링크 하나가 피해를 갈라놓는다. 클릭 전에는 단순한 알림처럼 보였던 메시지가, 클릭 후에는 계정 탈취와 결제 정보 유출, 조직망 침해로 이어진다. 제보 기반의 커뮤니티와 신고 플랫폼, 예를 들어 토나와처럼 악성 URL을 수집해 경고하는 곳에서 요즘 반복해서 포착하는 흐름도 같다. 공격자는 더 덜 의심스러운 통로를 택하고, 이용자가 망설이는 지점을 기술과 심리로 동시에 무너뜨린다. 여기에선 최근 몇 분기 동안 국내외에서 두드러진 링크 기반 피싱 유형과, 그들이 쓰는 트릭, 현장에서 통했던 예방 습관을 정리한다. 특정 브랜드나 수치가 고정돼 있지 않은 영역이므로, 사례는 대표적인 패턴으로 설명한다.
흔하지만 잘 걸리는 유형들
배송, 계정, 결제, 공공기관을 소재로 한 링크가 여전히 상위권이다. 소재 자체는 오래됐지만, 링크가 배치되는 방식과 연결 흐름은 더 정교해졌다.
배송 안내와 관세 미납 고지 링크
국제배송이 일상화되면서, 통관비나 추가 운임을 핑계로 한 링크가 다시 늘었다. SMS나 카카오톡으로 온 짧은 문장은 대부분 시간 압박을 건다. 오늘 21시 이전 미납시 반송 처리 같은 표현이 대표적이다. 링크는 보통 단축 URL로 시작해 두세 번 리다이렉트된 뒤 브랜드를 흉내 낸 도메인으로 도착한다. 결제 페이지는 실제 PG사 결제창 느낌을 살려 만들어졌고, 카드 번호를 입력하면 오류가 한 번 뜬다. 이렇게 두 번째 입력까지 유도한 뒤 정보를 전송한다. 결제 후에는 배송 조회 페이지로 돌려보내 의심을 완화한다. 확인 통화가 도착하는 경우도 있는데, 가상번호를 이용해 로고가 뜨는 발신명처럼 보이기도 한다.
현장에서 막는 요령은 단순하다. 앱 알림으로 온 배송 미납 통지는 앱 내부 결제 흐름으로만 처리하고, 링크를 타고 가는 결제를 허용하지 않는다. 통관비를 실제로 내야 할 상황이라면, 운송장 번호로 공식 고객센터를 통해 확인하는 데 2분이면 충분하다.
계정 잠금과 비정상 로그인 경고
메일과 메시지로 동시에 온다. 제목은 계정 보안 알림, 내용은 의심스러운 로그인이 감지되어 계정을 잠그었고, 24시간 내 확인이 필요하다는 구성이다. 공격자는 실존하는 보안 이벤트 용어를 섞는다. 예시로 새 기기에서의 로그인 시도, OTP 실패 다수, 지역 불일치 같은 문구가 자주 보인다. 링크를 타고 들어가면 로그인 창이 뜨고, 2단계 인증 코드까지 받아간다. 공격자는 프록시형 피싱 툴로 세션 쿠키를 탈취하여 MFA를 우회한다. 브라우저 주소창에 자물쇠가 떠 있어도 안심할 수 없는 이유가 여기에 있다. 무료 인증서가 보편화된 뒤로 HTTPS는 기본값이 되었기 때문이다.
복구 흐름을 흉내 내는 것도 눈여겨볼 포인트다. 비밀번호 재설정, 비활성화된 앱 접근 권한 해제 같은 절차를 일부러 길게 만들고, 전체 화면 로더를 보여주며 진짜 계정 포털에 가까운 체감을 준다. 로그인 성공 후에는 실제 서비스 홈페이지로 이동시켜 사용자가 의심을 닫게 만든다.
