얼마전 중국 테무에서 직구 주문후 CJ가 아닌 DHL 국제배송? 이메일 한통이 도착했다...하지만...
얼마전 테무에서 직구를 시도한 뒤 CJ가 아닌 DHL 국제배송 안내를 담은 이메일 한 통이 도착했다. 그런데 화면을 따라가 보니 아이러니하게도 CJ송장 정보를 확인한 직후에 도착한 시점이 보여서 의심이 들었다. 테무 계정정보가 해킹되었나, 배송 시점을 알았다기에는 우연의 일치일까 하는 생각이 들었다. AI에 물어보니 확신이 들었고 실제로 CJ송장을 확인하면 배송 준비가 정상적으로 진행 중인 것을 확인했다. 이 화면만 보면 스팸이나 피싱 메일 가능성이 매우 높다는 결론이 떠올랐다.
구체적으로 의심되는 패턴은 다음과 같다. 첨부파일이 DHL_doc.htm로 되어 있어 정상 DHL은 보통 PDF 송장이나 공식 링크를 사용하는 점과 다르다. .htm, .html 파일 첨부는 피싱에서 흔한 수법이다. “주소 정보 불완전 → 배송 불가” 같은 문구로 사용자를 급하게 클릭하게 만드는 사회공학 수법도 보였다. “BL/INV를 첨부합니다”라고 하면서도 실제로는 문서가 아니라 로그인 정보를 탈취하는 페이지일 가능성이 크다. 발신 주소는 [email protected]로 되어 있는데 DHL 공식 도메인인 @dhl.com이나 @dhl.co.kr 계열과 다르다. 번역투의 어색한 문장도 해외 피싱 조직의 자동번역 흔적처럼 느껴졌다.
이런 경우 절대 해서는 안 될 행동은 첨부된 .htm 파일 열기, 파일 내부 링크 클릭, 아이디/비밀번호 입력, 휴대폰 인증이나 카드 정보 입력이다. 특히 .htm 파일은 열면 웹페이지처럼 보이면서 네이버나 구글 로그인 탈취 악성 코드나 쿠키 탈취, 원격 접속 유도 등을 실행할 수 있다. 지금 당장 해야 할 일은 메일 삭제 후 휴지통까지 비우는 것, 첨부파일을 열지 않았다면 큰 문제 없이 끝나지만 이미 열었다면 백신 검사와 최근 로그인 기록 확인, 주요 계정의 비밀번호 변경, 브라우저에 저장된 비밀번호 점검을 하는 것이 필요하다.
진짜 DHL 배송 여부를 확인하는 방법은 공식 사이트에서 직접 운송장을 조회하는 것이다. 메일의 링크가 아니라 공식 주소를 직접 입력해 조회하는 것이 안전하다. 현재 상황은 거의 피싱 메일로 판단해도 무방하다고 생각한다. 앞으로도 의심스러운 이메일이나 문자를 만난다면, 출처를 먼저 확인하고 의심되면 즉시 차단하는 습관이 필요하다고 느꼈다.
