관리 메뉴

메대리's DIARY

[기업메일] 피싱 이메일을 잡아내는 10가지 방법 본문

기업메일/기능 활용팁

[기업메일] 피싱 이메일을 잡아내는 10가지 방법

친절한 메일플러그 공식블로그 2013.12.12 09:41




안녕하세요, 정은킴입니다. 지난 주 화요일, 미국의 한 IT 관련 뉴스 매체에서는 '피싱 이메일을

잡아내는 10가지 방법'에 대한 기사가 보도되었습니다. 미국은 물론, 우리나라를 포함해 전세계적

으로 피싱 이메일에 의한 피해가 크게 증가하고 있는 만큼 여러분들께서도 피싱 이메일 피해를 방지

하기 위해 읽어두시면 좋을 것 같습니다. 본격적으로 기사 내용을 번역하기 전에, 여러분들께 '피싱'

의 사전적인 정의에 대해 짧게 말씀 드리겠습니다.



피싱(Phishing)은 금융기관 등을 사칭해 불특정 다수에게 이메일을 발송, 허위 사이트로 접속을 

유도해 개인의 카드 정보나 계좌 정보 등을 빼내는 신종 금융 사기입니다. 그럼 이제, 피싱 이메일을

잡아내기 위한 팁을 확인해보겠습니다.




셀 수 없이 많은 피싱 이메일들은 오늘도 어김 없이 '피싱 이메일'이라는 낌새를 느끼지 못한 전세계의 희생자들에게 발송된다. 물론 몇몇 메일들은 사기라는 느낌이 바로 들만큼 티가 나지만, 또 다른

메일들은 매우 설득력이 있어서 의심을 하지 않게 된다. 자, 그럼 피싱 이메일과 피싱이 아닌 이메일을 어떻게 구분해야 할까? 불행하게도 우리는 수많은 피싱 이메일에 모두 작용할 수 있는 보안 기술을 가지고 있지 않다. 그러나 피싱 이메일임을 눈치챌 수 있는 몇 가지 방법들은 있다.


1. 이메일 내용에 맞지 않는 URL이 링크되어있을 때

나는 어떤 메일이 피싱 이메일인지, 아닌지의 여부를 판단할 때, 제일 먼저 이메일 내용에 첨부되어

있는 URL을 확인하는 방법을 사용한다. 대부분의 경우, 피싱 이메일에 포함되어있는 URL은 언뜻

보기에 완벽하게 존재하는 것처럼 보인다. 그러나, 만약 당신의 마우스 커서를 URL 위에 둔다면,

당신은 하이퍼링크로 연결된 '진짜' 주소를 볼 수 있을 것이다. (아웃룩에서 적용해 본 결과임)

만약 하이퍼링크로 연결된 주소가 실제로 보이는 주소와 다를 경우, 그 이메일은 피싱 이메일일

확률이 높다.


2. 이메일 내용에 잘못된 '도메인 네임'이 포함되어 있을 때

피싱 이메일에 속아 넘어 가는 대부분의 희생자들은 '도메인 네임'이 어떻게 구성되어있는지 모르는

경우가 많다. 도메인 네임의 마지막 부분이 모든 것을 설명해준다. 예를 들면, info.brienposey.com

이라는 도메인 네임은 brienposey.com 이라는 도메인의 하위에 속하는 도메인 네임을 가지고 

있다. 왜냐하면, brienposey.com의 오른쪽 끝 부분에 있는 .com이 동일하기 때문이다. 반대로, brienposey.com.maliciousdomai.com 이라는 주소는 brienposey.com의 도메인에서 파생되는

도메인 네임이 아니다. 도메인 네임의 왼쪽 부분이 아니라, 오른쪽 부분에 집중하라!


3. 이메일 내용이 절차와 문법에 맞지 않을 때

규모가 큰 회사(저명한 회사)에서는 이메일을 보낼 때, 메일 내용이 철자 및 문법에 맞는지, 적합성의

여부 등을 철저히 확인한 후 발송한다. 만약 어떤 메일이 형편 없는 문법 오류와 철자에 안 맞는 실수를 범한다면, 그것은 큰 회사에서 발송한 메일이 아닐 것이다.



4.  개인 정보를 요구하는 메일일 때

아무리 이메일 내용이 겉보기에 그럴싸해 보여도, 피싱 이메일은 개인 정보를 요구하는 사인을 보낸다. 당신이 거래하는 은행은 절대로 당신의 계좌번호를 알려달라고 하지 않는다. 은행은 이미 당신의

계좌번호가 무엇인지 잘 알고 있다. 이와 유사하게, 사회적으로 저명한 회사는 절대 당신의 비밀번호와 신용 카드 정보 등에 대한 이메일을 보내지 않는다는 것을 잊지 말아라!


