네이버 이름으로 날아온 가짜 안내 메일, 구별법은?
최근 네이버의 각종 서비스 안내를 사칭한 피싱 메일이 잇따라 확인되고 있다. 얼핏 보면 네이버 공식 안내처럼 보이지만 자세히 살펴보면 곳곳에 수상한 흔적이 숨어 있다. 예를 들어 발신자 이름과 이메일 주소가 일치하지 않거나 계정 이용 기한이 얼마 남지 않았다며 조치를 재촉하는 등 사용자의 불안감을 자극하는 문구를 주로 사용한다. 또한 공격자는 네이버를 연상시키는 녹색 버튼까지 배치해 사용자를 가짜 로그인 페이지로 유도한다. 익숙한 로고와 디자인만 믿었다가는 피싱 메일에 깜빡 속을 수 있다. 네이버를 사칭한 피싱 메일의 주요 특징과 단계별 확인 방법을 살펴보자.

메일 열기 전 N마크부터 확인
네이버 메일 수신함에서는 발신자 이름 옆에 표시된 N마크를 통해 네이버 공식 발신 여부를 확인할 수 있다. N마크가 표시된 메일은 네이버가 보낸 공식 안내 메일이므로, 메일을 열기 전에 가장 먼저 확인하면 의심스러운 메일을 빠르게 구별하는 데 도움이 된다.
반대로 N마크가 없다면 발신자 이름이 ‘NAVER’나 ‘네이버’로 표시돼 있더라도 공식 메일이라고 단정해서는 안 된다. 이때는 메일을 바로 열거나 본문의 링크를 누르지 말고, 실제 발신자 이메일 주소와 제목을 먼저 확인해야 한다. 의심스러운 경우에는 메일을 열지 않고 스팸으로 신고하는 것이 안전하다.
메일을 열었다면 피싱 징후 확인
메일을 이미 열었다면 다음과 같은 피싱 메일의 특징이 있는지 살펴봐야 한다.
- 보낸 사람 이메일 주소의 네이버 공식 도메인 여부
- 링크 주소의 네이버 공식 주소 시작 여부
- 어색한 맞춤법과 번역체 문구
- 첨부파일 형태로 제공되는 로그인 페이지
- ‘즉시’, ‘계정 정지’ 등 불안감을 유도하는 표현
발신자 이름이 ‘NAVER’ 또는 ‘네이버’로 표시돼 있더라도 실제 이메일 주소는 네이버와 관련 없는 외부 도메인일 수 있다. 따라서 발신자 이름만 보지 말고, 발신 정보를 펼쳐 전체 이메일 주소를 확인해야 한다.
메일 본문에 ‘확인하기’, ‘계정 인증’, ‘서비스 계속 이용하기’ 등의 버튼이 있더라도 바로 클릭해서는 안 된다. PC에서는 버튼이나 링크 위에 마우스 포인터를 올려 실제로 연결되는 주소를 미리 확인할 수 있다.
화면에 표시된 버튼이나 문구는 정상적인 네이버 안내처럼 보여도 실제 링크는 공격자가 만든 외부 사이트로 연결될 수 있다. 특히 주소에 naver라는 단어가 포함됐다는 이유만으로 공식 사이트라고 판단해서는 안 된다. 공격자는 도메인의 앞뒤에 naver를 넣거나 철자를 일부 바꿔 정상 주소처럼 보이게 만들 수 있다.
링크를 확인할 때는 주소의 시작 부분과 실제 도메인을 함께 살펴봐야 한다. naver.com이 주소 중간에 포함돼 있거나 그 뒤에 다른 도메인 이름이 이어지는 경우, 네이버 공식 사이트가 아닐 수 있다. 의심스러운 링크는 클릭하지 말고 메일을 스팸으로 신고하는 것이 좋다.
로그인 화면에서도 주소 확인
메일의 링크를 클릭했을 때 네이버 로그인 화면과 비슷한 페이지가 나타날 수 있다. 로고, 입력창, 버튼 디자인까지 실제 페이지와 유사하게 제작돼 있어 화면만으로는 가짜 사이트를 구별하기 어렵다.
이때 가장 먼저 확인해야 할 부분은 브라우저 주소창이다. 정상적인 네이버 로그인 페이지라면 주소가 nid.naver.com 도메인에 속해야 한다. 주소창에 낯선 문자열이 포함돼 있거나 naver라는 단어 뒤에 전혀 다른 도메인이 표시된다면 피싱 사이트일 가능성이 높다.
계정 정보를 이미 입력한 경우 즉시 비밀번호 변경
피싱 사이트에 네이버 아이디와 비밀번호를 입력했다면 즉시 공식 네이버 홈페이지나 앱에 직접 접속해 비밀번호를 변경해야 한다. 피싱 페이지에 입력한 정보는 공격자에게 전달돼 계정 탈취나 추가 피해로 이어질 수 있기 때문이다.
변경할 비밀번호는 기존에 사용하던 것과 다르게 설정하고, 다른 서비스에서도 같은 비밀번호를 사용했다면 해당 서비스의 비밀번호도 함께 바꾸는 것이 안전하다. 로그인 기록과 접속 기기 목록을 확인해 본인이 이용하지 않은 접속 기록이 있는지도 점검해야 한다.
링크 클릭 대신 공식 서비스 직접 접속
피싱 메일은 사용자가 내용을 충분히 확인하기 전에 행동하도록 재촉한다. 따라서 계정 제한이나 서비스 중단을 알리는 메일을 받더라도 메일 속 링크를 클릭하지 않고, 평소 사용하던 앱이나 즐겨찾기, 주소창 직접 입력을 통해 공식 서비스에 접속해야 한다.
발신자 주소와 링크의 실제 연결 주소, 로그인 페이지의 도메인을 차례로 확인하는 것만으로도 상당수 피싱 메일을 구별할 수 있다. 무엇보다 공식 안내처럼 보이는 화면이나 문구만 믿지 않고, 계정 정보를 입력하기 전에 주소창을 다시 확인하는 습관이 중요하다.
공유 등급: TLP:GREEN
본 콘텐츠는 AhnLab TIP에 게시된 위협 정보를 바탕으로, 독자가 쉽게 이해할 수 있도록 주요 내용을 요약·재구성한 자료입니다. 위협 관련 상세 정보는 AhnLab TIP에서 확인할 수 있습니다.
- AhnLab콘텐츠마케팅팀
