top of page
  • Facebook
  • Twitter
  • Instagram

가짜 로그인 페이지 구분하는 방법

  • 작성자 사진: 주소모음
    주소모음
  • 2일 전
  • 5분 분량
가짜 로그인 페이지와 피싱 사이트 구분 방법 안내

가짜 로그인 페이지는 유명 사이트의 로그인 화면처럼 보이지만, 실제로는 아이디와 비밀번호, 인증번호, 카드 정보, 개인정보를 탈취하기 위해 만들어진 피싱 사이트입니다. 미국 FTC는 피싱을 잘 알려진 회사나 기관처럼 보이는 이메일·문자 등을 통해 개인정보를 요구하는 사기 방식으로 설명하고, CISA도 피싱이 악성 링크·첨부파일을 열게 하거나 개인정보를 요구할 수 있다고 안내합니다.


가짜 로그인 페이지는 화면 디자인만 보고는 구분하기 어려울 때가 많습니다. 실제 로고, 색상, 버튼, 문구를 그대로 따라 만들 수 있기 때문에 로그인 전에는 반드시 주소창과 접속 경로를 확인해야 합니다.



1. 주소창의 도메인부터 확인하기

가장 먼저 확인해야 할 것은 주소창입니다. 진짜 로그인 페이지는 공식 도메인 안에서 열려야 합니다. 예를 들어 네이버는 naver.com, 구글은 google.com, 유튜브는 youtube.com, 인스타그램은 instagram.com 도메인을 사용합니다.

아래처럼 철자가 조금 다르거나 불필요한 단어가 붙어 있다면 주의해야 합니다.

정상 예시
naver.com
google.com
youtube.com
instagram.com

주의 예시
naver-login-help.com
google-security-check.net
youtube-premium-event.com
instagrarn-support.com
naver-account-verification.site

가짜 사이트는 공식 사이트처럼 보이게 만들기 위해 브랜드명 뒤에 login, security, event, help, verify, support 같은 단어를 붙이는 경우가 많습니다. KISA도 의심되는 사이트 주소는 정상 사이트와 일치하는지 확인하고, 출처가 불분명한 주소는 클릭을 자제하라고 안내합니다.


2. HTTPS 자물쇠만 믿지 않기

주소창에 자물쇠 표시가 있다고 해서 무조건 안전한 사이트라는 뜻은 아닙니다. HTTPS는 접속 구간을 암호화한다는 의미에 가깝고, 그 사이트가 공식 사이트인지까지 보장해 주지는 않습니다.

즉, 아래 두 가지를 함께 봐야 합니다.

HTTPS 적용 여부
+
공식 도메인 일치 여부

예를 들어 가짜 사이트도 HTTPS를 적용할 수 있습니다. 그래서 로그인 전에는 자물쇠 표시만 보는 것이 아니라 도메인 철자가 정확한지, 공식 사이트 주소와 일치하는지를 함께 확인해야 합니다.


3. 문자·메일 링크로 바로 로그인하지 않기

문자, 이메일, 카카오톡, DM으로 온 링크를 눌러 로그인하라는 안내는 특히 조심해야 합니다. 피싱 메시지는 “계정이 정지됩니다”, “보안 확인이 필요합니다”, “결제가 실패했습니다”, “배송 주소를 확인하세요”처럼 긴급한 상황을 만들어 사용자가 빠르게 링크를 누르게 합니다.

FTC는 피싱 메시지가 계정 문제, 결제 문제, 의심스러운 활동, 환불, 쿠폰 같은 내용으로 사용자를 속일 수 있다고 설명합니다. Google도 Google에서 온 것처럼 보이는 보안 이메일이 의심되면 이메일 링크를 누르지 말고 직접 계정 알림 페이지로 이동해 확인하라고 안내합니다.

안전한 방법은 이렇습니다.

문자나 메일의 로그인 링크 클릭하지 않기
브라우저를 직접 열기
공식 주소를 직접 입력하기
즐겨찾기한 공식 사이트로 접속하기
주소박스의 공식 주소 상세 페이지에서 확인하기

4. 로그인 화면 디자인보다 주소를 우선 보기

가짜 로그인 페이지는 실제 사이트와 거의 똑같이 보일 수 있습니다. 로고, 버튼 색상, 입력창, 안내 문구까지 복사할 수 있기 때문에 “화면이 익숙하다”는 이유만으로 믿으면 위험합니다.

확인 순서는 이렇게 잡는 게 좋습니다.

1. 주소창 도메인 확인
2. HTTPS 확인
3. 공식 사이트와 도메인 비교
4. 로그인 요청 경로 확인
5. 입력하려는 정보의 종류 확인

정상적인 사이트라도 광고나 외부 링크를 통해 접속하면 중간에 다른 페이지를 거칠 수 있습니다. 로그인, 결제, 인증번호 입력 전에는 최종 도메인이 공식 사이트와 일치하는지 확인하세요.


