디지털 혁신의 시대에 가짜 웹사이트를 구별하는 방법은 단순히 알아두면 유용한 것일 뿐만 아니라 온라인에서 자신을 보호하기 위해 반드시 필요한 지식입니다. 사기성 웹사이트를 식별하는 방법을 알아두면 사적, 공적 개인 식별 정보와 금융 정보, 이메일, SNS 로그인 정보를 보호할 수 있습니다.
최근 코로나19 관련 사기와 신원 도용 범죄가 증가하고 있습니다. 미국 보건복지부는 국민들에게 코로나바이러스 관련 사기가 전화나 문자, SNS 메시지 또는 웹사이트의 형태로 발생할 수 있다고 경고했습니다. '뉴 노멀(New Normal·새로운 일상)' 시대로 전환하더라도 온라인 사기는 멈추지 않고 더 늘어날 가능성이 높습니다. 따라서 웹사이트의 진위 여부를 확인하는 방법을 숙지하면 현재와 미래에 가짜 웹사이트로부터 사용자를 보호하는 데 도움이 될 것입니다.
가짜 사이트의 주요 특징 중 하나는 URL의 철자 오류입니다. 사기범들은 amazon.com에서 URL 이름을 살짝 바꾸거나(예: amaz0n.com), 도메인 확장자를 바꾸고는 합니다(예: amazon.org).
사이트 인증마크(seal)는 신뢰할 수 있는 사이트임을 나타내는 표시로, 일반적으로 인증마크를 클릭하면 웹사이트에 대한 자세한 정보와 인증을 받은 방법을 확인할 수 있습니다. 클릭해도 아무 동작이 일어나지 않는 마크는 불법 복제 마크일 가능성이 높으므로 신뢰해서는 안 됩니다.
웹사이트에 있는 자물쇠 표시는 사용자 데이터를 암호화하는 TLS/SSL 인증서로 사이트가 보호되고 있음을 의미합니다. 자물쇠 표시는 주소창 왼쪽 상단에서 찾을 수 있습니다. 자물쇠가 표시되는 TLS 인증서에는 세 가지 유형, 즉, 도메인 검증, 조직 검증, 확장 검증이 있습니다.
사이트에 자물쇠 표시가 없는 경우 대부분의 브라우저에서는 '주의 요함(not secure)'이라는 경고를 표시합니다. 다만 과거에는 단순히 자물쇠 표시를 확인하는 것만으로도 충분했지만, 온라인 사기가 증가함에 따라 사이트 검증 시 다른 부분도 면밀하게 살펴봐야 합니다.
자물쇠 표시는 사이트상의 정보가 암호화되어 브라우저가 해당 사이트를 안전한 것으로 간주한다는 의미입니다. 하지만 안타깝게도 요즘에는 보안 사이트라고 해서 반드시 무언가를 구매하거나 정보를 공유해도 안전하다고는 할 수 없습니다. 사이트에 자물쇠 표시가 있더라도 가짜가 아니라고 확신할 수 없다는 뜻입니다. 연구에 따르면 피싱에 사용되는 가짜 사이트의 절반 정도는 자물쇠 표시가 있는 것으로 밝혀졌습니다.
보통 사기범이 일부 인증 기관에서 무료로 제공하는 낮은 수준의 TLS 인증서인 DV 인증서를 사용하여 사이트 소유자임을 증명하기만 해도 자물쇠 표시를 획득할 수 있습니다. DV 인증서가 있으면 회사가 합법적이라는 것을 증명할 필요가 없습니다. 간혹 OV 또는 EV 인증서를 사용하는 경우도 있기는 하지만, 이러한 인증서를 발급받으려면 사업자 등록증을 제시하고, 유효한 신용 카드를 사용하여 결제를 진행하고, 인증 기관의 문의에 답변하는 등 더 많은 노력이 필요하기 때문에 대부분의 범죄자는 사용하지 않습니다.
TLS 인증서를 사용하는 가짜 웹사이트는 대부분 적발되지만 일시적으로 큰 피해를 입힐 수 있습니다.
보다 자세한 정보를 확인하려면 자물쇠 표시를 클릭하여 그 너머에 무엇이 있는지 살펴봐야 합니다. 최고 수준의 인증을 받은 경우, 자물쇠 표시를 클릭하면 '(유효한)인증서' 아래에 '발급 대상: [회사명]'이 표시됩니다. 안타깝게도 이 기능은 현재 데스크톱 브라우저에서만 작동하지만, 모바일 브라우저를 사용하든 데스크톱을 사용하든 자물쇠 표시 너머에 있는 정보를 살펴봐야 한다는 원칙에는 변함이 없습니다.
의심스러운 부분이 있는 경우, 웹사이트 검사기를 사용하여 웹사이트가 안전한지 확인하도록 합니다. 웹사이트 보안 검사를 수행하면 사이트의 취약점과 암호화 사용 여부, 인증 수준을 알 수 있습니다.
자물쇠 표시와 인증마크를 확인하고 웹사이트 검사기를 통해 URL을 실행해 보는 것 외에도 사이트에서 다음과 같은 신뢰 지표를 찾아보세요.
일반적으로 과도하게 저렴하거나 좋은 조건의 거래는 사기일 가능성이 높으니 피하세요.
사기 사이트에 접속한 경우 금융 정보, ID 및 비밀번호, 인증 코드, Facebook 로그인 정보, 이름과 연락처 정보와 같은 민감한 정보를 제공하지 마세요. 의심스러운 부분이 있는 경우에는 입력 양식을 작성해서는 안 됩니다. 또한 출처가 불분명한 이메일이나 온라인 게시물 또는 DM의 링크를 클릭하지 마세요. 가짜 사이트를 구분할 수 있으면, 특정 사이트에서 구매 여부를 판단할 때 도움이 됩니다.
또한 가짜 사이트 발견한 경우 Google 세이프 브라우징에 신고하여 즉시 폐쇄 조치되도록 해야 합니다.