
피싱 사기를 방지하는 본인 확인 메커니즘
요약
피싱 사기 피해가 급증함에 따라 본인 확인 메커니즘의 취약점을 분석하고 대응 방안을 제시합니다. 기존 SMS OTP 방식의 한계를 지적하며, FIDO2/WebAuthn 기반의 패스키와 같은 강력한 인증 체계의 필요성을 강조합니다.
핵심 포인트
- 2024년 피싱 보고 건수가 역대 최다인 약 171만 건으로 증가
- 실시간형 피싱은 SMS OTP 등 2단계 인증을 무력화할 수 있음
- URL 확인, 재촉하는 표현 주의, 공식 앱 사용 등 기본 수칙 준수 필요
- FIDO2/WebAuthn 기반 인증은 도메인 결합으로 피싱에 강력한 내성 보유

「Rakuten(라쿠텐)에서 알려드립니다」 「Amazon(아마존) 계정에 문제가 발생했습니다」.
이러한 메일이나 SMS를 본 적이 없는 사람은 거의 없을 것이다. 클릭해 버린 경험이 있는 사람도 적지 않을 것이라 생각한다. 그것이 바로 피싱 사기다.
피싱 사기 (phishing)는 실재하는 기업이나 기관을 사칭한 가짜 메일·SMS·사이트로 유도하여, ID나 비밀번호·신용카드 정보 등을 입력하게 만드는 사기다.
피싱 대책 협의회의 발표에 따르면, 2024년의 피싱 보고 건수는 과거 최다인 1,718,036건으로 전년 대비 약 1.44배 증가했다. 피해를 입은 브랜드는 177종에 달하며, 신용카드·신용업계·금융계·통신 사업자가 주요 표적이 되고 있다.
인터넷 뱅킹과 관련된 부정 송금 피해액은 86억 9,000만 엔이며, 그 수법의 약 9할이 피싱이라고 경찰청은 발표하고 있다.
근본적인 문제는 피싱 사기의 상당수가 「본인 확인의 취약함」을 노리고 있다는 점이다.
비밀번호만으로 로그인할 수 있는 서비스는 비밀번호만 훔치면 침입할 수 있다. SMS로 도착하는 일회용 비밀번호 (OTP) 또한 「실시간형 피싱 (real-time phishing)」이라 불리는 수법에서는, 피해자가 피싱 사이트에 입력한 정보를 공격자가 즉시 정규 사이트에 입력하여 돌파할 수 있다.
경찰청의 2025년 상반기 보고에서는 실시간형 피싱으로 2단계 인증을 돌파하는 수법이 횡행하고 있다고 명시되어 있다.
몇 가지 포인트를 확인하면 알아차릴 수 있는 경우가 많다.
URL을 확인한다
Rakuten·Amazon·금융기관 등의 브랜드를 사칭한 메일이라도, 링크된 URL이 공식 도메인과 다르다. 클릭하기 전에 URL을 잘 확인한다. 스마트폰에서는 길게 누르면 URL이 표시된다.
재촉하는 표현에 주의한다
「지금 바로 확인하지 않으면 계정이 정지됩니다」 「24시간 이내에 절차를 진행해 주세요」와 같이 긴박감을 연출하는 표현은 판단을 재촉하기 위한 수법이다.
공식 앱이나 직접 접속을 사용한다
메일의 링크가 아니라, 북마크나 공식 앱을 통해 직접 로그인하여 확인하는 습관을 들이면 피싱 사이트로의 유도를 회피할 수 있다.
다요소 인증 (MFA)은 유효한 대책이지만, 완전하지는 않다.
SMS 인증은 실시간형 피싱에 취약하다. 피해자가 피싱 사이트에 SMS로 도착한 코드를 입력하면, 공격자는 그 코드를 즉시 정규 사이트에서 사용한다. 피해자는 「인증을 통과했다」고 생각하지만, 실제로는 계정에 침입당하고 있는 것이다.
보다 강력한 방법은 FIDO2/WebAuthn을 준수하는 인증이다. FIDO Alliance가 책정한 이 규격은 사이트의 도메인과 인증 정보가 연결되어 있기 때문에, 피싱 사이트에서는 작동하지 않도록 설계되어 있다. 주요 브라우저와 스마트폰의 패스키 (Passkey) 기능은 이에 대응하고 있다.
피싱 사기의 상당수는 「이 조작을 하고 있는 사람이 정말 본인인가」에 대한 확인이 약한 곳을 노린다.
본인 확인의 강도를 높임으로써, 설령 인증 정보가 도난당하더라도 부정 로그인이 어려워진다. 현재의 디지털 본인 확인에는 주로 3가지 레이어가 있다.
① 지식 기반 (Knowledge-based): 비밀번호·비밀 질문. 도난당하기 쉽다.