OAuth 동의 화면 위장
로그인 정보를 직접 훔치지 않고, 계정에 읽기나 전송 권한을 부여받는 방식이다. 구글, 마이크로소프트, 깃허브 등에서 통용되는 OAuth 동의 화면을 모사해, 메일 읽기, 연락처 액세스, 드라이브 파일 보기 같은 스코프를 요청한다. 표면적으로는 문서 미리보기나 일정 초대 수락을 위한 승인처럼 보인다. 사용자가 승인하면 비밀번호는 건드리지 않아도 메일 전송과 데이터 접근이 가능해진다. 이후 동일 조직 내 다른 사용자에게 내부자 사칭 메일이 발송되어 신뢰 기반의 2차 피해가 나온다.
이 유형은 링크가 클라우드 문서나 일정 초대, 팀 협업 도구 알림과 결합되어 등장한다. 초대 수락을 누르면 브라우저가 열리고, 아주 그럴듯한 앱 이름과 아이콘이 나타난다. 실제 플랫폼의 검증 배지나 퍼블리셔 정보를 교묘하게 조합하므로, 승인 직전 요청 권한 항목을 한 줄씩 읽는 습관이 중요하다.
클라우드 문서와 저장소 링크 악용
악성 파일을 직접 보내는 대신, 신뢰받는 클라우드 링크를 던진다. 구글 드라이브, 원드라이브, 드롭박스, 노션, 에버노트 링크에서 시작해 그 안의 버튼이 다시 외부로 튀는 식이다. 메시지에서 바로 외부 도메인을 누른 것이 아니라 문서 플랫폼 화면을 거치니 의심이 줄어든다. 이 방식은 차단 필터도 피하기 쉽다. 조직 보안 솔루션이 대형 협업 도구 도메인을 화이트리스트로 두는 경우가 많기 때문이다. 공격자는 문서 제목을 세금계산서, 법적 통지, 급여 명세 같은 단어로 채운다. 실제 파일은 비밀번호로 압축돼 있고, 비밀번호는 문서 본문에 적어둔다. 압축을 풀면 실행 파일이나 스크립트가 나온다.
문서 공유 알림이 왔다면, 발신자 프로필과 조직 도메인을 2중으로 확인하고, 미리보기 모드에서 본문 링크를 우클릭하여 실제 전송처를 본 뒤 열자. 협업 도구의 댓글이나 멘션으로 온 알림은, 해당 도구 앱을 열어 알림 센터에서 직접 접근하는 편이 훨씬 안전하다.
QR 코드로 시작하는 링크, 오프라인의 빈틈
카페 테이블의 주문 스티커, 주차 요금 고지, 엘리베이터 공지, 우편물 등, 오프라인 QR이 링크의 새로운 집결지가 되었다. 공격자는 스티커를 덧붙이고, 전화번호 포스터의 귀퉁이에 QR을 추가한다. QR이 열어주는 페이지는 설문 참여 쿠폰, 앱 다운로드 보너스를 내세우며 권한을 요청한다. 안드로이드에서는 외부 출처 설치를 유도하는 화면까지 친절히 안내한다. iOS의 경우 프로필 설치와 엔터프라이즈 앱 신뢰 설정을 안내하는 페이지로 이어지기도 한다. 짧은 보상과 즉시성, 오프라인의 물리적 신뢰가 겹치면, 보안 감각이 무뎌진다.
QR을 스캔하면 즉시 여는 대신 주소를 미리보기로 확인하는 습관이 중요하다. 스티커가 위에 붙어 있지 않은지, 브랜드 공식 포스터인지도 물리적으로 살피는 것이 좋다. 카페 직원에게 QR 교체 여부를 묻는 단순한 확인이 실제로 여러 차례 감염을 막았다.
링크를 믿게 만드는 기술적 장치들
피싱 링크는 더 이상 서툴지 않다. 주소 모양, 리다이렉트 흐름, 브라우저 특성을 빨아들여 신뢰를 만든다.
