코인원 해외 IP 로그인 시도 사칭 피싱 사례

최근 계속해서 비트코인 가격이 하락하는 것으로 보아, 이제 코인 시장은 다시 2018년 처럼 완전히 소강 상태에 접어드는 것 같습니다. 블록체인 기술이 완전히 상용화될 때 쯤 다시 가격이 폭등할 날이 올거라 생각하지만, 이전에 대출이나 빚으로 투자를 하셨던 분들이라면 마음이 아프실텐데요. 이미 반 포기 상태로 더이상 코인원 같은 거래소 사이트에 들어가지 않고 냅두시는 분들이 있을텐데, 이를 노리는 피싱 공격이 굉장히 많이 발생하고 있어서 조심하셔야할 것 같습니다. 이번 에세이에서는 해외 IP 로그인 시도를 했다면서 피싱 사이트로 유도하는 사례에 대해 말씀드려보도록 하죠.

​

이미 "비트코인 계좌 해킹 사례"나 "암호화폐 거래소를 노린 피싱 사례"에서 비슷한 사례에 대해 설명드렸었죠. 이번 사례의 경우 코인원과 같은 암호화폐 거래소에서 자신의 계정이 해외 IP에서 로그인 시도가 되었다고 문자 메시지로 전송한 뒤 피싱 사이트 URL을 클릭하도록 유도하는 케이스입니다. 사실 이번 케이스의 경우 네이버에서도 해외 IP 로그인 시도가 되었을 때, 메일로 알려주는 기능이 있기 때문에 사용자가 의심없이 클릭해 볼 수 있겠죠. 심지어 문자에 경북에 위치한 특정 초등학교에서 보낸 것처럼 사칭한 것으로 볼 때, 미리 입수한 특정인의 스마트폰 메시지를 참고한 것 같습니다.

​

그리고 이번 사례에서는 메시지 본문에 포함되니 URL을 보면, 'coinone'이 아닌 'coinsnoe'으로 바꿔서 보낸 것을 확인하실 수 있는데요. 이런 수법을 타이포스쿼팅이라고 하는데 자세한 내용은 "URL 주소를 속이는 타이포스쿼팅 공격"에서 설명드렸습니다. 타이포스쿼팅을 단순하게 설명하면 실제 서비스 이름이나 URL의 철자를 바꿔서 사용자의 클릭을 유도하는 사회공학적 기법으로 말할 수 있죠. 이 URL을 클릭하면 해커가 실제 코인원 사이트와 유사하게 만들어 놓은 피싱 사이트로 접속이 되고, 로그인 폼에 계정 정보로 입력해서 버튼을 누르는 순간 해커의 서버로 정보가 전송됩니다.

 

해외 로그인 안내에 타이포 스쿼팅까지... 암호화폐 거래소 ‘코인원’ 사칭 피싱 발견

 

위에서 인용한 기사는 실제 피싱 메시지와 피싱 사이트 이미지를 보여주고 있기 때문에, 한 번 들어가셔서 실제 사이트와 얼마나 유사한지 확인해보시면 좋을 것 같습니다. 보통 이런 공격에 당하지 않으시려면 사이트 주소가 http로 시작하는지와 SSL 인증서 적용 유무인 웹 브라우저 표시줄의 자물쇠 모양 아이콘이 표시되는지를 확인하라고 하는데, 최근 피싱 사이트도 위조된 SSL 인증서를 사용하기 때문에 큰 소용이 없는 경우가 있습니다. 사실 제일 안전한 방법은 구글이나 네이버 같은 신뢰할 수 있는 공식 사이트에서 검색을 통해 들어가서 확인하는 건데요. 또한 실수로 계정 정보가 유출되었다고 해도 2차 인증을 꼭 설정했다면 어느 정도 예방이 가능할 겁니다. 그럼 오늘 설명드릴 내용은 여기까지고, 다음 에세이에서 뵙도록 하겠습니다. 감사합니다.