② 소지 기반 (Possession-based): 스마트폰·IC 카드·보안 키. FIDO2 대응 물리 키는 피싱 내성이 높다.
③ 생체 기반 (Biometric-based): 지문·얼굴 인증. 디바이스 상에서의 인증은 피싱에 강하지만, 서버 측에서의 생체 정보 관리는 리스크를 동반한다.
IPA (정보처리추진기구)는 FIDO2 대응 인증 방식의 도입을 서비스 운영자에게 권장하고 있으며, 디지털청도 마이넘버 카드를 활용한 본인 확인 기반 정비를 추진하고 있다.
특히 주의가 필요한 상황은 다음과 같다.
① 캐시리스 결제·신용카드
2024년 피해 중 가장 많았던 것은 신용카드·신용업계의 사칭이다. 「이용 확인」 「부정 탐지」를 가장한 메일이 많다.
② 인터넷 뱅킹
부정 송금 수법으로 직결되기 때문에 공격자가 가장 노리기 쉽다. 실시간형 피싱과 더불어, 보이스 피싱 (전화로 이메일 주소를 알아낸 뒤 피싱 메일을 보내는 수법)도 2024년에 급증하고 있다.
③ EC·배송 서비스
Amazon이나 택배의 부재중 통지를 가장한 SMS 피싱 (스미싱, smishing)은 건수가 많으며, 일상적으로 사용하는 서비스인 만큼 경계심이 풀리기 쉽다.
피싱 사기의 최종적인 목적은 도난한 인증 정보를 사용한 계정 탈취다. 비밀번호와 OTP를 빼앗으면 많은 서비스에 침입할 수 있다.
계정 탈취에 대한 대책으로 주목받고 있는 것은, 인증 정보뿐만 아니라 "이 조작을 하고 있는 사람이 실제 인간인가"를 확인하는 레이어 (Layer)를 추가하는 접근 방식이다.
피싱 피해를 조사하던 중, Tinder가 proof of human (인간임을 증명) 메커니즘을 파일럿 도입했다는 이야기를 알게 되었다. World ID라는 메커니즘을 통해, Orb 인증을 완료한 사용자에게 "실재하는 고유한 인간의 계정"임을 확인할 수 있다. 한 명의 인간에게 단 하나만 발행되도록 설계되었기 때문에, 피싱으로 훔친 인증 정보를 사용하여 다른 사람이 사칭하며 계정을 탈취했을 경우, 해당 조작을 "실제 소유자와는 다른 인간에 의한 것"으로 탐지할 가능성이 있다.
현시점에서는 매칭 앱이나 화상 회의에서의 활용이 앞서고 있지만, 계정 탈취 탐지로의 응용은 피싱 대책 측면에서 보았을 때 가장 직접적인 접점이 되는 방향이다. 피싱 사기의 입구가 되는 인증 정보 도난은 FIDO2/패스키 (Passkey)로 방지하고, 만약 돌파되었을 경우의 부정 조작을 proof of human으로 탐지한다는 다층 방어 (Defense in Depth)의 사고방식이다.
【1】FIDO2 대응 패스키 (Passkey) 또는 물리 보안 키를 설정한다
주요 서비스는 패스키 (Passkey) 대응이 진행되고 있다. SMS보다 피싱 내성이 높다.
【2】메일 링크를 직접 클릭하지 않는다
북마크나 공식 앱을 통해 접속하는 습관을 들인다.
【3】URL을 반드시 확인한다
브랜드명이 포함되어 있더라도, 공식 도메인과 일치하는지 확인한다.
【4】재촉하는 표현에는 멈춰 선다
긴급성을 부추기는 메시지일수록 사기일 가능성이 높다.
【5】피해를 인지하면 즉시 보고한다
피싱 대책 협의회와 IPA 정보 보안 안심 상담 창구에서 피해 보고와 상담이 가능하다. 부정 송금이 발생한 경우에는 금융 기관에 즉시 연락하는 것이 최우선이다.
- 2024년 피싱 보고 건수는 171만 8,036건으로 역대 최다, 부정 송금 피해는 86억 9,000만 엔
- 피싱 사기는 비밀번호 도용·SMS 인증 돌파·가짜 사이트 유도를 조합함
- 다요소 인증 (MFA)이라도 "실시간형 피싱"에는 취약한 경우가 있음
- FIDO2/패스키 (Passkey)는 도메인에 종속된 인증으로 피싱 내성이 높음
- 본인 확인 강화는 피싱 사기에 대해 구조적으로 유효하지만, 단일 수단으로 완벽한 방어는 없음
- 메일 링크를 직접 클릭하지 않기·URL 확인하기·재촉하는 표현에 멈춰 서기라는 행동 습관이 기본
관련 링크
AI 자동 생성 콘텐츠
본 콘텐츠는 Qiita AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기