의 개인정보 유출은 작년 대비 7배 이상 상승하였고, 회원 정보를 100만 건 이상 보유한 대형 기업에서도 잇달아 개인정보 유출 사례가 일어나고 있어요. 이런 유출 사고는 어떻게 일어나는 걸까요? 어떤 천재적인 글로벌 해킹 집단의 소행일까요?

하지만 놀랍게도, 50% 이상의 개인정보 유출 사고는 관리자의 부주의, 실수로 발생한다고 합니다. 보안상 허점을 이용한 직접적인 해킹 공격으로 인한 유출 사례는 많지 않다고 해요.

이런 상황 속에서, 우리는 정말 개인정보 유출을 완벽하게 방어하고 있는 걸까요? 여러 가지 피싱 수법 중, 메일로 발생하는 피싱 수법에 대해 알아보아요.

ㅣ특정 대상을 노리는 은밀한 일격 '스피어 피싱'

스피어 피싱 이메일 사례

조직 내의 신뢰할 만한 발신인으로 위장하여 개인정보를 요구하는 '스피어 피싱'은 정보책임 관리자 개인을 표적으로 하는 피싱 수법이에요. 특히나 나의 직속 상사나, 회사 관리부를 사칭하는 메일은 바쁜 업무 속에서 조작된 메일임을 파악하지 못할 수 있어요. 특히나 요새는 AI 기술의 발전으로 메일 서명, 사진 또는 회의 영상까지 모방할 정도로 알아채기 어려워요.

따라서 어떤 메일이라도 개인정보가 포함된 파일이나 내용을 공유할 것을 요구받는다면, 반드시 유선 연락을 통해 확인해 보도록 해요.

ㅣ공공기관을 사칭한 링크 클릭 유도

최근 북한 해킹단체에서 국내 공공기관 명을 사칭하여 링크 클릭을 유도하는 메일을 불특정 다수에게 전송한 적이 있었어요. 크게 피해 사례는 보고되지 않았지만, 공공기관을 사칭하여 협조 요청 공문 등의 양식을 복제하여 보내지는 피싱 메일을 주의해야 해요.

공공기관 사칭 스피어 피싱 사례

이런 사칭 피싱 메일을 예방하기 위해선 항상 메일 주소를 확인하는 습관을 지녀야 해요. 보내는 사람을 수정하여 사칭하는 경우는 많지만, 메일 주소는 사칭하기 어렵기 때문이에요. 개인정보를 요구하거나 수상한 링크를 클릭하도록 유도한다면 꼭 메일주소를 확인해 보아요.

*NHN커머스 보안캠페인은 운영자님에게 비밀번호 등 개인정보를 요구하지 않아요. 커머스 사이트로 이동하는 경우 URL과 보안 인증서를 확인해 주세요.

---

익숙한 페이지에서 난데없는 로그인 페이지가..?

ㅣ유명 사이트 로그인 페이지를 사칭한 피싱 공격

지난 5월, 한 유명 베이커리의 홈페이지가 해킹 공격을 받아 홈페이지 접속 시 유명 포털 사이트 로그인 페이지를 사칭한 해킹 페이지로 연결된 피해 사례가 있어요. 이로 인한 해킹 피해는 무려 191만 건 이상의 로그인 아이디와 개인정보가 유출된 것으로 파악되고 있어요. 하지만, 이번 보안 캠페인을 읽으신 운영자분이라면 이런 해킹 공격을 손쉽게 방어할 수 있을 거예요.

유명 페이지 사칭 스피어 피싱 사례

해당 해킹 공격은 위와 같은 방식으로 진행되었는데요. 내가 자주 방문하던 웹사이트, 혹은 유명 웹사이트에서 갑자기 뜬금없는 타 포털 로그인을 요구한다면, 도메인과 보안서버를 먼저 확인해 보도록 해요.

보안서버 확인 예시

도메인이 원래 방문하려던 사이트와 일치하는 도메인인지, 해당 도메인으로 인증된 보안서버 인증서가 있는지 확인한다면 대부분의 피싱 사이트 공격은 방어할 수 있어요. 아래 이미지를 참고하여 URL과 보안서버를 확인하는 방법을 알아보아요.

브라우저 별 보안서버 확인 방법

지난 5월 호에선 보안서버를 설치하는 방법을 알려드렸는데요. 만약 보안서버를 제대로 설치하지 않았더라면 내 쇼핑몰도 피싱 사이트라는 오해를 받을 수 있겠죠? 운영자님의 소중한 쇼핑몰을 위해 꼭! 보안서버를 설치해 주세요. *보안서버 설치를 위해선 먼저 내 쇼핑몰에 도메인을 적용해야 합니다. NHN커머스의 도메인과 보안서버 서비스를 자세히 알아보고 싶다면 다음 링크를 참조해주세요. -고도몰: 도메인 가이드, 보안서버 가이드 -샵바이: 도메인/보안서버 가이드

---

안전한 쇼핑몰 운영을 위한 기본 보안 수칙

🔒 관리자 계정에 다른 사이트에서 사용하는 로그인 정보 사용은 피해주세요.

🔒 연속된 숫자나 문자, 개인정보의 일부 등 예상하기 쉬운 비밀번호는 위험해요.

🔒 권장 비밀번호 변경 주기는 3개월!

🔒 공용 PC 등에 로그인 정보가 자동 저장되지 않았는지 반드시 확인해주세요.

🔒 신뢰할 수 없는 웹사이트는 방문하지 않아요.

🔒 운영체제 보안 업데이트, 백신 설치 등 PC 보안도 항상 관리해주세요.