5. 인증번호와 2단계 인증 코드를 요구하면 더 조심하기

가짜 로그인 페이지는 아이디와 비밀번호만 훔치는 것이 아니라, 휴대폰 인증번호나 2단계 인증 코드까지 요구할 수 있습니다. 인증번호는 계정 로그인, 비밀번호 변경, 결제, 본인확인에 사용될 수 있으므로 절대 가볍게 입력하면 안 됩니다.

KISA는 휴대폰번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력하고, 인증번호는 모바일 결제로 연결될 수 있으므로 한 번 더 확인하라고 안내합니다.

아래 문구가 보이면 특히 조심하세요.

보안을 위해 인증번호를 입력하세요
계정 보호를 위해 비밀번호를 다시 입력하세요
본인 확인을 위해 카드 정보를 입력하세요
계정 정지를 막으려면 즉시 로그인하세요
이벤트 당첨 확인을 위해 로그인하세요

6. 개인정보·카드 정보를 과도하게 요구하는지 보기

일반적인 로그인 과정에서는 아이디와 비밀번호 외에 카드번호, 주민등록번호, 계좌번호, 보안카드 전체 번호를 요구하지 않는 경우가 대부분입니다. 특히 로그인 직후 갑자기 카드 정보, 신분증 사진, 계좌 비밀번호, 인증번호를 요구한다면 피싱 가능성을 의심해야 합니다.

FTC는 피싱 사기가 개인 식별 정보를 요구하고, 사기범이 이를 이용해 계정을 침입하거나 새 계정을 만들 수 있다고 설명합니다.

주의해야 할 입력 항목:

카드번호 전체
카드 CVC
계좌번호와 비밀번호
주민등록번호
신분증 사진
휴대폰 인증번호
2단계 인증 코드
보안카드 전체 번호

7. URL 철자와 모양을 자세히 보기

가짜 로그인 페이지는 철자를 아주 조금 바꿔서 사용자를 속일 수 있습니다. 예를 들어 알파벳 m을 rn처럼 보이게 하거나, l과 i를 섞거나, 브랜드명 중간에 하이픈을 넣는 방식입니다.

예시:

instagram.com
instagrarn.com

naver.com
naver-login.com

google.com
gooogle.com

youtube.com
you-tube-login.com

주소가 길어서 한눈에 보기 어렵다면, 도메인의 핵심 부분만 확인하세요.

https://accounts.google.com/...
→ google.com 확인

https://www.instagram.com/...
→ instagram.com 확인

https://nid.naver.com/...
→ naver.com 확인

공식 사이트도 서비스별로 하위 도메인을 사용할 수 있지만, 핵심 도메인은 공식 도메인 안에 있어야 합니다.


8. 로그인 후 바로 결제나 앱 설치를 요구하면 의심하기

가짜 로그인 페이지는 로그인 후 “보안 앱 설치”, “원격 제어 앱 설치”, “결제 인증”, “계정 복구 비용 결제” 같은 다음 단계로 유도할 수 있습니다. 특히 정부기관, 금융회사, 고객센터를 사칭하면서 앱 설치를 요구하는 경우는 위험합니다.

KISA는 정부기관 및 금융회사인 경우 전화나 문자 등을 통해 원격제어 앱 설치를 요구하지 않는다고 안내합니다.

주의 문구:

보안 강화를 위해 앱을 설치하세요
상담원이 원격으로 도와드리겠습니다
계정 복구 수수료를 결제하세요
환불을 받으려면 카드 정보를 입력하세요
본인 확인을 위해 원격제어 앱을 설치하세요

9. 공식 앱스토어에서 앱을 확인하기

로그인 페이지가 앱 설치를 유도한다면 공식 앱스토어에서 직접 검색해 확인하는 것이 안전합니다. 문자나 웹페이지에 있는 앱 다운로드 버튼을 바로 누르지 말고, Google Play 또는 App Store에서 서비스명을 직접 검색하세요.

특히 금융, 쇼핑, 택배, 메일, SNS, 클라우드 서비스는 계정 정보와 결제 정보가 연결될 수 있으므로 공식 앱 여부를 반드시 확인하는 것이 좋습니다.

확인할 항목:

앱 개발사 이름
앱 리뷰와 설치 수
공식 홈페이지 연결 여부
앱 권한 요청 범위
최근 업데이트 여부

10. 의심되면 검색보다 공식 주소로 직접 접속하기

검색 결과에도 광고나 유사 사이트가 섞일 수 있습니다. 특히 “로그인”, “고객센터”, “환불”, “이벤트”, “계정 복구” 같은 키워드로 검색했을 때 가짜 사이트나 광고성 페이지를 잘못 누를 수 있습니다.

가장 안전한 방법은 다음 중 하나입니다.

공식 주소 직접 입력
브라우저 즐겨찾기 사용
공식 앱 실행
주소박스 상세 페이지에서 공식 주소 확인
고객센터는 공식 사이트 안에서 다시 찾기

주소박스에서는 각 사이트 상세페이지에 공식 도메인, 공식 사이트 이동 버튼, 비슷한 사이트, 이용 시 참고할 점을 함께 정리해 두는 것이 좋습니다.


