연말연시 피싱 사기: 마케터가 알고 대처해야 할 사항

매년 사이버 범죄자들은 블랙 프라이데이, 사이버 먼데이, 크리스마스 전 러시와 같은 날짜를 달력에 빨간색으로 동그라미를 치고 있습니다.

다크트레이스의 분석에 따르면 2024년 블랙 프라이데이를 주제로 한 피싱 이메일은 11월 연휴 직전 몇 주 동안 700% 가까이 급증했으며 , 크리스마스와 같은 쇼핑 성수기에는 미국의 주요 리테일 브랜드에 대한 피싱 공격이 2,000% 이상 급증했습니다.

마케터와 이커머스 팀에게 연말연시 피싱 사기의 증가는 두 가지 결과를 초래합니다. 즉, 잠재고객이 가짜 이메일의 표적이 될 가능성이 그 어느 때보다 높아졌다는 것과 합법적인 캠페인이 받은 편지함에서 수많은 위험한 소음과 경쟁하게 되었다는 것입니다. 고객이 카드 정보를 도용하는 '세일' 이메일에 피해를 입는다면, 모든 것을 올바르게 수행했더라도 다음번에는 여러분의 이메일을 신뢰하지 않을 수 있습니다.

이 도움말에서는 연말연시와 같은 대형 리테일 이벤트 기간에 피싱이 급증하는 이유, 주의해야 할 위험 신호, 마케팅 및 커뮤니케이션 팀이 고객과 직원 모두를 안전하게 보호하기 위해 취할 수 있는 실질적인 조치에 대해 설명합니다. 또한 SPF, DKIM, DMARC와 같은 이메일 인증 프로토콜이 브랜드 도메인을 공격자의 손아귀에서 보호하는 데 어떻게 도움이 되는지 살펴볼 것입니다.

연말연시에 피싱이 급증하는 이유

범죄자의 관점에서 보면 연말연시 이벤트는 소셜 엔지니어링을 위한 완벽한 조건을 조성합니다. 사람들은 할인 이메일, 배송 알림, '단 하루만' 혜택이 쏟아질 것으로 기대합니다. 사람들은 모두 빠르게 움직이고, 제목을 훑어보고, 생각하기 전에 클릭합니다. 이것이 바로 피싱 공격자들이 원하는 행동입니다.

크리스마스, 발렌타인데이, 세금 시즌, 신학기, 주요 여행 기간 등 연중 내내 피싱 공격이 급증합니다. 고객들이 평소보다 더 많은 이메일을 받을 것으로 예상되는 시기에는 공격자들이 군중 속에 섞여들기 위해 더 많은 노력을 기울입니다.

홀리데이 피싱이 사람들을 속이는 방법

연말연시 테마 피싱은 기술적인 측면에서는 항상 정교하지는 않지만, 심리적인 측면에서는 매우 영리합니다. 공격자는 사람들이 이미 받은 편지함에서 볼 것으로 예상되는 메시지에 맞춰 메시지를 조정합니다:

• "2시간 후 플래시 세일 종료"라는 제목을 달아 긴급함과 FOMO를 자극합니다.
• 피해자가 구매하지 않은 구매에 대한 가짜 주문 확인('인보이스 보기' 또는 '패키지 추적').
• 배송 브랜드의 가짜 배송 업데이트(예: "소포를 배송할 수 없습니다. 주소를 확인해 주세요."
• 로그인 또는 결제 세부 정보 입력을 요구하는 기프트 카드, 바우처 또는 "홀리데이 경품" 이메일.
• 유사 도메인(예: 한 글자를 유사한 문자로 대체): 시각적으로 빠른 스킴 검사를 통과하는 도메인입니다.

수십 개의 오퍼를 훑어보는 바쁜 고객에게는 이러한 메시지가 정상적으로 느껴집니다. 로고가 제대로 보이고, 톤이 실제 브랜드처럼 들리며, 타이밍이 고객의 쇼핑 행동과 일치합니다. 그렇기 때문에 교육과 프로세스가 기술적 제어만큼이나 중요합니다.

마케터와 이커머스 팀이 위험을 줄이는 방법

마케터에게 피싱 이메일과 도메인 남용은 발신자 평판 및 이메일 전달률과 같은 주요 지표에 악영향을 미칠 수 있습니다.

마케팅은 브랜드에 대한 신뢰를 보호하는 것이므로 블랙 프라이데이와 같이 위험이 높은 시즌에는 팀에서 신뢰를 유지하기 위해 취할 수 있는 구체적인 조치가 있습니다.

1. 합법적인 이메일을 쉽게 알아볼 수 있도록 하세요.

공격자는 혼란을 이용합니다. 받은 편지함에서 진짜 캠페인이 다른 모든 것과 비슷해 보일수록 가짜 캠페인이 더 쉽게 빠져나갈 수 있습니다. 의도적으로 일관성을 유지하면 잠재 고객을 도울 수 있습니다:

• 작고 예측 가능한 전송 도메인 및 하위 도메인 세트(예: "newsletter.yourbrand.com" 및 "orders.yourbrand.com")를 사용하세요.
• 임의의 개인이 아닌 'YourBrand Orders' 또는 'YourBrand Support'와 같이 알아볼 수 있는 '발신자' 이름을 사용하세요.
• 제목에 사기 수법을 연상시키는 지나치게 공격적인 긴급성("지금 행동하지 않으면 모든 것을 잃을 수 있습니다!")을 넣지 마세요.
• 항상 사용하는 명확한 브랜드 디자인 요소와 바닥글 정보를 포함하세요. 디자인 측면에서 의심을 불러일으킬 수 있는 요소는 다음과 같습니다:
  
  • 잘못 정렬된 로고 또는 헤더
  • 이미지에 대체 텍스트가 누락된 경우
  • 깨진 레이아웃 또는 예기치 않은 스태킹
  • 일관되지 않은 색상 또는 글꼴

성수기를 앞두고 현명하게 대처하는 한 가지 방법은 고객에게 정상적인 이메일의 모양과 이메일을 통해 절대 요청하지 않는 사항(비밀번호, 전체 카드 정보 등)을 알려주는 것입니다. 이렇게 하면 고객이 이러한 경계를 벗어나는 모든 것을 더 쉽게 불신할 수 있습니다.

