"구독이 일시 중지되었습니다" 이메일 조심…OTT 사칭 피싱 '기승'

최근 넷플릭스 등 유명 온라인동영상서비스(OTT)를 사칭한 정교한 피싱 메일이 퍼지고 있어 이용자들의 주의가 요구된다. ‘구독 자동 결제 실패’ ‘멤버십이 일시 중지됐다’는 문구로 불안감을 자극한 뒤, 본문에 포함된 ‘지금 업데이트하기’ 링크를 누르게 유도하는 방식이다.

23일 안랩 분석에 따르면 피싱 이메일 본문에는 OTT 서비스의 구독 결제에 문제가 생겨 확인해 달라는 내용이 담겨있다. 아울러 '지금 업데이트하기'라는 문구가 포함된 링크를 포함해, 사용자가 이를 클릭하도록 유도한다.

사용자가 링크를 누르면 가짜 로그인 페이지로 이동하는데, 일반적인 피싱 사이트와 달리 이메일 주소가 자동으로 입력되지 않고 사용자가 직접 이메일 주소를 적어 넣도록 요구하는 점이 특징이다.

가짜 로그인 창에 계정과 비밀번호를 입력하면 해당 정보는 즉시 공격자의 C2(명령 제어) 서버로 전송된다. 이후 화면에는 “자동 갱신이 실패했다”는 추가 안내가 등장하며, 사용자가 다시 한 번 ‘구독 재개’ 버튼을 누르도록 유도한다. 

이 단계를 거치면 실제 OTT 서비스 결제창과 유사한 형태의 가짜 결제 페이지로 이어지며, 이름·연락처·카드번호 등 민감한 금융 정보를 입력하도록 한다. 입력 정보 역시 C2 서버로 전달돼

OTT를 사칭한 공격뿐 아니라 공공기관·대형 플랫폼을 흉내 낸 피싱 시도도 계속되고 있다. 지난 5월에는 국민건강보험공단을 사칭한 건강보험료 체납 안내 메일이 유포됐고, 누리랩 통계에서도 10월 기준 네이버 사칭 피싱이 18건(16.8%)으로 가장 많았다.

보안 전문가들은 ▲출처가 불분명한 이메일 열람 자제 ▲발신자 정보·링크 URL 진위 확인 ▲개인정보·결제정보 요구 시 즉시 의심 ▲이상 징후 발생 시 관련 기관 직접 문의 등 기본 보안 수칙을 반드시 지켜야 한다고 당부했다.

안랩은 “최근 공격자들이 정상 클라우드·서비스 플랫폼을 C2 서버 운영에 악용하는 사례가 증가해 탐지가 어렵다”며 “로그인부터 결제까지 자연스럽게 이어지도록 구성된 만큼 사용자의 각별한 주의가 필요하다”고 설명했다.