최근 Criminal IP의 악성 도메인 탐지 데이터에서 공공기관을 사칭한 피싱 사이트 2건이 발견되었다. 위협 인텔리전스 분석 결과, 두 사이트는 다양한 근거 데이터와 정황을 통해 동일한 방식으로 대량 생성된 피싱 사이트임이 확인되었다.
이 번 글에서는 최근 공공기관 사칭을 이용한 스미싱·피싱 피해가 급증하는 상황에서, 탐지된 실제 도메인 사례를 분석하여피싱 공격을 효과적으로 탐지하고 예방하는 방법을 제시하기로 한다.
똑같은 생김새의 공공기관 사칭 피싱 사이트: 교통민원 조회, 건강검진 조회
위 이미지는 Criminal IP Domain Search로 탐지된 공공기관 사칭 피싱 사이트의 실제 화면이다.
교통민원과 건강검진을 사칭한 두 사례는 구조와 디자인이 거의 똑같아, 동일한 템플릿으로 복제된 것으로 보인다.또한, 두 피싱 사이트 모두 정보 조회를 위해 주민등록번호 입력을 요구하고 있는 동일한 데이터 탈취 목적을 보이고 있다.
기관명, 주소, 전화번호 등 자세히 안내된 푸터 정보를 보면 겉보기에는 공식 기관 페이지로 보이지만, 기재된 주소와 고객센터 번호를 구글에 검색해 보면 아래와 전혀 다른 기관의 콜센터 전화번호로 확인되며, 주소 또한 전혀 관련 없는 주소지로 확인된다.
- 교통민원 사칭사이트에 안내된 국번 없이 182: 경찰민원 콜센터
- 건강검진 사칭사이트에 안내된 국번 없이 1355:국민연금공단 콜센터
따라서 두 개 사이트는 공공기관을 사칭한 위조 사이트임이 명확하다.
스미싱으로 악용되는 공공기관 사칭 피싱 사이트
잘 알려진 공공기관 스미싱 공격 패턴을 보면, 공격자는 먼저 공식 기관에서 보낸 안내문처럼 보이도록 발신자 이름·문구를 위조한다.
아래의 예시 SMS에서는 [교통민원24(이파인)] 같은 표기를 사용해 수신자가 즉시 신뢰하도록 설계되어 있다. 메시지는 대개 과태료나 벌점처럼 긴급한 조치를 요구하며 감정적인 반응을 유도한다. 이렇게 불안을 자극하면 사용자는 확인 없이 링크를 클릭하거나 개인정보를 입력할 가능성이 크게 높아진다.
또한 메시지 문구는 간결하고 구체적이다. 날짜·사건명 등 사실감 있는 요소를 넣어 ‘나에게 해당되는 안내’처럼 보이게 한다. 이런 설계는 단순 스팸이 아니라 표적을 속이기 위한 심리전의 한 형태다.
기타, 스팸 SMS나 스팸 이메일, 검색 광고등 이들 경로는 동시에 사용되며, 페이지에서 링크를 클릭하거나 개인정보를 입력하면 입력한 정보는 곧바로 공격자에게 전송되어 즉시 악용될 수 있다.
Criminal IP를 활용한 공공기관 사칭 피싱 사이트 탐지 및 공통점 분석
위에서 소개한 두 사례는 일반 사용자가 피싱 사이트인지 식별하기 어렵게 만들어졌지만 이를 Criminal IP Domain Search를 활용하면 간단히 식별할 수 있다.
Criminal IPDomain Search를 사용하여 실제 피싱 사이트의 도메인을 실시간 스캔하면, 다음과 같은 도메인 리포트를 확인할 수 있다.
1, 교통민원 사칭 사이트의 도메인 스캔 리포트
Criminal IP Domain Scan Report: “https://snps[.]iskr[.]lat/sc”
2, 건강검진 피싱 사칭 사이트의 도메인 스캔 리포트
Criminal IP Domain Scan Report: “https://snpx[.]gsnis[.]help”
Criminal IP Domain Search를 통해 도메인snps[.]iskr[.]lat/sc 와 snpx[.]gsnis[.]help 를 스캔한 결과 두 도메인 모두 도메인 스코어링 99.0%(Critical)로 분류되어 있어, 즉시 차단 및 조사가 필요한 대상으로 나타났다.