짧은 주소와 체인 리다이렉트
단축 URL은 보기 좋아서가 아니라 추적과 필터 회피에 좋기 때문에 쓰인다. 공격자는 한 번이 아니라 여러 번 리다이렉트한다. 처음은 일반 단축 서비스, 두 번째는 광고 추적 도메인이나 오픈 리다이렉트가 있는 대형 사이트, 마지막에 목적지로 보낸다. 보안 게이트웨이가 첫 번째와 두 번째까지만 검사하면 최종 목적지를 못 본다. 메시지에는 미리보기 카드가 뜨는데, 이 카드의 제목과 설명을 악성 페이지가 아니라 중간 허들에서 끌어오게 해 시각적 방어도 통과한다.
체인 중간에 검색 포털이나 대학 사이트의 오픈 리다이렉트 엔드포인트가 자주 등장한다. 예를 들어 redirect?url= 같은 파라미터를 노린다. 링크 길이가 길고 파라미터가 많아 보이면, 의심부터 하고 브라우저의 주소 표시줄에서 최종 도메인만 집중해 보자.
국제화 도메인과 유사문자, 서브도메인 과부하
알파벳 i와 소문자 L, 영문 o와 숫자 0, 라틴과 키릴 문자의 혼용 같은 고전적 기법은 모바일 작은 화면에서 특히 잘 먹힌다. 국제화 도메인 이름은 브라우저가 유니코드로 렌더링할 때 시각적 혼동이 생긴다. 일부 브라우저는 다른 스크립트가 섞이면 퓨니코드 형태로 보여주지만, 모두 그런 것은 아니다. 서브도메인을 여러 겹 붙여 합법 도메인이 뒷부분에 오도록 만드는 수법도 여전하다. Login.security.account.example.com.evil.tld 같은 구조는 눈이 도메인 중간에서 멈추도록 설계됐다.
링크를 볼 때는 점으로 구분된 마지막 두 덩어리, 즉 유효 최상위 도메인과 그 앞의 도메인을 본다. 누군가가 공유해준 내부 테스트 링크처럼 보인다면 특히 침착해야 한다.
데이터 URL과 파일 스킴, 인앱 브라우저
브라우저나 메신저의 인앱 브라우저는 주소창이 짧고, 일부는 전체 주소를 숨긴다. 공격자는 data: 스킴으로 직접 HTML을 주입하거나, blob: 링크로 스크립트를 불러오며 경고를 피한다. 파일 다운로드 후 자동 열림을 유도하여 브라우저 플러그인 취약점을 노리는 경우도 있다. 모바일에서는 인앱 브라우저가 자동 로그인 쿠키를 공유하는 경우가 있어, 세션 탈취형 피싱과 궁합이 좋다. 일부 메신저는 외부 브라우저로 열기를 숨겨 두어, 사용자가 선택하기 어렵게 만든다.
앱 내부에서 열린 링크는 가급적 외부 브라우저로 넘기고, 주소 표시줄을 길게 눌러 전체 주소를 본다. 낯선 앱에서 강제로 열리는 링크라면 한 템포 쉬고 앱을 닫은 뒤, 브라우저에서 직접 도메인을 타이핑해 접근하자.
APK, 프로필, 확장 프로그램로 이어지는 링크
모바일에서 링크가 앱 설치로 이어지면 경계심이 필요하다. 안드로이드는 APK 직접 다운로드, iOS는 MDM 프로필이나 엔터프라이즈 배포 프로필 설치를 유도한다. 크롬이나 엣지의 확장 프로그램 설치 링크로 연결시키는 경우도 있다. 최근에는 시스템 알림 권한 요청을 먼저 띄워 푸시 피싱을 장기화한다. 일단 허용하면, 데스크톱 브라우저가 가짜 보안 경고나 성인 사이트 결제 알림을 며칠 간격으로 밀어낸다. 메시지의 링크로 시작했지만, 그 뒤에는 브라우저 알림이 감염 경로를 대신한다.
모바일과 한국형 서비스의 맥락
국내 사용자는 네이버, 카카오, 토스, 배달앱 같은 수퍼앱 생태계에 익숙하다. 공격자는 이 익숙함을 파고든다. 네이버페이 결제 보류, 카카오톡 채널 관리자 인증 만료, 토스 송금 보안 강화를 빙자한 링크가 대표적이다. 메시지 톤과 UI 조각이 실제와 매우 흡사해서, 평소 사용자 경험이 많은 사람일수록 더 쉽게 속는 역설이 있다.
