AI로 보안의 가치를 더하는 기업, 누리랩

누리랩은 AI 기술 기반으로 보안 솔루션 연구 개발 및 서비스를 제공하는 AI 보안 전문 기업입니다.

세상에 도움이 되는 기술로 인류에게 가치를 제공한다! 자세히보기

보안 이슈 분석 리포트

KT 사칭 피싱 사이트 분석 보고서

누리알리 2025. 4. 29. 17:34
  • 국내 대표 통신사 KT를 사칭한 피싱 사이트 발견
  • 공식 KT 웹사이트를 모방하여 유사하게 만든 가짜 웹사이트로 현혹
  • 피싱 사이트에서 사용자의 카드 결제 정보 입력 유도 후 탈취

 


 
 
1. 분석 개요
 
최근 국내 대표 통신사인 KT를 사칭한 피싱 사이트가 발견되고 있다.
발견된 피싱 사이트는 KT의 높은 기업 신뢰도를 이용하여 사용자들을 속이는 스푸핑(spoofing) 기법이 활용되었다.
피싱 사이트는 유명 기업 및 브랜드, 공신력 있는 공공기관, 금융사 등의 웹사이트를 모방하여 유사하게 만든 가짜 사이트로, 사용자들의 개인 신상 정보나 금융 거래 정보를 탈취하여 악의적인 목적으로 사용하고자 만들어진다. 대표적인 예로, 아이디와 비밀번호를 입력하도록 유도하는 가짜 로그인 페이지와 신용카드 정보나 은행 계좌 번호를 입력하도록 유도하는 가짜 결제 페이지 등이 있다.
 
이번 분석 보고서는 AI 기반의 안티 피싱 분석 서비스인 에스크유알엘(AskURL)을 통해 탐지된 ‘KT 사칭 피싱 사이트’ 사례를 분석하여 피싱 공격에 대한 대처방법 및 예방법을 알아보고자 한다.
 
[그림 1] AskURL 분석 결과 화면

 

 

2. 상세분석

 

해당 피싱 사이트 URL로 접속하면, 다음과 같이 공식 KT 웹사이트와 유사하게 보이는 로그인 화면으로 연결된다.

 

[그림 2] 피싱 사이트의 로그인 화면

 

 

AskURL 분석 서비스를 이용하여 도메인 정보를 확인해보면 생성 국가가 일본인 것을 확인할 수 있다. 이처럼 피싱 사이트가 국내 기업인데 도메인 출처가 해외인 경우는 피싱 공격일 확률이 매우 높다. 일반적으로, 정상적인 웹사이트의 도메인은 해당 서비스나 기업 본사가 위치한 국가와 동일하게 등록되는 경우가 많다. 즉, KT의 도메인 등록 국가는 한국인 것이 일반적인 상황이다.

 

[그림 3] 도메인 생성 정보(AskURL 제공)

 

 

해당 페이지의 소스 코드를 통해 로그인 입력 폼을 상세적으로 분석해 보았다.

소스 코드 분석 결과, ./controllers/auth_i.php 라는 엔드포인트로 POST 형식의 API 요청을 보내고 있는 것을 확인할 수 있다. 이 요청은 개인정보(KT 로그인 정보)를 공격자의 서버로 전송하는 것으로 의심된다. 또 다른 분석 내용으론 아이디와 비밀번호를 이용한 인증 절차가 실제로는 누락되어 있는 것을 발견하였다. 즉, 사용자가 인증 정보를 제대로 입력하지 않아도 카드 정보 입력 화면으로 이동하게 되는데, 이를 통해 해당 피싱 사이트의 주요 목적은 금융 정보 획득이며, 그 외 로그인 정보는 중요하게 고려되지 않음을 확인할 수 있다.

 

[그림 4] 로그인 입력 폼 소스 코드

 

 

다음 분석을 이어가보면, 아이디와 비밀번호를 입력하고 로그인 버튼을 클릭하면 ‘load.html’로 이동하게 되는데, 이는 다시 카드 정보 제출을 요구하는 아래와 같은 경로로 이어진다.

 

[그림 5] 카드 정보 제출 경로

 

[그림 6] 카드 정보 입력 화면

 

 

해당 피싱 사이트의 URL을 분석한 결과, 일반적인 서비스 내용으로 정상 운영되고 있는 다른 웹사이트의 도메인이 이 피싱 사이트에 도용되었음을 확인되었다. 정상 웹사이트의 서버에 침투하여 서브 디렉토리를 조작함으로써 웹사이트를 변조한 LFI(Local File Inclusion) 공격이 있었던 것으로 보인다.

 

 

3. 결론

 

피싱 사이트는 여러가지 수법과 방식으로 사용자의 개인정보 또는 금전을 탈취한다. 앞서 위에서 분석한 피싱 사이트의 경우는 가짜 로그인 폼에 사용자가 실제 ID와 비밀번호를 입력하도록 유도하여 개인정보를 탈취하는 방식이었다. 문제는 대부분의 사용자들은 자주 사용하는 한 가지 로그인 계정으로 다른 여러 웹 서비스에서 로그인하는 경우가 많다는 점이다. 만약 사용자가 대표적으로 자주 사용하는 로그인 계정 정보를 피싱 사이트에 무심코 입력했다면, 피싱 공격자는 그 계정 정보를 탈취하여 이메일, SNS, 온라인 쇼핑몰, 금융 관련 서비스 등 또 다른 서비스를 해킹하여 추가적으로 2차, 3차 피해를 입힐 수도 있다.

 

이러한 피해를 예방하기 위해, 사용자들은 자신이 사용하고자 하는 서비스의 URL 및 도메인을 세심히 살펴보아야 한다. 이메일이나 문자 메시지로 전송된 링크는 한번 더 의심해봐야 하며, 가급적 해당 서비스의 공식 홈페이지에만 접속하는 것이 권장한다. 특히 개인정보나 금융정보를 입력해야 하는 경우에는 주소창에 '자물쇠 아이콘이 있는지, ‘https://’로 시작하는지' 등 사이트의 보안 인증 상태를 점검하고 웹사이트의 안전성을 반드시 체크하길 바란다.

 

생소한 발신처나 의심스러운 메시지 수신을 통해 연결되는 웹사이트(URL)는 AI 기반의 안티 피싱 분석 서비스인 에스크유알엘(AskURL)를 이용하여 악성 여부 및 안전성 체크를 쉽고 간편하게 할 수 있다.

 

 

박 소 영 / 리더
Nurilab X-ngine Center
 

 

피싱 메시지로 의심된다면, 에스크유알엘에 물어보세요!

https://askurl.io/

 

누리랩 에스크유알엘(AskURL) 카카오톡 채널 추가

http://pf.kakao.com/_aEWyxj

 

'보안 이슈 분석 리포트' 카테고리의 다른 글

유명 패션 브랜드 빈폴(BEANPOLE) 사칭, 스팸메일 악성코드 분석 보고서  (0) 2025.04.29
알리익스프레스(AliExpress) 사칭, 피싱 사이트 분석 보고서  (0) 2025.04.29
현대 자동차 구주 청약 사칭, 피싱 사이트 분석 보고서  (0) 2025.04.29
숙박 예약 서비스 사칭, 피싱 사이트 분석 보고서  (0) 2025.04.29
신한투자증권 사칭, 피싱 사이트 분석 보고서  (1) 2025.04.29

'보안 이슈 분석 리포트'의 다른글

  • 현재글KT 사칭 피싱 사이트 분석 보고서

관련글

티스토리툴바