피싱 메일은 사이버 범죄의 가장 흔한 진입점이에요. 한 번 잘못 클릭하면 비밀번호·카드 정보·개인 정보가 모두 탈취당할 수 있습니다. 정교한 피싱일수록 진짜와 구분이 어려우니 의심 신호를 알고 대응법을 익혀 두세요.
1. 발신자 이메일 도메인
공식 회사 메일은 회사 도메인(@kakao.com, @naver.com)에서 발송돼요. 피싱 메일은 비슷해 보여도 도메인이 미묘하게 달라요(@kakaaomail.com, @nver.com). 받은 편지함에서 발신자 이름이 아닌 "실제 이메일 주소"를 클릭해 도메인을 확인하세요. 보안·암호 가이드에서 사이버 보안 정보를 확인하세요.
2. 긴급성과 위협
"24시간 안에 클릭하지 않으면 계정이 정지됩니다", "즉시 결제 정보를 업데이트하세요" 같은 긴급성 표현은 피싱의 대표 신호예요. 정상 회사는 절대 이메일로 긴급한 위협을 가하지 않습니다. 의심스러우면 메일을 닫고 공식 사이트에서 직접 로그인해 확인하세요.
3. 이상한 한글 표현
자동 번역된 듯한 어색한 한국어, 띄어쓰기 오류, 어색한 존댓말은 피싱의 단서예요. 글로벌 해커가 한국 사용자를 노린 메일은 번역 도구를 거쳐 전달되는 경우가 많아요. "고객님께서는 즉시 패스워드를 갱신해 드시기 바랍니다" 같은 부자연스러운 문장은 의심해 보세요.
4. 의심스러운 링크
메일 안의 링크에 마우스를 올리면 "실제 이동할 URL"이 좌하단에 표시돼요. 표시된 텍스트와 실제 URL이 다르거나(예: "카카오 로그인" 텍스트 + 다른 도메인 URL), URL이 비정상적으로 길거나 단축 URL(bit.ly)이라면 클릭하지 마세요.
5. 첨부 파일
첨부 파일이 있다면 더욱 의심해 보세요. 정상 회사는 중요한 문서를 첨부 파일로 보내는 경우가 드뭅니다. 특히 ① .exe ② .zip ③ .docm(매크로 포함 워드) 파일은 절대 열지 마세요. 정말 필요한 파일이라면 회사 공식 사이트에서 다운로드하는 것이 안전해요.
6. 개인 정보 요청
비밀번호, 주민등록번호, 카드번호를 이메일로 묻는 회사는 절대 없어요. 이메일에 개인 정보를 요청하는 모든 경우는 100% 피싱입니다. 신뢰하는 회사라도 절대 응답하지 마세요.
7. 받는 사람이 일반화된 호칭
"안녕하세요 고객님", "Dear Customer" 같이 본인 이름이 없는 호칭은 "무차별 대량 발송"의 신호예요. 정상 회사는 본인 이름이나 회원명을 호칭에 사용합니다. 단, 일부 회사도 일반화된 호칭을 쓰니 이 신호 하나만으로 판단하지 말고 다른 신호와 함께 보세요.
8. 공식 사이트 직접 접속
의심스러운 메일을 받으면 메일 안의 링크를 클릭하지 말고 "브라우저에 직접 공식 URL을 입력"해 접속하세요. 카카오는 kakao.com, 네이버는 naver.com을 직접 입력해 로그인 후 알림을 확인하면 진짜 메시지인지 알 수 있어요. 비밀번호 생성기 같은 보안 도구도 함께 활용하면 안전합니다.
피싱 의심 시 신고
피싱 메일을 받았다면 ① 클릭하지 말고 즉시 삭제 ② 한국인터넷진흥원(KISA) 118 신고 ③ 회사 공식 사이트에 신고 ④ 본인 계정 비밀번호 변경. 만약 클릭했다면 ① 즉시 비밀번호 변경 ② 카드사에 카드 정지 요청 ③ 컴퓨터 백신 검사. 빠른 대응이 2차 피해를 막아요.
