정상 네이버페이 창 결제방식 다양, 피싱 사이트 ‘일반결제와 네이버페이 간편결제’ 두 가지만 서비스
피싱 사이트에서 무통장입금 거래 선택시 사기 계좌로 연결, 송금 시 물품 수령 불가능
누리랩, 네이버페이 피싱 사이트 분석 보고서 발표
[보안뉴스 김영명 기자] 네이버(NAVER)의 결제 시스템인 네이버페이(NAVER PAY)를 이용한 네이버쇼핑은 최근 쿠팡을 넘어 국내 점유율 22%를 기록하며 전자상거래 분야 시장점유율에서 1위를 차지했다. 네이버쇼핑 서비스는 물품의 구매와 결제 등을 매우 편리하게 만들어 주는 시스템이자 서비스다. 하지만 최근 결제 창 등을 사칭해 사용자의 정보 탈취 혹은 사기 행위를 벌이는 피싱 사이트가 다수 발견되어 사용자들의 주의가 필요하다.
▲네이버페이 피싱 사이트의 최초 구성 화면[자료=누리랩 보안팀]
보안전문기업 누리랩이 발표한 ‘네이버페이 피싱 사이트 분석 보고서’를 살펴보면 올해 8월에 파악된 피싱 사이트의 URL 건수는 중복을 제외하고 전달보다 4만 7,177건이 증가한 8만 5,768건으로 나타났다.
해당 피싱 사이트에 처음으로 접속하면 사기 물품의 간략한 구매 정보와 함께 배송지를 등록하라는 메시지가 출력된다. 네이버쇼핑 구매 물품의 정식 결제 창과 매우 비슷한 사이트 구성을 띄고 있지만, 이를 자세히 살펴보면 여러 가지 차이점이 존재한다.
첫 번째 차이는 바로 사이트의 URL이다. 네이버페이의 공식 결제창 URL은 ‘or***.pay.nav**.com’ 형식이다. 하지만 피싱 사이트의 URL은 ‘naverpay-****.cafe’와 ‘naverpay-page****.cafe’로 표기된다. 또한 네이버쇼핑 공식 사이트의 실제 결제 창에서는 URL의 패스, 파라미터, 프레그먼트 등의 구성 요소에 판매자 상점 정보와 구매 물품 정보 등이 포함돼 있다. 하지만 피싱 사이트의 URL에서는 해당 정보 등을 확인할 수 없다. 따라서 URL 구성 화면부터 해당 사이트는 피싱이나 사기와 같은 악의적 행위를 목적으로 한 사이트임을 알 수 있다.
▲네이버페이 서비스와는 어울리지 않는 html script 내 중문 단어[자료=누리랩 보안팀]
누리랩 측은 더 자세한 분석을 위해 해당 사이트에 직접 임의의 주소를 입력해 봤다. 피싱 사이트에 임의 주소를 입력하려 하자 getZip.html이라는 스크립트가 실행됐다. 해당 창에는 주소를 입력하는 과정의 문구가 문자열 형식으로 하드코딩 처리로 저장됐는데, 이는 공식 사이트의 주소 입력 과정 창과 매우 다르다는 것을 확인할 수 있었다는 설명이다. 정상 사이트의 주소 입력 창은 ‘zipCode?allowSixDigit’로 시작하며, 해당 창에는 주소 정보 저장 및 배송을 위한 주소의 어레이(array) 및 구매자 정보가 기입돼 있다.
피싱 사이트에 주소를 입력하게 되면 사용자의 주소를 저장하는 saveAddress.html 스크립트가 실행되고, 결제 정보를 입력하는 444.html 창이 추가로 나타난다. 피싱 사이트의 결제 정보 입력 화면 스크립트인 444.html에는 shouju(收据, 영수증), shouji xianjin(手机现金, 모바일 캐시) 등의 중국어 문구들이 다수 존재한다. 우리나라 기업인 네이버가 내국인을 대상으로 하는 서비스와는 어울리지 않는 문구들이다. 해당 문구들로 추정해 볼 때 이 피싱 사이트들은 중국에서 만들어진 것으로 예상할 수 있다.
▲피싱 사이트의 결제창 화면 및 정상 네이버쇼핑 사이트의 결제창 화면(좌부터)[자료=누리랩 보안팀]
다음으로 피싱 사이트의 사기 행위 방식을 살펴보면 먼저 결제 창의 화면에서 차이점을 발견할 수 있다. 실제 네이버쇼핑의 결제 화면 창에는 여러 가지 결제 방식과 네이버페이를 이용한 간편결제 등 다수의 서비스가 존재한다. 하지만 피싱 사이트에는 일반결제와 네이버페이 간편결제 등 단 두개의 서비스만이 존재한다.