5. 이메일 내용이 현실적으로 '너무' 좋아 보일 때

'어떤 것이 실제보다 너무나 좋을 때, 그것은 좋지 않은 것이다'라는 속담이 있다. 이 속담은 특히 

이메일 상에서 두드러진다. 만약 당신이 모르는 사람이 당신에게 큰 약속을 한다면, 그 메일은 피싱

이메일이다. 예를 들어, 당신과는 생전 연락 한 번 안 했던 나이지리아의 왕자가 왜 갑자기 그의 

나라에 있는 금품을 밀수한다고 하겠는가?


6. 당신이 행하지도 않은 행동일 때

나는 바로 어제, 내가 복권에 당첨되었다는 메일을 받았다. 그러나 문제는, 내가 복권을 사지도 않았

다는 것이다. 만약 당신이 사지도 않은 복권에 당첨되었다는 이메일이 오면, 그 메일은 무조건 피싱

이메일일 것이다.


7. 비용을 납부해달라는 요구를 받았을 때

어떤 메일이 피싱 이메일임을 숨길 수 없는 확실한 사인 중에 하나는 피싱 이메일이 결국엔 돈을

요구한다는 것이다. 물론, 당신은 처음으로 이런 종류의 메일을 받았을 때는 속아넘어가지 않지만,

곧 어떤 비용이나 세금 등을 납부해달라는 피싱 이메일을 자주 수신 받게 될 것이다. 만약 이런 종류의 메일을 받게 된다면, 그 메일은 100% 피싱 이메일이다.


8. 이메일이 비현실적인 위협을 가할 때

비록 대부분의 피싱 이메일들이 사람들에게 현금을 준다거나 특정 정보를 포기하도록 협박하는 방법

을 쓰지만, 만약 피싱 이메일이 비현실적인 위협을 가한다면, 그 메일은 틀림 없이 피싱 이메일일 것

이다. 나는 10년 전에 '미합중국 은행'이라고 주장하는, 상당히 진짜 같아 보이는 메일을 받았는데,

딱 한 가지 찜찜한 부분이 있었다. 그것은 만약 내가 은행 계좌 번호가 적혀 있는 문서를 제출하지

않는다면, 나의 은행 계좌가 위태로울 것이라는 내용이었다. 그 메일의 발신자는 내가 그 문서를

제출하지 않을 경우, 내 계좌는 사라질 것이고, 거기에 있는 나의 자산은 저당 잡힐 것이라는 협박

까지 했다. 물론 나는 변호사가 아니지만, 은행에서 강제로 고객의 계좌를 닫거나, 자산을 저당 잡는

것은 분명한 불법 임을 알고 있다.



9. 정부 기관에서 보낸 것 '처럼' 보이는 메일일 때

피싱 수법을 쓰는 사기꾼들은 항상 은행 기관인 것처럼 협박하지는 않는다. 그들은 때때로 법률

기관 혹은, FBI와 같은 기관을 사칭한다. 나는 정부 기관들이 미국 내부가 아닌, 외부에서 어떻게

일을 하는지 모른다. 그렇지만 미국 내부에서의 정부 기관들은 기본적인 연락 수단으로 이메일을

사용하지 않는다.


10. 이메일의 그 어떤, '무언가'가 수상해 보일 때

만약 무언가가 어떤 기준에 맞지 않을 때는 분명히 이유가 있다. 이 원리는 이메일 상에서도 동일

하게 적용 된다. 만약 당신이 미심쩍다는 생각이 드는 메일을 받는다면, 그 메일은 열어보지 않는

것이 가장 좋은 방법일 것이다.




여러분, 어떠셨나요? 전세계적으로 피싱 이메일을 활용한 각종 범죄들이 꾸준히 증가하고 있는 추세

속에서, 내가 받은 이메일이 피싱 메일인지, 아닌지의 여부를 쉽게 파악할 수 있는 예방책인 것 같아서 많은 사람들에게 도움이 될 것 같습니다. 비록 미국인의 관점에서 작성된 기사이지만, 범죄를

예방하는 기본적인 원리는 해외에서나, 국내에서나 동일하게 적용되는 것 같습니다.


그럼 저는 또 다른 IT 관련 뉴스를 가지고 다시 돌아오겠습니다. 감사합니다. 






0 Comments
댓글쓰기 폼