취약성

가짜 웹사이트를 구별하는 방법

DigiCert Blog
Dean Coclin
03-24-2021
4분 분량의 글

디지털 혁신의 시대에 가짜 웹사이트를 구별하는 방법은 단순히 알아두면 유용한 것일 뿐만 아니라 온라인에서 자신을 보호하기 위해 반드시 필요한 지식입니다. 사기성 웹사이트를 식별하는 방법을 알아두면 사적, 공적 개인 식별 정보와 금융 정보, 이메일, SNS 로그인 정보를 보호할 수 있습니다.

최근 코로나19 관련 사기와 신원 도용 범죄가 증가하고 있습니다. 미국 보건복지부는 국민들에게 코로나바이러스 관련 사기가 전화나 문자, SNS 메시지 또는 웹사이트의 형태로 발생할 수 있다고 경고했습니다. '뉴 노멀(New Normal·새로운 일상)' 시대로 전환하더라도 온라인 사기는 멈추지 않고 더 늘어날 가능성이 높습니다. 따라서 웹사이트의 진위 여부를 확인하는 방법을 숙지하면 현재와 미래에 가짜 웹사이트로부터 사용자를 보호하는 데 도움이 될 것입니다.

웹사이트를 검증하는 방법

URL에 철자 오류가 있는지 확인

가짜 사이트의 주요 특징 중 하나는 URL의 철자 오류입니다. 사기범들은 amazon.com에서 URL 이름을 살짝 바꾸거나(예: amaz0n.com), 도메인 확장자를 바꾸고는 합니다(예: amazon.org).

사이트 인증마크 확인

사이트 인증마크(seal)는 신뢰할 수 있는 사이트임을 나타내는 표시로, 일반적으로 인증마크를 클릭하면 웹사이트에 대한 자세한 정보와 인증을 받은 방법을 확인할 수 있습니다. 클릭해도 아무 동작이 일어나지 않는 마크는 불법 복제 마크일 가능성이 높으므로 신뢰해서는 안 됩니다.

1 the DigiCert site seal
그림 1: DigiCert 사이트 인증마크

 

자물쇠 표시 찾기

웹사이트에 있는 자물쇠 표시는 사용자 데이터를 암호화하는 TLS/SSL 인증서로 사이트가 보호되고 있음을 의미합니다. 자물쇠 표시는 주소창 왼쪽 상단에서 찾을 수 있습니다. 자물쇠가 표시되는 TLS 인증서에는 세 가지 유형, 즉, 도메인 검증, 조직 검증, 확장 검증이 있습니다.

  • 도메인 검증 인증서(Domain Validation certificate): DV 인증서는 도메인의 소유권이 있는지 확인하는 인증서로, 조직 식별 정보는 제공되지 않으므로 DV 인증서를 상업적 목적으로 사용하는 것은 권장하지 않습니다.
  • 조직 검증 인증서(Organization Validation certificate): 조직(기업)은 공식 사업자 등록 데이터베이스에서 CA(인증 기관)에 의해 인증됩니다. 상업용 또는 공공 웹사이트에 권장되는 표준 인증서 유형입니다.
  • 확장 검증 인증서(Extended Validation certificate): 추가 검증 단계가 포함되어 있으며 브랜드와 사용자를 보호하기 위한 최고 수준의 인증을 제공합니다. CA는 EV 인증서에 합법적인 사업자 정보가 포함되어 있는지 확인하기 위해 특정 문서 및 개인 연락처를 요구할 수 있습니다. 세계 유수의 기업에서는 사용자에게 특정 웹사이트가 해당 기업이 소유한 진짜 사이트이며 신뢰할 수 있다는 확신을 주기 위해 EV 인증서를 사용하고 있습니다.

사이트에 자물쇠 표시가 없는 경우 대부분의 브라우저에서는 '주의 요함(not secure)'이라는 경고를 표시합니다. 다만 과거에는 단순히 자물쇠 표시를 확인하는 것만으로도 충분했지만, 온라인 사기가 증가함에 따라 사이트 검증 시 다른 부분도 면밀하게 살펴봐야 합니다.

