피싱과 사회공학 식별하기

🔄 이전 레슨 복습: 이전 레슨에서 강력한 비밀번호를 만들고 비밀번호 관리자를 설정하는 법을 배웠어요. 이제 강한 비밀번호와 2FA도 우회할 수 있는 위협 — 피싱과 사회공학 — 을 다뤄요.

인간이 가장 큰 취약점

아무리 강한 비밀번호를 써도, 공격자가 여러분을 속여서 직접 비밀번호를 넘기게 만들면 소용없어요. 이것이 피싱이에요.

한국에서는 택배 사칭 문자(“CJ대한통운 배송 확인”), 금융기관 사칭(“국민은행 보안 업데이트”), 정부기관 사칭(“국세청 환급금 조회”) 피싱이 특히 많아요.

피싱의 작동 방식

피싱은 4단계로 작동해요:

1. 미끼(Bait) — 긴급하거나 매력적인 메시지를 보내요
2. 갈고리(Hook) — 링크를 클릭하거나 정보를 입력하게 유도해요
3. 함정(Trap) — 가짜 웹사이트에서 로그인 정보를 수집해요
4. 수확(Catch) — 실제 계정에 로그인해서 정보를 탈취해요

왜 작동하는지: 감정(공포, 긴급함, 탐욕)이 이성적 판단을 무력화해요.

피싱 이메일의 7가지 위험 신호

가짜 웹사이트 식별하기

URL을 주의 깊게 확인하세요:

서브도메인 트릭: naver.com.fake-site.xyz에서 실제 도메인은 fake-site.xyz예요. 항상 마지막 .com / .co.kr 앞의 도메인을 확인하세요.

이메일 너머의 사회공학

보이스 피싱 (전화 사기)

한국에서 특히 심각한 문제예요. 검찰, 금감원, 은행을 사칭해서 전화하는 경우가 많아요.

방어: 정부기관이나 금융기관은 전화로 개인정보나 금전을 요구하지 않아요. 의심되면 끊고 해당 기관의 공식 번호로 직접 전화하세요.

스미싱 (문자 사기)

“[CJ대한통운] 배송 불가. 주소 확인: bit.ly/xxx” 같은 문자가 대표적이에요.

방어: 문자의 링크를 절대 클릭하지 마세요. 해당 서비스 앱에서 직접 확인하세요.

프리텍스팅 (사칭)

동료, 상사, IT 부서를 사칭해서 정보를 요청해요.

방어: 비정상적인 요청은 별도 채널(전화, 직접 만남)로 확인하세요.

검증 습관

핵심 규칙: “받은 정보에 따라 행동하지 마세요. 스스로 찾은 정보에 따라 행동하세요.”

• 은행에서 이메일이 왔다면? → 은행 앱에서 직접 확인
• 배송 문자가 왔다면? → 택배 앱에서 직접 확인
• 회사에서 비밀번호 변경 요청이 왔다면? → IT 부서에 직접 전화

AI가 피싱을 진화시키고 있어요

AI가 피싱을 더 정교하게 만들고 있어요:

• 완벽한 문법과 맞춤법으로 작성된 사기 메시지
• 개인화된 내용 (SNS에서 수집한 정보 활용)
• 딥페이크 음성으로 지인 사칭

하지만 검증 습관은 여전히 유효해요 — 메시지가 아무리 진짜처럼 보여도, 직접 확인하면 피싱을 차단할 수 있어요.

피싱 대응 절차

1. 멈추세요 — 즉각적인 행동을 하지 마세요
2. 확인하세요 — 발신자 주소, URL, 요청 내용을 검토하세요
3. 평가하세요 — 이 요청이 합리적인가? 예상했던 건가?
4. 독립적으로 검증하세요 — 공식 웹사이트나 앱에서 직접 확인하세요
5. 신고하세요 — 피싱으로 확인되면 해당 서비스에 신고하세요
6. 삭제하세요 — 피싱 메시지를 삭제하세요

핵심 정리

• 피싱은 기술이 아닌 감정(긴급함, 공포)을 이용해요 — 침착함이 최고의 방어예요
• “받은 정보에 따라 행동하지 말고, 직접 찾은 정보에 따라 행동하세요” — 이 검증 습관이 모든 피싱을 차단해요
• 한국에서는 택배 사칭 문자, 보이스 피싱, 금융기관 사칭이 특히 많으니 주의하세요
• AI가 피싱을 더 정교하게 만들고 있지만, 검증 습관은 여전히 유효해요
• URL의 실제 도메인을 확인하는 습관을 들이세요 — 서브도메인 트릭에 속지 마세요

다음 레슨: 기기 보안 — 스마트폰, 노트북, 태블릿에 필수 보안 설정을 적용해요.