택배 알림의 신뢰도도 높다. 편의점 택배, 해외구매대행, 중고거래 거래확정 링크까지, 다양한 맥락에서 비슷한 단어가 둥둥 떠다닌다. 실제 서비스 알림과 피싱 알림이 같은 시간대에 겹치면, 사용자는 패턴 매칭으로 빠르게 반응한다. 보안은 느림이 무기다. 계좌 이체도 송금 전 3초 멈춤 안내가 실효를 봤듯, 링크 클릭 전 10초 멈춤이 생각보다 강력하다.
클릭 전 10초 점검
- 주소창에서 실제 도메인의 끝 두 덩어리를 소리 내어 읽는다. 예: example.com, example.co.kr 링크가 단축형이면, 미리보기 기능을 사용하거나 브라우저의 새 탭에서 최종 도메인까지 열린 뒤 판단한다. 계정 관련 알림은 링크로 가지 말고, 앱이나 즐겨찾기에서 직접 열어 동일한 배너가 있는지 확인한다. 시간 압박 문구가 보이면 한 번 의심을 올린다. 반송, 계정잠금, 법적 조치 같은 단어가 촉발점이다. 돈이나 인증과 관련된 행동은 통화, 앱 내 채팅 등 2차 채널로 확인하고 진행한다.
조직에서 실제로 통했던 최소 수칙
- 외부에서 온 링크는 기본적으로 격리 브라우저나 샌드박스 탭에서 연다. 클라우드 공유 링크는 조직 외부에서 작성된 문서는 미리보기만 허용하고, 다운로드는 관리자 승인 후로 제한한다. 메일 게이트웨이에서 오픈 리다이렉트 패턴과 유사문자 도메인을 적극 차단한다. SSO 계정은 보안키 기반 2단계 인증을 표준으로 삼고, 인증 앱 코드만 쓰는 계정은 단계적으로 격리한다. 신고 채널을 단일화한다. 직원이 의심 링크를 30초 안에 올릴 수 있는 채팅방이나 봇을 운영한다.
실제 현장에서 본 스냅샷
작년 겨울, 한 스타트업의 재무팀 채팅방에 세금계산서 수정분이라는 제목의 드라이브 링크가 올라왔다. 회계 담당자의 프로필 사진과 이름을 그대로 쓴 깔끔한 계정이었다. 클릭한 팀원은 미리보기 화면에서 보안 정책상 다운로드가 필요하다는 배너를 봤고, 클릭하자 외부 앱 승인 화면이 떴다. 이 지점에서 멈춰 섰다. 요청 권한 목록에 메일 읽기와 전송이 포함되어 있었기 때문이다. 팀은 링크를 격리 브라우저로 옮겨 메타데이터를 확인했고, 퍼블리셔 이메일의 도메인이 한 글자 다른 것을 찾아냈다. 겉으로는 아무 특이점이 없던 링크였지만, 승인 권한과 발신자 도메인이라는 작은 단서가 끝을 잡아당겼다.
QR 코드 사례도 기억에 남는다. 번화가의 주차장 출구에 붙은 임시 요금 납부 QR. 퇴근 러시에 줄이 길어지자 운전자들이 스캔하고 결제했다. 며칠 뒤 카드사에서 소액 다건 결제가 찍혔다. 나중에 보니 QR 스티커가 원래 안내문에 자연스럽게 덧붙여져 있었고, 결제 페이지는 실제 PG사 위젯을 가져다 쓴 복제물이었다. QR의 물리적 진위를 확인하는 것, 직원에게 한 마디 묻는 것, 결제는 앱으로만 진행하는 정책이 반복 피해를 막았다.
