피싱(Phishing)을 유도할 수 있는 티스토리의 문제점

오늘 어느 티스토리 블로그에 올라온 게시물입니다.

해당 게시물은 개인정보 도용 확인 서비스 서울신용평가정보 업체에서 운영하는 싸이렌24(Siren24) 서비스 홍보 게시물로 보입니다.

그런데 해당 게시물의 싸이렌 도메인 링크의 등록 정보를 살펴보면 게시물에 작성한 링크명과는 다르게 연결되고 있는 것을 확인할 수 있습니다.

방식은 누구나 할 수 있는 아주 간단한 방법으로 텍스트를 기입하고 해당 부분에 블럭을 작성하여 링크에 연결될 도메인을 추가하면 됩니다.

하지만 이 방법이 평소에는 특정 웹사이트 연결용으로 잘 사용될 수 있지만 위와 같이 게시물에서는 게시물에 나온 도메인이 아닌 다른 링크를 걸어서 넘어가게 만드는 방식으로 악용할 경우 소위 피싱 사이트로 인터넷 사용자를 유도할 수 있습니다.

실제 홍보 게시물에서 넘긴 웹 사이트는 1개월 무료체험 이벤트용으로 제작된 곳으로 아마 주민등록번호를 입력하고 명의도용을 확인할 경우 해당 홍보 게시물을 작성한 사람에게 일정 금액을 지불할 것으로 추정됩니다.

더 나쁘게 표현을 한다면 해당 도메인을 통해 마치 싸이렌24 서비스처럼 위장하여 주민등록번호를 입력하게 하여 그 정보를 탈취할 수도 있는 위험한 방식입니다.

여기에 더불어 싸이렌24 무료체험 서비스 역시 문제점이 있습니다.

무료체험을 빌미로 1개월 사용자에게 종료 3일전에 해지를 하지 않으면 무조건 강제적으로 매월 일정액의 사용료를 청구하는 방식은 실제 1개월 서비스라는 미끼를 던지는 상술에 지나지 않는다는 점도 확인할 필요가 있습니다.

최근 여기저기 생기는 명의도용 확인 서비스의 대부분이 이런 방식으로 운영하는 것 같은데 개인정보는 여기저기서 잃어버리며 그것을 확인하는 서비스를 통해서도 돈을 이래저래 잃어버리는 것 같습니다.

마지막으로 티스토리에서는 최소한 게시물 링크 삽입시 위와 같이 도메인 단위에서는 링크를 저런 방식으로 걸지 못하게 하는 방안을 검토해 보시는 것이 좋을 것 같습니다.