내 은행이 피싱 방지 교육을 계속 훼손함

 (moritz-mander.de)
2P by GN⁺ 7시간전 | ★ favorite | 댓글 2개
  • 은행이 신뢰할 수 없는 피싱 이메일과 유사한 이벤트 홍보 메일을 발송함
  • 본문 내 링크와 사이트 도메인이 은행과 무관해 보이고, 개인정보 입력 요구로 피싱 판단이 어려움
  • 실체 확인 후에도 공식 이벤트임을 알게 되어 혼란과 불신 증폭
  • 해당 행위는 피싱 교육 취지를 훼손하며, 은행이 법적 책임을 질 위험 높임
  • 문제 해결을 위해 신뢰성 있는 도메인 사용과 앱 내 구현 필요성 강조

서문

내 은행이 피싱 방지 교육을 직접 훼손하는 현실을 경험함. 은행이 보낸 이벤트 관련 이메일은 피싱 사기와 거의 구분되지 않을 정도로 의심스러운 특징을 가짐. 공식 은행 도메인이 아닌 곳에 개인정보를 입력하게 하며, 국내외 은행 및 공공기관의 보안 실태와 교육 현실의 문제점을 짚음.

1장: 의심스러운 이메일의 도착

  • 은행으로부터 “Wero-Win-Wochen(경품 이벤트)” 관련 이메일을 수신함
  • 이메일 공지는 한화 최대 주당 7,000유로 당첨 정보와 함께 이벤트 참여를 유도함
  • Sparkasse(독일 지방은행조직)와 Wero(신생 유럽 디지털 결제 시스템)가 메일에 언급
  • 메일 내부 링크는 “gewinnen-mit-wero.de”로, 은행 공식 도메인과 다름
  • 내용과 어투가 평범한 피싱 메일과 유사, 메일 주소만 Sparkasse 공식 주소임
  • 이벤트가 실제인지 은행 공식 사이트에서 확인해야 했음

Sparkasse(슈파카세)란?

  • 지역 기반 저축은행으로 각 지역별로 독립적으로 운영됨
  • 유럽 최대 금융 서비스 그룹 중 하나임

Wero란?

  • 유럽 결제 이니셔티브(EPI)가 만든 신규 디지털 결제 시스템임
  • 현지 결제 시스템을 통합하려는 목적으로 개발됨(초기 P2P 결제 중심)
  • PayPal과 비슷하나, 각 은행에 분산된 구조를 가짐

2장: 상황 악화 – 의심스러운 웹사이트

  • 이메일 링크 클릭 시 접속되는 이벤트 참가 사이트의 각종 디자인과 구조가 피싱 사이트와 매우 흡사함
  • Sparkasse 지점 언급이나 은행별 구분이 전혀 없음(각 은행별 독립성 무시)
  • 도메인 자체가 공식 은행 도메인과 무관하며, 누구나 등록할 수 있는 일반적인 명칭 사용
  • SSL 인증서도 무료인 Let’s Encrypt 사용, 신뢰도 저하
  • 이벤트 맥락이나 근거 설명이 부족, 단지 “돈을 받을 기회”만 강조
  • 참가를 위해 이름, 생년월일, IBAN, 이메일 주소 등 개인/금융정보 입력 요구
  • 일반적으로 최신 디지털 금융 이벤트는 앱 내에서만 참가하도록 설계되는 분위기와 어긋남

이로 인해 금융기관이 일부러 사용자 보안 교육을 무의미하게 만드는 결과를 초래함

보안 교육 효과 저하의 문제

  • 실제 은행마저 피싱 메일/사이트와 유사한 방식 사용 시, 이용자들은 피싱 탐지 교육 자체를 신뢰하지 않게 됨
  • “이것은 스팸처럼 보이지만 실제로 합법일 수도 있다”는 인식 확산
  • 과거에도 해당 은행이 의심스러운 문구와 도메인이 포함된 공식 SMS를 발송한 전례 있음(예: paperless.io 링크 안내)
  • 지원센터조차 why 이것이 스팸처럼 보일 수 있는지를 이해하지 못함

3장: 해결 방법은 무엇인가?