2. 흐름에 따라 고객 교육

블로그에 '보안 팁' 페이지 하나만 게시하고 사람들이 보기를 바라기보다는 기존 고객 여정에 작은 알림을 엮어보세요:

• 주문 확인 이메일에 짧은 문구를 추가하세요: "이메일을 통해 비밀번호나 결제 정보를 절대 묻지 않습니다."라는 짧은 문구를 추가하세요.
• 연말 캠페인에 배너를 사용하여 사람들이 클릭하기 전에 발신자 주소와 URL을 확인하도록 상기시킵니다.
• 이커머스에서 피싱 이메일을 탐지하는 방법과 같은 간단한 가이드를 링크합니다.

이러한 미세한 넛지는 고객들에게 큰 부담을 주지 않으면서도 더 나은 습관을 형성하는 데 도움이 되며, 보안을 중요하게 생각한다는 점을 강조할 수 있습니다.

3. 성수기에는 내부 프로세스를 강화하세요.

홀리데이 피싱은 고객만 노리는 것이 아니라 기업의 직원과 대행사도 노립니다. 손상된 마케팅 또는 전자상거래 계정은 브랜드에서 직접 보낸 것처럼 보이는 수천 개의 악성 이메일을 보낼 수 있습니다.

• 모든 마케팅 플랫폼과 이메일 도구에서 다단계 인증(MFA)을 요구하세요.
• 성수기에 시작되는 '비정상적인' 캠페인, 도메인 또는 랜딩 페이지에 대한 명확한 승인 워크플로우를 설정하세요.
• 피싱, 특히 가짜 '플랫폼 정지' 또는 '청구 문제' 이메일을 발견하는 방법에 대해 팀원들을 대상으로 내부 재교육을 실시하세요.

대행사나 외부 프리랜서와 협력하는 경우, 이들도 동일한 보안 기준을 따르도록 하세요.

4. SPF, DKIM, DMARC로 도메인을 보호하세요.

훌륭한 교육과 프로세스를 갖추고 있더라도 사이버 범죄자가 도메인을 사용하여 이메일을 보내는 것을 애초에 차단하는 기술적 장벽이 필요합니다. 이것이 바로 SPF, DKIM, DMARC가 필요한 이유입니다.

• SPF는 사서함 공급업체에 도메인에 대해 이메일을 보낼 수 있는 서버를 알려줍니다.
• DKIM은 디지털 서명을 추가하여 수신자가 메시지가 변경되지 않았는지 확인할 수 있도록 합니다.
• DMARC는 모든 것을 하나로 묶어 "메시지가 이러한 검사에 실패하면 메시지를 격리하거나 거부하세요."라고 말할 수 있게 해줍니다.

이러한 제어 기능을 함께 사용하면 공격자가 브랜드에서 '보낸' 그럴듯한 피싱 이메일을 보내기가 훨씬 더 어려워집니다. 다시 한 번 살펴보고 싶으시다면 DMARC와 DKIM, SPF: 차이점은 무엇인가요? 가이드를 참조하세요.

DMARC 사용 설정에 대한 단계별 개요는 DMARC 사용 설정 가이드에서도 확인할 수 있습니다.

성수기에 브랜드를 보호하는 DMARCeye의 활용 방법

DMARC를 구현한 후에는 누가 대신 이메일을 보내는지 모니터링하고, 새로운 스푸핑 시도를 발견하고, 특히 바쁜 리테일 기간 동안 정책을 '모니터링'에서 '거부'로 안전하게 강화하는 등 본격적인 작업이 시작됩니다.

DMARCeye는 복잡한 XML 보고서를 명확하고 시각적이며 사람이 읽을 수 있는 인사이트로 변환하여 이를 관리할 수 있게 해줍니다. 할 수 있습니다:

• 도메인을 사용하여 실제로 이메일을 전송하는 시스템과 서비스를 확인합니다.
• 승인되지 않은 발신자 또는 이벤트 및 휴일 동안 의심스러운 트래픽의 갑작스러운 급증을 감지합니다.
• 한 곳에서 모든 도메인에 대한 SPF, DKIM, DMARC 결과를 추적하세요.
• 무엇이 위반될지 추측하지 않고 자신 있게 완전한 DMARC 적용을 향해 나아갈 수 있습니다.

DMARCeye를 사용하면 도메인이 어떻게 사용되고 있는지(또는 남용되고 있는지) 실시간으로 파악할 수 있습니다.

지금 DMARCeye 무료 체험판을 다운로드하여 다음 쇼핑 시즌이 시작되기 전에 이메일 도메인을 보호하세요.

이메일 도메인을 보호하기 위해 수행할 수 있는 작업에 대한 자세한 내용은 종합적인 이메일 보안 가이드를참조하세요 .