이와 함께 일반결제는 무조건 무통장입금으로 결제 방식이 지정돼 있으며, 네이버페이 간편결제 시스템은 선택 화면만 존재할 뿐, 실제 선택을 하게 되면 ‘해당 상품은 네이버 일반결제만 가능합니다’라는 문구와 함께 선택이 불가능하다. 정상적인 네이버쇼핑 상품 중 네이버페이 결제 시스템을 사용하지 못하는 상품은 존재하지 않는다.
▲피싱 사이트에서는 네이버페이를 이용한 결제가 불가능[자료=누리랩 보안팀]
해당 피싱 사이트에서 무통장입금을 선택하고 계속 거래를 진행하면, 토스뱅크 금융사를 사용하는 임의 계좌에 금전 송금을 요구하는 창이 출력되는데, 해당 계좌는 사기 계좌로 송금 시 물품을 받을 수 없으며 사기 행위에 당하게 된다. 사이트 구성도 또한 여러 방법 중 하나의 방법일 뿐인 무통장입금 방식을 제공하며, 거래가 비정상 처리될 시 환불될 계좌를 입력하고 무통장입금을 위한 가상계좌를 발급하기 위해 해당 가상계좌의 은행을 소비자가 직접 선택할 수 있는 등 정상 사이트의 구성과 확연한 차이를 보인다.
▲피싱 사이트의 무통장 입금 화면 및 공식 사이트의 무통장 입금 화면(좌부터)[자료=누리랩 보안팀]
누리랩 보안팀 관계자는 “네이버페이 피싱 사이트는 사용자가 네이버쇼핑에서 물건을 구매할 때 결제 창에 대해 크게 신경쓰지 않고 넘어간다면 네이버쇼핑 공식 결제 창과 매우 유사한 구성을 통해 사기행위임을 알아차리지 못할 가능성이 있다”며 “따라서 네이버페이 관련 결제를 이용할 때 네이버쇼핑 기반 결제창에서는 ‘해당 상품은 네이버 일반결제만 가능합니다’라는 팝업 문구가 나오는 등 제한적인 결제 방식이 아닌 반드시 네이버페이 서비스가 이용 가능한 것으로 공식 사이트와 피싱 사이트를 분간할 수 있다”고 설명했다.
이어 “네이버페이 공식 결제 사이트에는 소비자들을 위한 여러 결제 방식이 제공되기 때문에 이용자들은 해당 서비스를 이용할 때 결제 방식 제한 등 의심스러운 정황을 포착하면 해당 사이트에서의 결제 등 이용을 중단하는 것이 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
피싱 사이트에서 무통장입금 거래 선택시 사기 계좌로 연결, 송금 시 물품 수령 불가능
누리랩, 네이버페이 피싱 사이트 분석 보고서 발표
[보안뉴스 김영명 기자] 네이버(NAVER)의 결제 시스템인 네이버페이(NAVER PAY)를 이용한 네이버쇼핑은 최근 쿠팡을 넘어 국내 점유율 22%를 기록하며 전자상거래 분야 시장점유율에서 1위를 차지했다. 네이버쇼핑 서비스는 물품의 구매와 결제 등을 매우 편리하게 만들어 주는 시스템이자 서비스다. 하지만 최근 결제 창 등을 사칭해 사용자의 정보 탈취 혹은 사기 행위를 벌이는 피싱 사이트가 다수 발견되어 사용자들의 주의가 필요하다.
▲네이버페이 피싱 사이트의 최초 구성 화면[자료=누리랩 보안팀]
보안전문기업 누리랩이 발표한 ‘네이버페이 피싱 사이트 분석 보고서’를 살펴보면 올해 8월에 파악된 피싱 사이트의 URL 건수는 중복을 제외하고 전달보다 4만 7,177건이 증가한 8만 5,768건으로 나타났다.
해당 피싱 사이트에 처음으로 접속하면 사기 물품의 간략한 구매 정보와 함께 배송지를 등록하라는 메시지가 출력된다. 네이버쇼핑 구매 물품의 정식 결제 창과 매우 비슷한 사이트 구성을 띄고 있지만, 이를 자세히 살펴보면 여러 가지 차이점이 존재한다.
첫 번째 차이는 바로 사이트의 URL이다. 네이버페이의 공식 결제창 URL은 ‘or***.pay.nav**.com’ 형식이다. 하지만 피싱 사이트의 URL은 ‘naverpay-****.cafe’와 ‘naverpay-page****.cafe’로 표기된다. 또한 네이버쇼핑 공식 사이트의 실제 결제 창에서는 URL의 패스, 파라미터, 프레그먼트 등의 구성 요소에 판매자 상점 정보와 구매 물품 정보 등이 포함돼 있다. 하지만 피싱 사이트의 URL에서는 해당 정보 등을 확인할 수 없다. 따라서 URL 구성 화면부터 해당 사이트는 피싱이나 사기와 같은 악의적 행위를 목적으로 한 사이트임을 알 수 있다.
