[공격기법 분석노트 #2] 도메인 스푸핑 – 피싱 링크를 구분 못 하는 진짜 이유

사용자들이 피싱 링크를 쉽게 속는 이유는 단순한 부주의만이 아닙니다.
도메인 스푸핑(domain spoofing)은 사용자가 "진짜처럼 보이는 주소"를 클릭하도록 유도하는 공격 방식으로, 기술적으로 매우 정교하게 구성됩니다.

---

1. 도메인 스푸핑이란?

공격자가 합법적인 도메인과 유사한 문자열로 구성된 주소를 만들어, 이메일·문자·SNS를 통해 피해자에게 전달하는 공격입니다.
주소 자체는 육안으로 보면 거의 차이가 없어 피싱 페이지로 연결되기 전까지 의심하기 어렵습니다.

🔍 예시 비교:
- https://www.paypal.com (진짜)
- https://www.paypaI.com (소문자 l → 대문자 I)
- https://secure-paypa1.net (유사한 단어 + 타 도메인)

---

2. 주로 쓰이는 스푸핑 유형

• 문자 조작: 알파벳 유사 문자 활용 (i ↔ l, o ↔ 0)
• 서브도메인 활용: login.paypal.com.maliciousdomain.org
• 국제 문자 혼용: 구분 불가능한 그리스 문자 등 삽입 (IDN homograph)
• 비슷한 TLD: .com → .co / .cm / .xyz

이처럼 스푸핑은 단순한 사기라기보다, 시각적 유사성을 기반으로 한 정교한 \"소셜 엔지니어링 + 기술 위장\" 공격입니다.

---

3. 피해 사례 및 실제 이메일 패턴

- 국내 카드사 사칭 메일: <event@shinhan-support.com>
- 쿠팡 피싱: <coupon-alert@coupang-login.co>
- 정부기관 사칭: <gov-corona@korea-center.kr>

대부분 SPF/DKIM 미설정, 유사 도메인, HTTPS 인증서까지 보유한 경우도 많아 사용자는 쉽게 속을 수밖에 없습니다.

---

4. 실무 대응 가이드

1) 이메일 필터 정책 강화
→ DMARC 설정, 도메인 화이트리스트 적용

2) 링크 클릭 전 도메인 구조 분석 교육
→ \"왼쪽부터 오른쪽으로 읽는 도메인 규칙\" 학습

3) 브라우저 보안 확장기능 사용
→ Netcraft Extension, HTTPS Everywhere 등 활용

4) 모바일 브라우저 주소창 확대 설정
→ 도메인 구조 전체를 항상 보여주는 설정 권장

---

도메인을 사칭한 피싱 링크는 그 자체로는 합법처럼 보이지만, 실제 연결된 콘텐츠는 계정 탈취나 악성코드 유포로 이어집니다.
비슷해 보이는 주소일수록 더 의심하고, 구조적으로 분석하는 습관이 중요합니다.

도움이 되셨다면 댓글이나 구독 부탁드립니다! 🙏