최근 DHL 등 국제 특송 업체를 사칭한 피싱 메일이 확산하고 있다. 공격자는 기한 안에 요금을 납부해야 배송이 완료된다며 결제를 유도해 주의가 요구된다.

24일 네이버(035420) 시큐리티에 따르면 최근 "통관 수수료 또는 관세를 납부해야 배송이 완료된다"며 결제를 유도하는 피싱 메일이 유포되고 있다.

해당 메일은 DHL과 FedEX, UPS 등 국제 특송 업체를 사칭한다. 예컨대 '[DHL Express] 해외 화물 세금 고지서 DHL-20260621-549028' 등 제목을 사용하는 식이다.

이 메일은 DHL 고객 지원팀에서 보낸 것처럼 표시되지만, 실제 발신 주소는 DHL과 관계없는 해외 도메인이다.

발신자는 "통관이 보류됐으니 기한 내 세금을 납부해야 한다"며 사용자의 불안감을 자극해 빠른 결제를 유도한다.

이러한 피싱 메일은 메일 본문이 아닌 첨부 PDF 파일 속 '지금 납부하기' 버튼에 링크를 숨긴다.

네이버 시큐리티는 해당 은폐 방식이 메일 보안 필터의 링크 검사를 피하려는 의도로 보인다고 분석했다.


이 버튼을 누르면 외부 페이지로 연결된다. 화면에는 결제창이 아니라 'Secure Access / I'm not a robot'이라는 가짜 보안 검증 화면이 표시된다.

허위 보안 검증 화면은 웹페이지 자동 분석 도구를 따돌리고 사람만을 다음 단계로 넘기기 위한 장치다. 이 단계를 통과하면 가짜 결제·로그인 화면이 나온다.

가짜 결제·로그인 창 주소를 보면 통상 도메인 맨 뒷부분에 위치하는 '.com'이 연결 주소(URL) 중간에 있다. 이는 이용자를 속이기 위한 전형적인 피싱 수법이다.


네이버 시큐리티는 피싱 세력이 DHL뿐만 아니라 CJ 로지스틱스 등 여러 택배사 이름을 악용하고 있다며, 배송사 명칭이 아닌 링크의 실제 연결 주소를 확인하라고 당부했다.

운송 회사를 사칭한 피싱 메일은 '통관 보류', '배송 보류', '미납 요금' 등 문구로 긴급한 상황인 것처럼 안내해 빠른 조치를 요구한다.

또한 비교적 적은 금액을 제시해 사용자가 부담 없이 결제하도록 한다. URL은 메일 본문이 아닌 PDF 파일 혹은 이미지 파일에 삽입돼 있다.

네이버 시큐리티는 피싱 피해를 방지하기 위해 메일 내 링크가 아닌 배송사 공식 애플리케이션(앱)이나 홈페이지를 이용하라고 권고했다.

아울러 관세와 통관비, 배송비 납부를 안내하는 메일을 받았다면 링크를 통해 바로 결제하지 말고 공식 고객센터나 홈페이지를 통해 사실 여부를 먼저 확인하라고 안내했다.

네이버 시큐리티 관계자는 "실제 발신 주소의 도메인이 해당 업체의 공식 도메인과 일치하는지 확인하라"며 "필요한 경우 한국인터넷진흥원(KISA) 118 상담센터에 신고하거나 상담을 받을 수 있다"고 했다.

minjae@news1.kr