▲네이버페이 서비스와는 어울리지 않는 html script 내 중문 단어[자료=누리랩 보안팀]
누리랩 측은 더 자세한 분석을 위해 해당 사이트에 직접 임의의 주소를 입력해 봤다. 피싱 사이트에 임의 주소를 입력하려 하자 getZip.html이라는 스크립트가 실행됐다. 해당 창에는 주소를 입력하는 과정의 문구가 문자열 형식으로 하드코딩 처리로 저장됐는데, 이는 공식 사이트의 주소 입력 과정 창과 매우 다르다는 것을 확인할 수 있었다는 설명이다. 정상 사이트의 주소 입력 창은 ‘zipCode?allowSixDigit’로 시작하며, 해당 창에는 주소 정보 저장 및 배송을 위한 주소의 어레이(array) 및 구매자 정보가 기입돼 있다.
피싱 사이트에 주소를 입력하게 되면 사용자의 주소를 저장하는 saveAddress.html 스크립트가 실행되고, 결제 정보를 입력하는 444.html 창이 추가로 나타난다. 피싱 사이트의 결제 정보 입력 화면 스크립트인 444.html에는 shouju(收据, 영수증), shouji xianjin(手机现金, 모바일 캐시) 등의 중국어 문구들이 다수 존재한다. 우리나라 기업인 네이버가 내국인을 대상으로 하는 서비스와는 어울리지 않는 문구들이다. 해당 문구들로 추정해 볼 때 이 피싱 사이트들은 중국에서 만들어진 것으로 예상할 수 있다.
▲피싱 사이트의 결제창 화면 및 정상 네이버쇼핑 사이트의 결제창 화면(좌부터)[자료=누리랩 보안팀]
다음으로 피싱 사이트의 사기 행위 방식을 살펴보면 먼저 결제 창의 화면에서 차이점을 발견할 수 있다. 실제 네이버쇼핑의 결제 화면 창에는 여러 가지 결제 방식과 네이버페이를 이용한 간편결제 등 다수의 서비스가 존재한다. 하지만 피싱 사이트에는 일반결제와 네이버페이 간편결제 등 단 두개의 서비스만이 존재한다.
이와 함께 일반결제는 무조건 무통장입금으로 결제 방식이 지정돼 있으며, 네이버페이 간편결제 시스템은 선택 화면만 존재할 뿐, 실제 선택을 하게 되면 ‘해당 상품은 네이버 일반결제만 가능합니다’라는 문구와 함께 선택이 불가능하다. 정상적인 네이버쇼핑 상품 중 네이버페이 결제 시스템을 사용하지 못하는 상품은 존재하지 않는다.
▲피싱 사이트에서는 네이버페이를 이용한 결제가 불가능[자료=누리랩 보안팀]
해당 피싱 사이트에서 무통장입금을 선택하고 계속 거래를 진행하면, 토스뱅크 금융사를 사용하는 임의 계좌에 금전 송금을 요구하는 창이 출력되는데, 해당 계좌는 사기 계좌로 송금 시 물품을 받을 수 없으며 사기 행위에 당하게 된다. 사이트 구성도 또한 여러 방법 중 하나의 방법일 뿐인 무통장입금 방식을 제공하며, 거래가 비정상 처리될 시 환불될 계좌를 입력하고 무통장입금을 위한 가상계좌를 발급하기 위해 해당 가상계좌의 은행을 소비자가 직접 선택할 수 있는 등 정상 사이트의 구성과 확연한 차이를 보인다.
▲피싱 사이트의 무통장 입금 화면 및 공식 사이트의 무통장 입금 화면(좌부터)[자료=누리랩 보안팀]
누리랩 보안팀 관계자는 “네이버페이 피싱 사이트는 사용자가 네이버쇼핑에서 물건을 구매할 때 결제 창에 대해 크게 신경쓰지 않고 넘어간다면 네이버쇼핑 공식 결제 창과 매우 유사한 구성을 통해 사기행위임을 알아차리지 못할 가능성이 있다”며 “따라서 네이버페이 관련 결제를 이용할 때 네이버쇼핑 기반 결제창에서는 ‘해당 상품은 네이버 일반결제만 가능합니다’라는 팝업 문구가 나오는 등 제한적인 결제 방식이 아닌 반드시 네이버페이 서비스가 이용 가능한 것으로 공식 사이트와 피싱 사이트를 분간할 수 있다”고 설명했다.
이어 “네이버페이 공식 결제 사이트에는 소비자들을 위한 여러 결제 방식이 제공되기 때문에 이용자들은 해당 서비스를 이용할 때 결제 방식 제한 등 의심스러운 정황을 포착하면 해당 사이트에서의 결제 등 이용을 중단하는 것이 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
