넷플릭스 위장 공격, 이렇게 예방하세요
안랩이 ‘넷플릭스 구독 갱신 및 계정 확인’ 내용으로 위장한 피싱 공격 사례를 발견했다. 공격자는 ‘Your Subscription is about to expire(구독이 곧 만료됩니다)’라는 제목의 피싱 메일을 통해 악성 URL을 유포했다. 넷플릭스는 전 세계 사용자가 이용 중인 유명 OTT 서비스라는 점에서 적절한 조치를 취하지 않을 경우 상당히 많은 피해자가 발생할 것으로 보인다. 이번 글에서는 해당 사례에서 사용된 공격 기법과 피해를 예방하기 위해 한국인터넷진흥원(KISA)과 안랩이 공개한 보안 수칙에 대해 알아본다.
메일 본문에 첨부된 악성 URL에는 넷플릭스와 철자가 유사한 ‘netfix’라는 단어가 포함돼 있는 것으로 확인됐다. 이 URL을 클릭하면 곧바로 정보탈취용 피싱 사이트로 연결되지 않고, 가짜 보안 접속 확인 페이지로 이동한다. 해당 페이지에는 ‘Verify you are human(당신이 사람인지 확인하시오)’라는 메시지와 체크박스가 표시된다. 이는 사용자의 의심을 피하기 위해 끼워 넣은 절차인 것으로 추정된다.
사용자가 체크박스를 선택하면 인증이 완료되고 넷플릭스 로그인 화면과 유사하게 꾸며진 피싱 사이트로 연결된다. 해당 피싱 사이트는 사용자 이름과 카드 번호 및 만료일자, CVC 번호와 같은 신용카드 정보, 주소 등의 입력을 유도한다. 사용자가 입력한 정보는 공격자에게 전송된다. 정보 유출 시 카드정보 도용 등 2차 피해가 발생할 수 있어 피싱 메일 수신 시 본문의 URL을 클릭하지 않도록 주의해야 하며, 실수로 링크에 접속했다고 하더라도 절대 개인정보를 입력해서는 안 된다.
KISA는 넷플릭스 계정 보안을 강화하기 위한 방법을 몇 가지 제시했다.
첫번째는 최근 시청 기록을 확인하는 것이다. 넷플릭스 홈페이지에 로그인한 후 계정 탭을 눌러 보안 & 개인정보 영역으로 이동한 후, 액세스 및 디바이스 관리 항목을 선택하면 현재 연결된 계정에서 가장 최근에 사용한 기기 정보와 위치 상세 정보, 웹 브라우저, 아이폰, 안드로이드 스마트폰 등으로 넷플릭스를 이용한 정보가 표시된다.
또, 최근 시청 기록에서 잘못된 정보가 표시돼 있거나 이상한 낌새가 느껴진다면 모든 기기에서로그아웃하거나 계정 정보를 변경하는 것이 안전하다. 계정> 보안 & 개인정보> 모든 디바이스에서 로그아웃을 선택하면 된다. 비밀번호만 바꾸려는 경우 안드로이드 폰에서는 계정 탭의 비밀번호 변경 항목을 누르면 되고, 아이폰은 고객센터> 비밀번호 재설정에서 가능하다.
마지막으로, 만일 해커가 계정과 비밀번호를 모두 바꿔버려 아예 접속이 안되는 상태라면, 고객센터 탭을 클릭한 다음 ‘Netflix 고객 센터 문의’ 영역의 문의 전화 또는 채팅 버튼을 눌러 상담 후 계정 복구를 진행하면 된다. 참고로 전화 문의 시 넷플릭스 계정에 등록된 카드의 뒷번호 8자리로 본인 확인을 한 후, 로그인 계정을 변경해주는 것이 좋다.
안랩 역시 이번 사건과 관련해 피싱 메일로 인한 피해를 예방하기 위한 보안 수칙으로 ▲이메일 발신자 꼼꼼히 확인 ▲수상한 메일 내 첨부파일 및 URL 실행 금지 ▲V3 등 백신 프로그램 최신 버전 업데이트 및 피싱 사이트 차단 기능 활성화 ▲사용 중인 운영체제(OS), 인터넷 브라우저, 오피스 소프트웨어(SW) 등의 프로그램 최신 버전 유지 및 보안 패치 적용과 같은 기본적인 것들을 제시했다.
안랩은 다양한 피싱 이메일 샘플 정보를 바탕으로 구축한 AI 기반 피싱 이메일 탐지 모델을 활용해 이번 사례를 탐지하고 분석했다. AhnLab V3는 이번 공격에 사용된 피싱 페이지 URL을 진단하고, 샌드박스 기반 지능형 위협(APT) 대응 솔루션인 AhnLab MDS는 해당 메일을 차단한다.
안랩 인공지능팀 전제민 수석연구원은 “향후 다른 유명 서비스를 사칭한 공격이 등장할 수 있기 때문에 사용자는 의심스러운 메일에 포함된 첨부 파일 및 URL을 실행해서는 안 된다”라고 강조했다.
출처 : AhnLab