한 대학 연구실에서는 컨퍼런스 등록 확인 메일로 악성 링크가 퍼졌다. 구글 캘린더 초대가 동봉돼 있었고, 그 안의 링크가 오픈 리다이렉트를 거쳐 가짜 SSO 페이지로 넘어갔다. 두 명이 비밀번호와 OTP를 입력했고, 공격자는 악성 앱을 통해 메일함에 접근해 공동 저자에게 초안을 요청하는 메일을 보냈다. 이 역시 앱 승인 취소와 전체 비밀번호 재설정, 보안키 등록으로 수습했다. 권한형 피싱이 왜 위험한지 깨닫는 계기였다.
피싱 링크가 통하는 심리적 지점
공격자는 세 가지를 파고든다. 시간과 권위, 그리고 호기심이다. 시간은 반품 마감, 계정 잠금, 이벤트 종료 같은 단어로 조인다. 권위는 공공기관, 직속 상사, 회계 파트너를 사칭해 빌린다. 호기심은 급여 명세, 인사 고과, 내부 보고서, 미공개 발표 자료로 자극한다. 링크의 형태가 아무리 그럴듯해도, 그 이면에 이런 심리적 도구가 깔렸는지 자문하면 맥이 보인다.
모바일에서 이런 심리전은 더 잘 먹힌다. 화면이 좁아 주소를 완전하게 보지 못하고, 손가락은 이미 습관대로 클릭한다. 장치의 진동과 알림 소리가 행동을 유도한다. 그래서 일부 팀은 민감 업무 시간대에 알림을 제한하는 정책을 도입했고, 링크 검증을 전담하는 사람이 교대로 대기하도록 운영한다. 작은 운용 변화가 실제 사고 건수를 줄였다.
실수로 눌렀을 때의 빠른 대응
누를 수 있다. 문제가 되는 것은 누른 뒤의 행동이다. 우선 브라우저를 그대로 두고, 창을 닫지 말고, 현재 주소를 캡처한다. 세션 쿠키 탈취형 피싱일 수 있으므로, 같은 브라우저의 다른 탭에서 중요 계정이 열려 있었다면 로그아웃부터 한다. 이어서 비밀번호가 같은 조합이 있는지 확인하고, 겹치는 서비스는 모두 바꾼다. MFA를 사용하는 계정은 앱 교체와 백업 코드 재발급까지 한 번에 처리하는 편이 낫다. 만약 앱 승인이나 브라우저 알림 권한을 허용했다면, 해당 플랫폼의 보안 설정에서 의심 항목을 철회한다. 모바일이라면 설치된 프로필과 미확인 앱 목록을 점검하고, 필요하면 백업 뒤 초기화를 검토한다. 조직 환경에서는 즉시 보안팀에 신고하고, 네트워크에서 목적지 도메인과 IP를 임시 차단한다.
여기서 중요한 것은 흔적 보존이다. 주소와 리다이렉트 체인, 화면 녹화가 있으면, 보안 담당자가 차단 룰을 만들고 유사 링크를 찾아내는 데 큰 도움이 된다. 링크를 열었을 때 시스템에서 파일이 내려받아졌다면, 다운로드 폴더와 브라우저 캐시를 그대로 보존한 뒤 분석을 맡긴다.
보안팀을 위한 차단과 탐지의 포인트
차단은 도메인 블록리스트만으로 충분하지 않다. 체인 리다이렉트 탐지를 위해, 보안 프록시가 중간 응답의 Location 헤더를 따라가 최종 목적지를 기록하도록 설정한다. 메일 게이트웨이는 URL 재작성과 클릭타임 보호를 병행하고, 오픈 리다이렉트 패턴을 가진 도메인의 파라미터를 검사한다. 국제화 도메인은 TLD 정책과 스크립트 혼용 감지 설정을 조정해 과도한 허용을 줄인다. 브라우저 알림 권한은 엔드포인트 관리에서 기본 거부로 두고, 허용 도메인만 화이트리스트에 올린다.
