보안 / 컨슈머라이제이션

스팸 메일을 구별하는 5가지 방법

Josh Norem | PCWorld 2021.11.11
모든 사람은 살아있는 동안 스팸 메일과 사기성 이메일, 혹은 문자를 받게 된다. 이런 사실 때문에 벤자민 프랭클린이 남긴 명언 ‘세상에 확실한 것은 죽음과 세금뿐’을 ‘죽음과 세금, 그리고 스팸뿐’으로 바꿔야 할지도 모르겠다.
 
ⓒ Getty Images Bank

스팸 메일은 쉴 새 없이 온다. 이 글을 읽는 순간 사용자의 스팸 폴더에 수백 통이 들어있을 수도 있다. 스팸 폴더가 필요하다는 사실 자체만으로도 문제가 있음을 알 수 있다. IT에 능통한 사용자는 스팸 메일을 잘 구별하고 분류한다. 문제는 가족이다. 어머니, 아버지, 숙부, 먼 친척 중 누군가가 스팸 메일과 사기성 이메일에 익숙하지 않을 수 있다. 이런 가족에게 알려주면 좋을 스팸 메일 구별법을 몇 가지 소개한다.


항상 발신자를 파악하고 확인할 것

갑작스러운 지인의 이메일을 경계할 필요가 있다. 통상적으로 가족은 활발히 이야기하고 있는 주제와 관련된 내용으로 이메일을 보낸다. 때문에 예고 없는 이메일이 오면 사기성 메일일 가능성이 있기 때문에 신중히 살펴야 한다. 특히 이메일 안에 링크가 있다면 거의 사기성 메일이다. 

해커는 종종 다른 사람의 이메일 계정을 탈취한 뒤 연락처의 모든 사람에게 스팸 메일을 발송한다. 이 메일은 겉으로는 안전해 보이지만, 메일에 포함된 링크는 악성 프로그램을 설치하는 악성 링크일 수 있다. 다행히도 쉽게 대응하는 방법이 있다. 이메일을 보낸 사람이 진짜 그 사람인지 확인하는 것이다. 간단한 전화나 문자 한 통이면 해결된다. 지인이 “무슨 이메일?”이라고 반문하면, 다음에 해야 할 일은 뻔하다. 

스팸으로 의심되는 이메일을 조사할 때는 발신자 이름은 물론 이메일 주소까지 확인해야 한다. 예를 들어, 필자는 최근 페이스북으로부터 이메일을 받았는데, 가짜 이메일이었다. 드롭다운 메뉴를 클릭해 실제 이메일 주소와 참조된 발신인을 확인했더니, 이메일 주소가 facebookmail750@gmail.com였다. 
 
ⓒ IDG

 

이메일 속 링크를 항상 확인할 것

일반적으로 출처를 안다고 생각하더라도 이메일 링크는 절대 클릭하지 않는 것이 안전하다. 실제 출처가 다를 수 있고, 피싱 공격의 피해를 입는 주된 경로이기도 하다. 따라서 출처가 확실하고, 스팸이나 사기성 이메일이 아니라고 확신하는 경우에도 클릭을 하기 전에 링크를 조사해야 한다. 
 
ⓒ ITWorld

방법은 간단하다. 이메일 링크 위에 마우스 커서를 갖다 대면 브라우저 하단(통상적으로 왼쪽 하단)에 실제 링크를 보여주는 작은 팝업 창이 나타난다. 예를 들어 이 기사에 마우스를 가져가면, 왼쪽 하단에 링크가 연결된 실제 웹페이지 주소가 표시된다. 사용하는 브라우저에서 이 미리보기 기능을 활성화시켜야 할 수도 있다. 

스팸 링크 위로 마우스를 가져가면 일반적으로 아주 낯선 형태의 URL이 표시된다. 스팸이라는 의미다.


맞춤법 실수를 경계할 것

잘못된 철자나, 구두점, 부자연스러운 표현 사용은 스팸 메일을 가장 쉽게 알아보는 방법이다. 사기성 메일 발신자 대부분은 외국에 뿌리를 두고 있기 때문에 이런 일이 발생한다. 물론 이메일은 일상적인 소통 수단이며 완벽한 사람은 없다. 누구나 이메일에서 잘못된 철자를 사용하거나 맞춤법을 틀릴 수 있다. 하지만 이메일을 작성하면서 이상한 느낌이 든다면 스팸 메일로 분류하자. 
 