  • 가장 안전한 방안은 이벤트 참가 절차를 앱 내에 직접 구현하는 것임
  • 불가피하다면, 공식 도메인(예: sparkasse.de) 또는 각 지점의 서브도메인을 사용해야 신뢰성 유지 가능
  • 독일 정부도 유사한 사건에서 gov.de 디지털 브랜드 정책을 도입하여 서비스 신뢰성을 강화한 사례가 있음

4장: 부주의가 법적 문제로 번질 가능성

  • 최근 피싱 피해자에 대한 은행 배상 판례가 증가 중임
  • 법원은 개인정보 유출에 대한 “과실” 여부 판단에서 사용자 과실이 없으면 은행 책임으로 결론
  • 만약 현재 같은 메일/사이트 구조로 피싱 공격이 진행된다면, 피해자가 신중하지 않았다는 근거를 은행이 입증하기 어려울 것임
  • 실제 은행 공식 이메일/사이트와 피싱이 너무 유사해 법적 위험성이 커짐

결론

  • 기술적 보안은 발전하고 있지만, 사용자 경험 보안(USABLE SECURITY) 에는 여전히 허점이 남아 있음
  • 이런 사례는 피싱 방지 교육 자체의 신뢰를 훼손하며, 은행의 법적 부담 및 전체 금융권에 악영향을 미침
  • 문제는 개별적인 피드백으로는 해결이 힘든 구조적 시스템 문제
  • 유럽 최대 금융그룹에서도 발생하는 이슈임을 더욱 심각하게 인식할 필요가 있음
  • “보안 교육을 훼손하지 마세요. 오히려 신경 좀 써주세요”라는 교훈으로 마무리됨
unsure4000 7시간전  [-]

기시감은 착각이 아닌 것 같습니다🤣

답변달기
GN⁺ 7시간전  [-]
Hacker News 의견

  • 내 은행은 계좌에서 의심스러운 활동이 감지되면 나에게 전화를 거는 사기 탐지 시스템을 사용함, 그리고 내게 다시 특정 번호로 전화를 해달라고 요청함, 문제는 매번 다른 콜백 번호를 제공한다는 점임, 온라인에서 그 번호로 검색해보면 결과가 딱 하나 나오는데 그건 사기 탐지 시스템 공식 웹페이지에서 어떤 전화도 믿지 말라는 내용임(이 조언은 타당하지만 아이러니하게도 자신들의 정당한 연락조차도 무시하라는 의미가 됨)

    • 카드에서 사기 탐지 시스템을 유일하게 발동시켰던 경험이 있는데, 그 때 내게 은행에서 “카드가 의심스러운 사용으로 인해 차단되었습니다, 다음 번호로 전화해 주세요”라는 문자를 받았음, 그 번호 역시 무작위로 지정된 미등재 번호였음, 내가 이를 무시하지 않은 유일한 이유는 바로 직전에 새로운 웹사이트에서 결제를 했기 때문임, 그래서 내 지역 은행에 직접 전화를 해서 이게 진짜 상황인지 확인했고, 실제로 맞다는 안내를 받음, 이런 절차가 정말 엉망이라는 불만을 토할 뻔했음

    • 은행 전체 사용자 경험(UX) 흐름을 챙기는 담당자가 없는 것 같음, 내 은행도 비슷하게 이상하게 작동함, 예를 들어 아내에게 이체를 할 때마다 매번 사기 방지를 위해 여러 질문을 확인하는데, 질문에 답하면 “자주 이체를 하니까 2FA 코드나 추가 인증은 안하겠다”는 안내문이 또 뜨는 식임, 이런 합리적이지 않은 UX는 전체 흐름을 챙기는 한 명 또는 한 팀이 없기 때문일 것임

    • 은행이 스스로 정한 규칙을 지키지 않음, 한 번은 내가 한 달 전에 요청했던 보험 변경 건으로 은행에서 전화가 왔는데, 나에게 시큐리티 동글로 본인 인증을 하라고 했음, 이런 식이니 사람들이 사기를 당해도 놀랄 일이 아님

    • 내가 일하는 은행은 “$x 금액의 수표를 발행했냐”는 문자를 보내서 이상 여부를 확인함, 문제는 가장 흔한 수표 사기가 수표 액수는 그대로 두고 수취인만 위조하는 “체크 워싱”임, 이렇게 되면 금액만 맞는 합법 거래로 보일 뿐 실제로 누구에게 지급됐는지는 확인이 안됨

    • 일반 은행 대표번호로 연락해서 한참 기다려서 상담원을 붙잡아도 실제로는 맞는 번호인데도 그 번호는 인정하지 않는다고 함, 더 골치아픈 건 내가 이용하지 않는 은행의 경우 홈페이지에 있는 번호로 전화하면 자동 응답 시스템으로 바로 연결되고, 계좌번호 없으면 접근 조차 할 수 없으니, 누군가와 직접 통화하기 위해 연락 가능한 다른 번호를 찾아야 하는 상황임