Summary의 Newborn Domain 데이터에 따르면 도메인 등록일 또한 최근으로 확인되어, 신뢰할 수 없는 신규 도메인이라는 점에서 의심 정황이 더욱 뚜렷하다.
일반적으로 공공기관은 오랜 기간 사용해온 공식 도메인을 유지하는 경우가 많다. 반면 공격자는 빠르게 도메인을 대량 등록하고 짧게 운영하는 경향이 있어, 막 생성된 도메인이 공공기관을 사칭한다면 그 자체로 경고 신호가 된다.
※ 참고: Summary의 사이트 설명은 엔터프라이즈 전용 신규 기능으로, 해당 기능은 AI 기반 분석을 통해 도메인 설명·위험 요인 등을 자동으로 보강한다.
추가로, 리포트 하단에서는 피싱 사이트의 실제 접속 화면을 스크린샷으로 확인할 수 있다.
이러한 위조 페이지는 단순 접속 만으로도 악성코드 감염 등 위험에 노출될 수 있으므로, 직접 방문하기 전에 반드시 Criminal IP와 같은 실시간 도메인 스캔 도구로 먼저 검사하는 것이 안전하다.
또한, Criminal IP Domain Report 분석 결과, 두 사이트는 모두 DAOU TECHNOLOGY가 제공하는 동일 호스팅 인프라에 연결되어 있었다.
이는 공격자가 특정 호스팅 계정을 탈취했거나, 자동화된 도메인 생성 스크립트를 통해 대량의 위조 사이트를 동일 인프라에 배치했음을 보여준다.
공공기관 사칭 피싱 사이트의 예방 및 대응 방안
공공기관 사칭 피싱은 누구나 표적이 될 수 있다. 따라서 일상에서 바로 실천할 수 있는 기본 보안 수칙을 반드시 기억해야 한다.
- 수상한 링크 주의 : 문자·메일에 포함된 링크는 클릭 전 주소를 직접 확인하고, 불분명한 도메인은 접속하지 않는다.
- 개인정보 입력 자제 : 주민등록번호·금융정보 입력을 요구하는 경우 즉시 중단하고, 기관 공식 채널을 통해 사실 여부를 확인한다.
- 보안 도구 활용 : Criminal IP와 같은 위협 인텔리전스를 활용하여 의심 도메인을 선제적으로 탐지·확인한다.
자주 묻는 질문 (FAQ)
Q1. 피싱 사이트는 어떻게 구분할 수 있나요?
디자인만으로는 구분이 어렵습니다. Criminal IP와 같은 위협 인텔리전스를 통해 도메인의 등록일 정보, SSL 인증서, 연결된 인프라(IP/호스팅사)등을 확인하는 것이 필요합니다.
Q2. 무작위로 생성되는 피싱 도메인을 빠르게 탐지하려면 어떻게 해야 하나요?
Criminal IP의 Threat Intelligence 데이터베이스를 활용하면, 신규 등록 도메인 중 공공기관 키워드가 포함된 위조 사이트를 조기에 탐지할 수 있습니다.
Q3. 의심 링크를 클릭했거나 개인정보를 입력했다면 어떻게 해야 하나요?
즉시 접속을 중단하고 네트워크 연결을 끊습니다. 비밀번호·OTP·결제수단 등을 변경하고 해당 기관·금융사에 즉시 신고합니다. 신고 시 URL·접속 시간·스크린샷을 함께 보관하는 것이 좋습니다.
결론
이번 공공기관 사칭 피싱 사례는 단순한 우연이 아닌, 동일한 틀로 찍어낸 위조 페이지가 반복적으로 유포되고 있음을 보여준다. 외형만 보고선 식별하기 어렵지만, 도메인 등록일·호스팅·페이지 구성 같은 기술적 단서는 분명히 존재한다.
Criminal IP Domain Report는 이러한 공격을 인프라 단위로 추적해 조기에 탐지할 수 있는 강력한 도구다. 단순히 개별 도메인 차단에 머무르지 않고, 인프라 기반 위협 인텔리전스를 활용해 조직 차원의 대응 전략을 마련하는 것이 중요하다.
관련하여 코인 소각 스미싱 주의! Criminal IP Domain Search로 식별하는 방법 글을 참고 할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처: Criminal IP(https://www.criminalip.io/ko)
관련 글 : https://www.criminalip.io/ko/knowledge-hub/blog/29617