사용자 교육은 반년에 한 번 하는 이러닝이 아니라, 짧고 자주 하는 메시지로 바꾼다. 월 1회, 3분짜리 피싱 링크 퀴즈를 조직 채팅방에 띄우는 정도가 체감상 가장 반응이 좋았다. 실제로 토나와 같은 신고 플랫폼에서 최근 한 달간 다수 제보된 유형을 참고해, 내부 공지로 변환해 배포하면 맥이 맞는다. 교육의 목표는 정답 맞히기가 아니라, 의심이 들 때 신고 채널을 연결하는 습관을 만드는 것이다.
로그는 이메일 보안, 프록시, 엔드포인트 EDR, IDP의 경보를 한 화면으로 모아 상관 분석한다. 같은 시간대에 비정상 위치에서의 로그인 경고와, 사용자의 URL 클릭 이벤트가 겹치면 우선순위를 올린다. OAuth 앱 승인은 특히 민감하므로, 새 앱 승인 이벤트에 대해 자동 티켓 발행과 관리자 검토를 붙인다.
국내 서비스 특성에 맞춘 현실적 팁
한국어 로컬라이제이션 품질이 높아져, 맞춤법으로 가려내는 방식은 거의 통하지 않는다. 대신 뉘앙스를 본다. 고객센터가 표준 표현을 쓰지 않는 경우, 예를 들어 반말조, 과도한 존칭 혼용, 지나치게 친근한 이모티콘은 여전히 일관성이 없다. 카카오톡 채널의 경우 채널명 옆의 인증 마크가 진짜라 해도, 채널이 도용됐을 가능성을 배제할 수 없다. 채널 프로필의 사업자 정보와 공지 게시판의 토나와 업데이트 이력도 함께 본다. 네이버 카페나 오픈채팅방에서 공유되는 링크는 출처를 신뢰하지 말고, 공식 홈페이지의 공지사항과 대조한다. 배달앱 쿠폰, 편의점 이벤트 링크는 앱 내부 배너에서만 참여하는 습관이 편하다. 2분 덜 편한 대신, 몇십만 원에서 몇백만 원을 지킨다.
해외 결제 내역이 카드사 앱에 뜨고, 바로 취소 링크가 메시지로 온다면 그 링크는 누르지 않고 카드사 앱에서 직접 취소한다. 카드사 상담원은 통화 중 링크 클릭을 요구하지 않는다. 은행과 공공기관도 마찬가지다. 앱 내 공지가 없다면, 링크가 진짜일 확률은 급격히 낮아진다.
토나와 같은 신고 허브의 역할
피싱 링크는 빠르게 바뀐다. 개인이 모든 패턴을 기억하긴 어렵다. 그래서 신고와 공유가 중요하다. 토나와 같은 신고 허브는 사용자 제보를 모아 유사 링크를 자동 분류하고, 단축 URL의 최종 목적지를 추적해 공개한다. 커뮤니티에 축적된 사례를 보면, 공격자의 선호 도메인, 리다이렉트 체인, 미끼 문구의 변주가 눈에 들어온다. 보안팀은 이 데이터를 내부 룰에 반영하고, 일반 사용자는 최근 유행하는 미끼를 미리 접함으로써 체감 위험을 낮춘다. 신고의 질이 올라가면, 플랫폼이 차단 속도를 높인다. 30초 투자로 다음 사람의 클릭을 막는 구조다.
끝으로, 링크 앞에서의 태도
링크를 의심하는 태도는 비관이 아니다. 디지털 위생에 가깝다. 택배를 받으면 문 앞에서 포장 상태를 확인하고, 현관문을 닫기 전에 다시 한 번 손잡이를 잡아본다. 링크도 비슷하다. 주소를 읽고, 맥락을 떠올리고, 다른 경로로 확인한다. 버릇이 되면 10초도 걸리지 않는다. 그 10초가 공격자의 시나리오를 망친다. 토나와를 비롯한 커뮤니티의 경고는 이 짧은 틈을 우리 편으로 돌리는 실천의 목록이다. 오늘 받은 메시지에서 그 틈을 한 번만 더 만들어 보자.