  • 내 은행(USAA)은 이전에 내가 제안한 것들을 실제로 도입해 준 적도 있음, 그런데 최근 내 고유 이메일 주소로 정상으로 보이는 이메일을 받았는데 도메인이 평소와 달랐음(내가 막 무언가 처리한 직후라 더 의심스러웠음) 바로 은행에 전화를 걸어 사기 부서 직원과 상담을 했고 “사내 시스템이 해킹당했거나 고객을 피싱에 자연스럽게 적응시키는 거다”라고 문제를 설명하며 티켓을 만들어 달라고 했음, 담당자는 그 도메인은 USAA 소유가 아니고 반드시 usaa.com만 사용한다며 내 계정을 별말 없이 잠궜음, 결국 다시 전화해서 계정을 풀었으며, 담당자가 티켓은 만들었다고 했음, 이후 진행 상황을 지켜봐야 할 것임

    • 내가 USAA 소프트웨어 엔지니어 인터뷰도 봤는데, 면접관들의 무능함을 보고서 회사에서 벌어지는 황당한 일들이 더 이상 놀랍지 않게 됨

  • 은행의 사용자 경험 관련 기술과 마케팅 관행이 최악임, 내가 써본 모든 인도 은행 로그인 폼은

    • 패스워드 매니저에 비우호적임
    • 패스워드 복사/붙여넣기 불가임
    • 클라이언트 사이드 해시 사용
    • 15자 초과 비허용 및 화이트리스트된 문자만 가능 등 이상한 요구사항 존재(HDFC가 특히 심함)
    • 늘어나는 스팸 메시지 전부 2000년대 초반 UX 관성에서 벗어나지 못하는 느낌임

    • 15자 초과 금지라니! 내 은행은 정확히 6자리 숫자여야 함, 문자도 아니고 반드시 숫자임, 패스워드 매니저도 못 쓰고 복사/붙여넣기도 제한됨, 반드시 마우스로 숫자칸을 찍어야 함, “보안”에 집착한 나머지 2차 인증도 예전엔 물리 토큰에서 앱으로, 마지막엔 결국 SMS로 바뀜, 여기는 동네 조그만 은행이 아니라 프랑스 최대 규모 은행임

    • 몇 주 전에는 인도 공기업 은행 앱이 사용자가 Firefox를 깔았다는 이유만으로 앱 자체를 막는다는 캡처가 Reddit에 올라와 논란이 됐음, 은행과 정부 사이트들이 사용자에게 극도로 불친절한데, 예전엔 이런 접근이 기술에 익숙하지 않은 사용자를 지키려는 취지라고 생각했지만, 이제는 오히려 제대로 안전하고 편리한 프레임워크 도입을 게을리하는 자기변명이라는 생각임

    • 특정 인도 공기업 은행 앱은 카메라, 전체 파일시스템 등 필수적인 권한을 허용하지 않으면 실행조차 안됨, 하지만 내 은행에서는 OP와 같은 스팸은 받아본 적 없었음, 다만 대중적 인식으로는 하위 직원들이 계좌 정보를 사기꾼들에게 상습적으로 유출한다는 소문이 있음

    • 내 은행은 180일마다 패스워드 변경을 강제하고, 비밀번호는 6~11자만 허용하며 사용 가능한 문자도 정해져 있음, 그래서 로그인하려 하면 또 패스워드를 바꾸라고 하고, Firefox 자동 생성 패스워드는 은행 규정에 맞지 않아, 결국 터미널에서 조건을 맞춰 직접 임의 비밀번호를 만드는 번거로움이 생김

    • 클라이언트 사이드에서 패스워드 해시를 쓰는 게 왜 문제인지 잘 모르겠음

  • 주택 매매할 때 이런 문제가 더 심함, 다양한 하위 조직이 각자 다른 도메인을 쓰는 등 복잡함, 나도 의료기기 리콜 문제로 수상한 도메인을 신뢰해야 했던 고생을 했었음, 이런 건 간단히 홈페이지에 신뢰할 수 있는 파트너 도메인 리스트만 올려도 해결 가능함, 내 개인 보안 프로토콜은 .gov 사이트에서 금융기관 연락처를 검색해서 그 도메인에 들어가 고객센터 번호를 확인해 실제 신뢰 가능한 도메인이 무엇인지 전화해서 알아보는 방식임, 고객센터 직원들은 내가 이상하다고 생각하곤 했음, 어느 날 한 상담원이 “LinkedIn에서 담당자가 <Bank Name>에 다닌다고 뜨면 그 사람이 진짜임을 알 수 있습니다”라고 말한 적까지 있음

