“계좌가 정지됩니다”…국내 유명 카드사 사칭 피싱 메일 주의보

이스트시큐리티, 금융정보 탈취 시도하는 금융사 사칭 피싱 메일 주의
“금융사가 고객에 CVC코드나 카드 비밀번호 입력 요구하는 경우는 없어”

ⓒ뉴시스

최근 국내 유명 카드사를 사칭해 금융정보를 탈취하려는 피싱 메일 공격이 발견됐다. 이번 공격은 사용자가 자주 이용하는 금융 서비스를 사칭해 민감한 정보를 요구하는 수법으로, 각별한 주의가 요구된다.

27일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 공격자는 ‘중요사항: OO카드 계좌 컴플라이언스 검증’이라는 제목의 피싱 메일을 보냈다.

해당 메일에서는 보안정책 변경에 따른 신용카드 계정 정보 수정을 요구하는데 ‘계좌 정보가 수정되지 않으면 카드 계좌가 정지될 수 있다’는 내용을 담아 사용자 불안감을 유발한다.

이메일 본문에는 카드사 공식 웹사이트 주소처럼 위장한 피싱 링크가 포함돼 있다. 사용자가 정보 수정을 위해 링크를 클릭하면 피싱 페이지로 연결되며, 이 페이지에서 개인정보, 카드번호, CVC코드, 비밀번호 등의 정보를 입력하도록 유도한다.

만약 사용자가 모든 정보를 입력하고 ‘검증하기’ 버튼을 누르면, 입력된 정보는 그대로 공격자의 서버로 전송된다. 이후 공격자는 수집한 정보를 활용해 금융사기나 불법 거래를 시도할 수 있다.

ESRC 측은 “이번 공격은 ‘신용카드 계좌정보 검증’이라는 민감한 소재를 이용해 사용자의 금융정보를 노린 사례”라며 “특히, 금융사가 고객에게 CVC코드나 카드 비밀번호 입력을 요구하는 경우는 없다는 점을 기억해야 한다”고 당부했다.

◆“보안 수칙 준수하고, 의심스러운 이메일은 무조건 삭제하는 것이 피해 막는 첫걸음”

이러한 공격으로 인한 피해를 예방하기 위해서는 메일 발신자의 이메일 주소가 공식 금융사의 도메인과 일치하는지 반드시 확인해야 한다.

또 이메일에 포함된 링크는 클릭하지 않는 것이 원칙이다. 내용 확인이 필요할 경우, 반드시 금융사 공식 홈페이지에 직접 접속해야 한다.

금융사는 카드번호와 CVC코드, 카드 비밀번호를 동시에 요구하지 않는다. 이러한 요청이 있다면 피싱을 의심하고 정보를 입력하지 말아야 한다.

마지막으로 피싱 메일로 인해 금융정보가 유출됐다고 의심될 경우, 즉시 해당 카드사 고객센터에 신고하고 카드 정보를 변경해야 한다.

[서울=뉴시스]