ⓒ ITWorld


대형 업체에서 보낸 이메일에 주의할 것

아이클라우드나 구글 스토리지처럼 유료 서비스 사용에 대한 명세서를 받는 경우를 제외하면, 페이스북이나 애플, 구글에서 이메일을 받는 일은 거의 없다. 대형 업체는 계정에 문제가 있음을 알리는 이메일을 갑작스럽게 보내지 않는다. 모르는 장치가 계정에 로그인할 때 새 장치인지, 악의적 의도를 가진 사용자의 행위에 의한 것인지 확인하는 이메일을 보낼 뿐이다. 온라인 서비스 계정에 모두 이중 인증을 사용하면 애초에 이런 일이 발생하지 않는다. 

링크와 관련된 안전한 예외가 있다. 예컨대 필자는 최근 구글에서 이중 인증 설정을 위해 2번째 전화번호를 추가하라는 이메일을 받았다. 구글은 보안 관련된 업무에 철저하기 때문에, 메일 하단에 클릭이 되지 않는 링크를 포함시켰다. 필요한 경우 클릭 대신 복사/붙여넣기로 이용할 수 있는 링크다. IT에 능통한 사용자는 앞서 설명한 것처럼 클릭이 가능한 링크를 조심해야 한다는 것을 알고 있기 때문에 이런 방법을 사용하는 것이다. 또한 대부분 대형 업체는 이메일로 비밀번호를 절대 묻지 않는다는 사실을 이메일에 기재한다.
 
ⓒ IDG

유념할 점이 한 가지 더 있다. 페이스북 같은 대형 업체는 클릭할 수 있는 링크가 있는 이메일을 보내지 않는다. 대형 업체가 보내는 것은 특정한 정보를 알려주는 이메일이다. 이메일 내용과 관련된 추가 사항이 궁금하다면, 이메일 외부에서 조사를 해야 한다. 페이스북이나 구글 앱, 아이폰의 설정을 열어 문제를 확인하는 것을 추천한다. 


이메일만큼 위험한 문자

“아마존 배송이 지연되고 있다. 상태는 여기에서 확인할 수 있다”라는 내용의 문자를 받으면 링크를 클릭하고 싶을 때가 있다. 아마존 배송을 기다리는 경우가 많으므로 이런 종류의 메시지는 사용자의 상황에 부합할 수 있다. 하지만 사기성 문자인 경우가 많다. 문자에 포함된 링크는 미리보기를 하지 않고서는 확인할 방법이 없기 때문에 이메일보다 더 위험하다. 미리보기 방법을 모르는 사람도 많지만, 발전을 거듭하고 있는 스마트폰은 이제 링크의 미리보기를 이미지 상자로 표시한다. 하지만 공격자는 이를 우회하는 방법을 발견했기 때문에 미리보기 상자가 없는 경우도 있다. 가장 좋은 방법은 문자를 무시하고 발신자를 차단하는 것이다.
 
ⓒ ITWorld/IDG

일부 사기성 문자는 문자 속 URL 만으로도 사기성 링크인 것을 알 수 있다. 그러나 메시지가 더 정교하다면 어떨까? 사용자의 이름을 사용하고, 일상에 실제 적용할 수 있는 메시지라면 어떨까?

이메일과 동일한 원칙이 문자에서도 적용된다. 발신자를 모를 경우 링크를 열지 않는 것이다. 발신자가 지인일 경우에도, 그 사람이 보낸 것이 맞는지 연락해서 확인해야 한다. 어느 쪽이든 링크를 클릭하지 않는다고 해서 삶에 지장이 생기는 것은 아니다. 


요약 

정리해 보자. 피해자가 링크를 클릭함으로써 성공을 거두는 피싱 및 악성코드 공격이 아주 많다. ‘클릭하지 않는’ 악성코드를 받을 일은 없을 것이다. ‘클릭 없는’ 악성코드는 암시장에서 아주 비싸게 거래되기 때문에 고위 정부 관료, 부패에 대해 조사를 하는 언론인을 주요 표적으로 삼는다. 일반 사용자는 이메일이나 문자 등으로 전달되는 의심스러운 메시지에서 특정한 행동을 해야만 피해를 입는다. 그러니 아무리 궁금해도 의심스러운 링크를 절대 클릭하지 말고, 항상 안전하게 행동하자. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.