“진짜 로그인 창인 줄”…페이스북 피싱 수법 진화에 경고등

페이스북 사용자 계정을 노리는 피싱 수법이 한층 정교해지고 있다는 경고가 나왔다. 사이버보안 기업 트렐릭스(Trellix)는 최근 보고서를 통해, 공격자들이 실제 로그인 창처럼 보이도록 설계된 브라우저 기반 위장 기술, 이른바 ‘브라우저 안의 브라우저(Browser-in-the-Browser, BitB)’ 기법을 악용하고 있다고 밝혔다.

이 기법은 단순한 피싱 이메일이나 가짜 로그인 페이지 수준을 넘어, 사용자의 웹 브라우저 안에서 완전히 독립된 로그인 팝업창을 구현해낸다. 외견상 진짜 페이스북 URL 주소가 표시되기 때문에, 사용자는 자신이 가짜 로그인 창에 정보를 입력하고 있다는 사실을 알아차리기 어렵다. 이로 인해 계정 탈취율이 급격히 높아지고 있는 상황이다.

피싱 캠페인의 시작점은 보통 저작권 침해 또는 로그인 이상 감지 등 겉보기에 공신력 있는 경고 메시지를 포함한 이메일이다. 메타(Meta)나 법률회사에서 발송한 듯한 포맷으로 위장한 이메일에 포함된 링크를 클릭하면, 사용자는 교묘하게 조작된 이중 단계의 로그인 절차로 유도된다. 이 과정에서 이름, 이메일, 전화번호, 생년월일 등 기본 개인정보를 입력하는 구간을 거친 후, 실제 페이스북 비밀번호 입력을 요구받는다. 공격자들은 이 정보를 바탕으로 계정에 완전 접근한 뒤, 추가 피싱 메시지를 퍼뜨리거나 개인정보를 탈취해 신원 도용 등의 2차 범죄에 활용한다.

트렐릭스는 이번 캠페인의 주목할 점으로, 가짜 로그인 페이지가 더 이상 악성 도메인이 아니라 넷틀리(Netlify)나 베르셀(Vercel) 등 클라우드 호스팅 플랫폼에 올려지고 있다는 점을 지적했다. 신뢰도 높은 클라우드 서비스를 악용한 위장 방식은 URL 단축 서비스를 함께 활용해, 대부분의 이메일 보안 필터나 웹 필터링 시스템을 쉽게 우회할 수 있게 한다.

트렐릭스 측은 이처럼 정교해진 BitB 방식이 기존 시각적 점검만으로는 식별이 어려워졌다는 점에서 심각한 위협이라고 강조했다. 특히 기술적으로 숙련된 사용자조차 쉽게 속을 수 있다고 경고하며, 전통적인 보안 습관만으로는 더 이상 충분치 않다고 지적했다.

이에 따라 회사는 모든 페이스북 사용자에게 이중 인증(2FA) 활성화를 강력히 권고하고, 수신 이메일 내 링크는 웬만하면 클릭하지 말며, 문제 발생 시에는 반드시 브라우저를 열어 직접 ‘facebook.com’ 주소를 입력하거나 공식 모바일 앱을 통해 접속할 것을 당부했다.

첨단 기술이 일상화되면서 사용자 보호 기술도 더욱 정교해져야 하는 시대가 됐다. 보안 기업들과 IT 플랫폼들은 이 같은 피싱 수법 진화에 실시간으로 대응할 수 있는 공동 방어 체계 구축이 무엇보다 중요하다.