그림 2: 데스크톱 Chrome 브라우저상의 안전한 사이트와 안전하지 않은 사이트 표시

 

보안 사이트와 사기 사이트의 차이

자물쇠 표시는 사이트상의 정보가 암호화되어 브라우저가 해당 사이트를 안전한 것으로 간주한다는 의미입니다. 하지만 안타깝게도 요즘에는 보안 사이트라고 해서 반드시 무언가를 구매하거나 정보를 공유해도 안전하다고는 할 수 없습니다. 사이트에 자물쇠 표시가 있더라도 가짜가 아니라고 확신할 수 없다는 뜻입니다. 연구에 따르면 피싱에 사용되는 가짜 사이트의 절반 정도는 자물쇠 표시가 있는 것으로 밝혀졌습니다.

보통 사기범이 일부 인증 기관에서 무료로 제공하는 낮은 수준의 TLS 인증서인 DV 인증서를 사용하여 사이트 소유자임을 증명하기만 해도 자물쇠 표시를 획득할 수 있습니다. DV 인증서가 있으면 회사가 합법적이라는 것을 증명할 필요가 없습니다. 간혹 OV 또는 EV 인증서를 사용하는 경우도 있기는 하지만, 이러한 인증서를 발급받으려면 사업자 등록증을 제시하고, 유효한 신용 카드를 사용하여 결제를 진행하고, 인증 기관의 문의에 답변하는 등 더 많은 노력이 필요하기 때문에 대부분의 범죄자는 사용하지 않습니다.

TLS 인증서를 사용하는 가짜 웹사이트는 대부분 적발되지만 일시적으로 큰 피해를 입힐 수 있습니다.

자물쇠 표시 너머에 있는 것을 살펴보기

보다 자세한 정보를 확인하려면 자물쇠 표시를 클릭하여 그 너머에 무엇이 있는지 살펴봐야 합니다. 최고 수준의 인증을 받은 경우, 자물쇠 표시를 클릭하면 '(유효한)인증서' 아래에 '발급 대상: [회사명]'이 표시됩니다. 안타깝게도 이 기능은 현재 데스크톱 브라우저에서만 작동하지만, 모바일 브라우저를 사용하든 데스크톱을 사용하든 자물쇠 표시 너머에 있는 정보를 살펴봐야 한다는 원칙에는 변함이 없습니다.

웹사이트 검사기를 통해 사이트 진단 진행

의심스러운 부분이 있는 경우, 웹사이트 검사기를 사용하여 웹사이트가 안전한지 확인하도록 합니다. 웹사이트 보안 검사를 수행하면 사이트의 취약점과 암호화 사용 여부, 인증 수준을 알 수 있습니다.

그 밖의 웹사이트 검증 방법

자물쇠 표시와 인증마크를 확인하고 웹사이트 검사기를 통해 URL을 실행해 보는 것 외에도 사이트에서 다음과 같은 신뢰 지표를 찾아보세요.

  • 개인정보 보호정책
  • 교환 및 반품 규정
  • 전화번호, 주소 등의 업체 연락처 정보
  • 정확한 맞춤법과 문법
  • 온라인 리뷰(‘[사이트 이름]에 대한 리뷰’를 Google에 검색하여 온라인 피드백 확인)

일반적으로 과도하게 저렴하거나 좋은 조건의 거래는 사기일 가능성이 높으니 피하세요.

가짜 사이트를 발견했을 때 대처 방법

사기 사이트에 접속한 경우 금융 정보, ID 및 비밀번호, 인증 코드, Facebook 로그인 정보, 이름과 연락처 정보와 같은 민감한 정보를 제공하지 마세요. 의심스러운 부분이 있는 경우에는 입력 양식을 작성해서는 안 됩니다. 또한 출처가 불분명한 이메일이나 온라인 게시물 또는 DM의 링크를 클릭하지 마세요. 가짜 사이트를 구분할 수 있으면, 특정 사이트에서 구매 여부를 판단할 때 도움이 됩니다.

또한 가짜 사이트 발견한 경우 Google 세이프 브라우징에 신고하여 즉시 폐쇄 조치되도록 해야 합니다.

UP NEXT
pki

3 Surprising Uses of PKI in Big Companies and How to Ensure They Are all Secure

5 Min

Featured Stories

07-03-2024

What is a CA’s Role in delivering digital trust?

10-31-2024

Announcing the GA release of DigiCert Device Trust Manager

10-29-2024

Solving the revocation gap with short-lived certificates