    • “LinkedIn에서 <Bank Name>이 자기 직장이라 나오면 신뢰해도 된다”길래, “2분만 주면 내 프로필에도 그렇게 등록할 수 있는데, 그럼 내 개인정보도 줄 거냐”고 반문했던 경험 있음

    • 주택 구매 때 전혀 복잡하지 않았던 경험도 있음, 난 주택담보 대출을 중개인을 통해 진행했고 일대일로 한 사람만 상대했음

  • 의사결정권이 있는 순진한 사람들이 이런 위험을 제대로 인식하지 못하다가 자신이나 주변인이 사기나 법적 문제를 겪어야 뒤늦게 깨달음, 미국도 2012년 전에는 이런 사람들이 기업을 많이 운영했지만, 화이트햇/블랙햇 해킹이 빨리 확산되면서 이런 문제들이 비교적 빠르게 해결됨

    • 예전에 정보보안 문화가 탄탄한 금융회사에서 일했음, 이 회사가 인수되고 나서는 본사 임직원 명의로 계속 외부 업체에서 각종 요청 메일이 옴, 하지만 기존 보안 정책대로라면 이런 메일을 처리하는 게 금지되어 있어, Slack에서 다들 이건 진짜 메일이긴 하지만, 정책상 무조건 피싱으로 신고하자고 의기투합했음, 결과적으로 악의 없는 불응이지만, 사실 이게 모범 사례임, 나중엔 본사 임원이 “이런 메일이 갈 거니 이렇게 반응해 달라”는 사전 메일까지 보내기 시작, 그러자 동료들과 “그럼 그 사전 안내 메일이 진짜임을 어떻게 아냐”라는 논의가 또 반복, 결국 다들 피곤해져서 본사 식으로 느슨한 보안 관행을 받아들이게 됨

    • 이런 유형의 조직에서는 올바른 결정을 내릴 수 있는 능력 있는 사람들이 실제로 결정권을 가지는 위치로 올라가기 힘든 사회적 구조가 있다고 생각함, 좋은 정책을 만들려면 여기저기 “안 된다”고 말해야 하는데, 그 과정에서 인사권자들의 비위를 맞추기가 가장 어려움

    • 문서상으로는 CISO, EVP, SVP, 보안 디렉터 등 고위직이 다 있는데도 왜 이런 엉뚱한 결정을 내리는지 정말 이해가 안 됨, 이럴 때는 무능과 악의를 구별하기가 어려움, “순진하다”고 돌려 말하면 오히려 고객을 무시한 행동을 변명해 주는 것 같음, 보안에 신경쓰는 것도 돈이 들고, 안쓰는 것도 손실이 크지만, 적어도 아직까지는 사용자를 잃는 손해가 안전하게 제대로 만드는 데 드는 돈보다 작으니 이런 방식이 유지되는 것 같음, 결국 모두에게 슬픈 현실임

  • 은행에서 자주 내게 무작위 마케팅 전화를 걸어, 자기네 제안을 설명해주기 전에 내 생년월일과 어머니 이름을 물어봤음, 내가 역으로 “은행이 진짜인지 먼저 증명해라”고 따지면 늘 당황해 했음

    • 낯선 전화에서 내 개인정보를 확인해 달라고 할 때 난 항상 “당신이 누군지 모르니 개인정보를 알려줄 수 없다”고 답함, 이러면 절반은 그냥 끊고, 나머지는 영업 멘트를 바로 시작함

    • 의료계에서도 똑같은 일을 자주 경험함, 전문의 사무실에서 전화하자마자 내 생년월일부터 묻고, 내가 거절하면 상대가 매우 놀라움, 나도 마찬가지로, 그쪽이 전화 건 쪽이라면 자기 신분을 먼저 증명해야 한다고 생각함

    • 내 은행은 이런 점을 결국 이해해서, 요즘은 앱에서 해당 상담원이 영업 중인 게 맞고 정확히 어느 직원인지 앱을 통해 확인 가능한 시스템을 도입함