가짜 로그인 페이지 빠른 체크리스트

로그인하기 전에 아래 항목을 빠르게 확인하세요.

□ 주소창 도메인이 공식 사이트와 일치하는가?
□ HTTPS가 적용되어 있는가?
□ 문자·메일·DM 링크로 접속한 것은 아닌가?
□ 브랜드명 철자가 이상하지 않은가?
□ 로그인과 상관없는 개인정보를 요구하지 않는가?
□ 인증번호나 2단계 인증 코드를 요구하는 이유가 명확한가?
□ 보안 앱이나 원격제어 앱 설치를 요구하지 않는가?
□ 결제나 환불을 이유로 카드 정보를 요구하지 않는가?
□ 공식 앱스토어에서 확인 가능한 서비스인가?
□ 의심되면 공식 주소를 직접 입력해 접속했는가?

사이트별 공식 주소 확인 예시

아래는 자주 이용하는 서비스의 공식 도메인 예시입니다.

네이버
www.naver.com

구글
www.google.com

유튜브
www.youtube.com

인스타그램
www.instagram.com

페이스북
www.facebook.com

Gmail
mail.google.com

Outlook
outlook.live.com

넷플릭스
www.netflix.com

서비스별로 로그인 전용 하위 도메인이 따로 있을 수 있지만, 핵심 도메인이 공식 도메인과 연결되어 있는지 확인하는 것이 중요합니다.



이미 가짜 로그인 페이지에 입력했다면?

가짜 로그인 페이지에 아이디와 비밀번호를 입력했다면 빠르게 조치해야 합니다. Google은 계정을 더 안전하게 만들기 위해 보안 진단, 복구 정보 업데이트, 2단계 인증 사용 등을 안내하고 있습니다.

바로 해야 할 일:

1. 공식 사이트에 직접 접속해 비밀번호 변경
2. 같은 비밀번호를 쓰는 다른 사이트도 함께 변경
3. 모든 기기에서 로그아웃
4. 2단계 인증 설정
5. 최근 로그인 기록 확인
6. 복구 이메일과 전화번호 확인
7. 결제 정보가 연결된 계정이면 결제 내역 확인
8. 의심되는 앱 권한 제거

카드 정보나 계좌 정보를 입력했다면 카드사나 금융기관에 즉시 문의하고, 의심 거래가 있는지 확인해야 합니다. 문자나 카카오톡으로 받은 의심 링크는 KISA 보호나라의 스미싱 확인서비스 등을 활용해 확인할 수 있습니다.


주소박스에서 확인하면 좋은 관련 페이지


자주 묻는 질문


HTTPS 자물쇠가 있으면 안전한 사이트인가요?

HTTPS 자물쇠는 접속 구간이 암호화되어 있다는 의미에 가깝습니다. 하지만 피싱 사이트도 HTTPS를 사용할 수 있기 때문에 자물쇠만 보고 안전하다고 판단하면 안 됩니다. 반드시 공식 도메인과 일치하는지 함께 확인해야 합니다.


공식 사이트와 비슷한 주소는 왜 위험한가요?

피싱 사이트는 사용자가 빠르게 보면 착각하도록 브랜드명과 비슷한 도메인을 사용할 수 있습니다. 철자를 조금 바꾸거나, 브랜드명 뒤에 login, event, security, verify 같은 단어를 붙이는 방식이 많습니다. 로그인 전에는 도메인의 핵심 부분이 공식 주소와 일치하는지 확인하세요.


문자로 온 로그인 링크를 눌러도 되나요?

가능하면 문자나 메일에 포함된 로그인 링크를 바로 누르지 않는 것이 좋습니다. 특히 계정 정지, 결제 실패, 보안 확인, 환불, 이벤트 당첨처럼 긴급하게 행동하게 만드는 문구는 조심해야 합니다. 공식 앱이나 공식 사이트에 직접 접속해 확인하는 것이 안전합니다.


인증번호를 입력하라고 하면 어떻게 해야 하나요?

인증번호는 계정 로그인, 비밀번호 변경, 결제, 본인확인에 사용될 수 있습니다. 본인이 직접 요청한 인증이 아니라면 입력하지 않는 것이 안전합니다. 인증번호를 요구하는 페이지의 도메인이 공식 사이트와 일치하는지 반드시 확인하세요.


피싱 사이트를 발견하면 어떻게 해야 하나요?

의심되는 링크를 클릭하지 말고 페이지를 닫으세요. 문자나 메신저로 받은 의심 링크는 KISA 보호나라의 스미싱 확인서비스 등을 통해 확인할 수 있습니다. 이미 정보를 입력했다면 즉시 비밀번호를 바꾸고, 같은 비밀번호를 쓰는 다른 계정도 함께 변경하는 것이 좋습니다.


 
 
 
bottom of page