CloudPNG

ºC

logo
IT/바이오

OTT 사칭 피싱 메일 진화…안랩, 카드정보 탈취 경고

한유빈 기자
입력

OTT 구독 서비스 문화를 노린 피싱 공격이 한층 정교해지고 있다. 최근 구독 결제에 문제가 생겼다는 내용의 이메일을 발송해 사용자의 불안 심리를 자극하고, 결제 정보와 개인정보까지 빼내는 수법이 포착됐다. 특히 사용자가 스스로 이메일 주소를 입력하게 만드는 방식으로 위장을 강화하면서, 일반 이용자는 정상 서비스 화면과 피싱 사이트를 구분하기가 더 어려워졌다는 분석이 나온다. 보안 업계에서는 구독형 OTT와 디지털 결제 인프라가 확산되는 환경에서 피싱 공격이 점점 생활 밀착형으로 진화하는 흐름으로 보고 있다.

 

안랩에 따르면 이번 공격에 사용된 이메일은 유명 OTT 서비스 안내메일처럼 꾸며져, 구독 결제에 문제가 발생해 멤버십이 일시 중지됐으니 확인하라는 메시지를 담고 있다. 본문에는 지금 업데이트하기라는 문구와 함께 링크가 삽입돼 있어, 사용자가 결제 상태를 확인하려는 의도로 클릭하도록 유도하는 구조다. 사용자가 링크를 누르면 실제 OTT 로그인 화면과 유사하게 제작된 가짜 로그인 페이지가 열리며, 계정 정보 입력을 요구한다.

이번 공격은 일반적인 피싱 사이트와 구현 방식에서 차이를 보인다. 보통 피싱 페이지는 링크를 클릭한 사용자의 이메일 주소를 URL 파라미터로 넘겨 자동 입력된 것처럼 보여주는 방식이 많다. 사용자가 평소 보던 화면과 유사해 의심을 덜 가지도록 만드는 전형적인 패턴이다. 그러나 이번 사례에서는 이메일 주소 자동 입력 기능을 제거하고, 사용자가 직접 본인의 주소를 입력하도록 설계했다. 안랩은 이 구조가 이용자에게 오히려 진짜 서비스 페이지라는 인식을 심어, 피싱 의심 가능성을 더 낮추는 효과를 낸다고 설명한다.

 

사용자가 가짜 로그인 페이지에 계정과 비밀번호를 입력하면 해당 정보는 공격자 측 C2 서버로 전송된다. C2는 명령제어 서버를 뜻하는 보안 용어로, 악성코드나 피싱 인프라를 원격에서 통제하는 중추 역할을 한다. 로그인 이후 화면에는 자동 결제 갱신에 실패했다는 메시지가 표시되며, 구독 재개라는 문구의 버튼을 다시 클릭하도록 유도한다. 이용자가 이 버튼을 누르면 신용카드 결제 정보 입력 페이지로 이동하는데, 여기에서 이름과 전화번호, 카드번호 등 결제에 필요한 핵심 정보가 추가로 탈취된다. 이 정보 역시 C2 서버로 실시간 전송되는 구조다.

 

특히 안랩은 최근 공격자들이 C2 서버를 별도의 수상한 도메인이 아닌 정상적인 플랫폼으로 위장해 운영하는 사례가 증가하고 있다고 지적했다. 클라우드 스토리지나 합법적인 웹 서비스 인프라를 중간 경유지로 활용하면, 보안 솔루션 입장에서는 정상 트래픽과 피싱 트래픽을 구분하기가 상대적으로 어려워진다. 이메일 발신 도메인과 링크 경로가 눈에 띄게 이상하지 않더라도, 실제 목적지는 정보 탈취를 위한 피싱 인프라일 수 있다는 의미다.

 

시장 측면에서는 OTT, 음악, 소프트웨어 등 구독 기반 서비스가 생활 전반에 퍼지면서, 매달 결제 상태를 확인해야 하는 사용자가 크게 늘었다. 공격자는 이 점을 노려 결제 실패, 구독 중단, 멤버십 일시 정지 같은 문구를 전면에 내세운다. 사용자가 서비스 중단에 대한 불안을 느끼고 즉각적인 조치를 하려는 심리를 이용하는 것이다. 특히 해외 결제나 외화 청구가 익숙하지 않은 이용자의 경우, 결제 오류 안내에 취약한 면이 있어 공격 표적이 되기 쉽다.

 

글로벌 환경에서도 구독형 서비스 사칭 피싱은 꾸준히 늘어나는 추세다. 해외에서는 글로벌 OTT, 전자상거래, 생산성 소프트웨어를 사칭한 유사 사례가 반복 보고되고 있다. 기술적으로는 다단계 페이지 구성, 실시간 로고 삽입, 합법 인증서가 포함된 암호화 통신 등으로 신뢰도를 높이는 방식이 동원된다. 국내에서도 이와 유사한 전술이 빠르게 도입되면서, 단순 형태의 피싱 차단만으로는 피해를 막기 어렵다는 우려가 제기된다.

 

전문가들은 기술적 방어 수단과 함께 사용자의 보안 습관이 무엇보다 중요하다고 강조한다. 우선 출처가 불분명한 이메일을 열람할 때에는 발신자 주소가 실제 기업의 공식 도메인인지 꼼꼼히 확인할 필요가 있다. 링크 클릭 전에 마우스를 올려 실제 접속 주소를 미리 확인하는 습관도 도움이 된다. 이메일 안에서 개인정보나 금융 정보를 직접 요구하는 경우, 즉시 의심하고 해당 기업의 공식 앱이나 웹사이트에 직접 접속해 안내 여부를 확인하는 것이 안전하다.

 

이상 징후가 포착됐을 때는 금융사 고객센터나 해당 OTT 공식 고객지원 채널에 스스로 연락해 사실 여부를 점검해야 한다. 이미 계정 정보를 입력했거나 결제 정보를 노출했다면 즉시 비밀번호를 변경하고 카드사에 결제 정지 또는 재발급을 요청하는 것이 권고된다. 안랩은 공격자가 정상 플랫폼을 우회 경로로 활용하는 비율이 늘면서 보안 솔루션만으로는 한계가 분명해지고 있다며, 이메일과 링크를 대할 때 일단 경계하는 디지털 위생 습관이 중요해지고 있다고 강조했다. 산업계는 이러한 생활형 피싱 위협이 OTT와 디지털 구독 생태계 신뢰를 훼손할지 주시하고 있다.

한유빈 기자
share-band
밴드
URL복사
#안랩#ott피싱#개인정보탈취