  • “그래서 서브도메인 등록이 답이다”라는 아이디어가 나온 배경은, IT 부서 누군가는 서브도메인 따위로 권한을 내주는 게 위험하단 걸 알아서 거절하기 때문임, 결국 기업 내 다른 부서(마케팅 등)가 자체 도메인을 개별적으로 등록해서 이런 식으로 우회함, 구글 같은 기업은 어떻게 해결하는지 궁금함, google.com의 서브도메인 해킹은 가장 탐나는 타깃인데도, 실제로 구글도 꽤 자주 서브도메인을 사용함, 관련 사례로 이 gist 링크 참고할 수 있음

    • 사실상 IT 부서까지 안 가는 경우가 많음, 마케팅은 조직 구조상 IT와 분리되어 있고, IT에 일 걸기 싫어함, IT는 비효율적이고 느릿한 티켓 시스템을 쓰고 있으며, 쓸데없는 견해를 드러낼 때도 많아서 마케팅 쪽에서 귀찮게 여김, 그래서 마케팅 프로모션은 SaaS 서비스나 외주 업체에 위임하는데, 이들도 기업 IT와 별 인연이 없음, 마케팅 담당자는 서브도메인이 뭔지도 모르고 그저 구글 검색 혹은 링크 클릭으로 일함, URL 텍스트 따위는 아무도 안 보기 때문에 왜 서브도메인이 중요한지 인식 자체가 없음, 실제 사용자 인터넷 이용 패턴을 보면 전통적인 피싱 방지 교육이 무의미함, “도메인 꼼꼼히 읽기”보다는 “구글 검색 후 상위 결과 클릭”이 더 현실적인 피싱 방지법임

    • 구글도 이런 부분이 답답하기로 마찬가지임, 안내 메일이 피싱으로 오해받을 만한 형식이고, google.com 외에도 goo.gl, foobar.google 등 다양한 이상한 도메인을 쓰며 안내함, 예전처럼 곧이곧대로 신뢰하던 시절은 이미 끝났음

  • 나는 4장이 핵심이라고 생각함, 은행이 고객에게 피싱처럼 보이는 이메일을 보내는 건 중대한 과실로 법적 책임을 져야 한다고 봄

    • 피해자나 범죄가 명확히 존재하지 않는데 어떻게 법적 책임을 물을 수 있는지 궁금함, 특히 “중대한 과실”이라 불릴 정도면, 지금 실무에서 나타나는 부주의는 사실 경미한 편임

  • 이건 Conway의 법칙이 현실에서 그대로 보이는 사례임, 마케팅 부서가 자체 IT를 두고 있고, 코어 웹사이트를 관리하는 IT와 분리되어 있음, 그래서 같은 웹도메인에서 함께 개발은 불가능하고, 별도 사이트, 별도 경험으로 출시하게 됨

    • 독일 “Sparkassen” 사례는 더 골치 아픔, 이들은 소규모부터 중형까지 크레딧 유니언 형태이고, 상위 조직이 IT 같은 공통 서비스만 부분적으로 제공함, 개별 은행마다 스스로 관리할 범위를 선택 가능함, 큰 지점은 잘 굴러가지만, 소형 지점은 인력도 부족하고 IT 보안 실무도 거의 못함, 그럼에도 이런 은행들은 “동네 은행”이라는 친근 마케팅으로 신뢰를 쌓음, 실제론 수수료 비싸고 투자 상품 성과도 엉망임

  • 주변 친구가 일하는 회사에서는 CISO가 전사 임직원 대상으로 보안 관련 뉴스레터를 발송했는데, 이 메일이 사내 도메인이 아니라 외부 도메인에서 발송되고, 링크도 자체 사이트가 아닌 외부 호스팅 플랫폼을 사용해서 늘 피싱 메일 같았음, 특히 경품 이벤트가 있을 땐 더더욱 가짜로 오해받기 쉬웠음(회사 평판상 그런 후한 경품은 말이 안 됨)

    • 회사에서 매주 받는 뉴스레터도 항상 외부 발송자에서 오고, 링크는 외부 호스팅 사이트로 향함, 클릭 추적을 위해 고유 ID도 붙음, 그 링크는 Outlook에 의해 조합되어서 훨씬 알아보기 힘들어짐, 내가 재직 중인 회사 공식 웹사이트에서 이 발송자나 호스팅 도메인이 정식 사용 중인지 찾아봐도 어떤 안내도 없었음, 그래서 해당 링크는 클릭하지 않고, 차라리 피싱으로 신고해야 하나 고민했음
답변달기