당신 눈앞에 있는 두 텍스트 binance.com과 binаnce.com의 차이점을 알아볼 수 있나요? 뒤쪽의 а는 키릴 문자로, 라틴 문자 a와 거의 완벽하게 똑같습니다. 이것이 바로 육안 속임수 중 가장 방어하기 어려운 동형이체(Homograph) 공격입니다. 이 글에서는 이를 식별하고 방어하는 방법을 알려드립니다. 일상적으로 항상 검증된 입구를 통해 바이낸스 공식 사이트에 접속하고, 모바일은 바이낸스 공식 앱을 사용하며, iOS에 앱이 설치되어 있지 않다면 iOS 설치 가이드를 확인하세요.
1. 동형이체 공격의 원리
국제화 도메인(IDN)은 도메인에 비 ASCII 문자를 포함하는 것을 허용합니다. 본래 목적은 중국어/일본어/러시아어 사용자가 현지 언어로 도메인을 등록할 수 있도록 하는 것이었습니다. 문제는 많은 문자가 시각적으로는 영문 알파벳과 완전히 동일하지만 인코딩 상으로는 다른 문자라는 점입니다.
도메인 수준에서 브라우저는 이러한 문자를 Punycode로 변환합니다:
binаnce.com(키릴 문자 а 포함)은 실제로는xn--binnce-b8a.com입니다.googĺe.com(억음 부호 ĺ 포함)은 실제로는xn--googe-x9a.com입니다.
그러나 기본적으로 브라우저는 Unicode 형태로 표시하기 때문에, 사용자가 보는 것은 여전히 binаnce.com이며, 진짜 binance.com과 완전히 같아 보입니다.
2. 가장 쉽게 대체되는 라틴 알파벳
다음 표는 동형이체 공격에서 가장 많이 쓰이는 대체 문자 대조표입니다:
| 원래 문자 | 시각적으로 유사한 문자 | 인코딩 문자 집합 |
|---|---|---|
| a | а / α | 키릴 / 그리스 |
| e | е / ё | 키릴 |
| o | о / ο / 0 | 키릴 / 그리스 / 숫자 |
| i | і / ί / l / 1 | 키릴 / 그리스 / 라틴 L / 숫자 1 |
| c | с / ϲ | 키릴 / 그리스 |
| p | р / ρ | 키릴 / 그리스 |
| n | η / n | 그리스 / 전각 문자 |
| b | Ь / b | 키릴 / 전각 문자 |
바이낸스 도메인의 b/i/n/a/n/c/e 모든 글자가 대체될 가능성이 있습니다. 이 조합을 통해 생성되는 피싱 변종의 수는 엄청납니다.
3. 동형이체를 간파하는 세 가지 방법
방법 A: 브라우저에 Punycode 표시 활성화하기
Firefox가 가장 안정적입니다. 주소창에 about:config를 입력하고, network.IDN_show_punycode를 검색해 이를 true로 바꿉니다. 설정 후 비 ASCII 도메인은 모두 xn-- 형태로 표시되어, 육안으로 즉시 이상 여부를 알 수 있습니다.
Chrome은 기본 설정이 없지만 도메인에 라틴 문자와 비라틴 문자가 혼용되어 있을 때 자동으로 Punycode로 표시합니다. 비라틴 문자로만 이뤄진 "순수 키릴 도메인"은 그대로 표시되므로 확장 프로그램의 도움이 필요합니다.
방법 B: 텍스트 에디터에 복사 붙여넣기
주소창의 URL을 복사해 메모장이나 코드 에디터(VS Code 추천)에 붙여넣어 다른 폰트로 띄워보세요. VS Code의 고정폭 폰트는 а와 a의 미세한 차이를 보여줍니다. 아니면 16진수 뷰어 플러그인을 사용하여 각 문자의 Unicode 코드 포인트를 한눈에 확인할 수 있습니다.
방법 C: 육안 보조 검사
도메인에 마우스를 올리고 각 글자를 자세히 살펴보세요:
- a의 둥근 부분이 표준적인가
- e의 가로줄 위치가 정상적인가
- o가 완벽한 원형인가
- i 위의 점이 중앙에 있는가
어느 한 글자라도 조금 빗나가 보이면 즉시 경계해야 합니다.
4. 브라우저 수준의 추가 방어
Chrome 확장 프로그램
- EnGuard (PhishFort): 동형이체 자동 감지 및 경고
- Punycode Alert: 주소창에 Punycode 알림 삽입
시스템 수준
- hosts 파일에서 알려진 피싱 변종을 블랙홀(Blackhole) 처리합니다:
0.0.0.0 xn--binnce-b8a.com - Pi-hole 같은 가정용 DNS 게이트웨이를 사용해 안티 피싱 블랙리스트를 구독합니다.
비밀번호 관리자
1Password, Bitwarden 등은 도메인이 정확히 일치할 때만 자동 완성 기능이 뜹니다. 만약 동형이체 도메인에 접속했다면 비밀번호 관리자가 반응하지 않습니다. 이것이 천연 "식별 경보기" 역할을 합니다.
5. 모바일 환경의 특수성
스마트폰의 주소창은 짧고 문자가 더 작게 표시되어 동형이체를 알아보기 더욱 어렵습니다. 권장 사항:
- 전적으로 앱을 사용하고 브라우저에 도메인을 입력하지 마세요.
- 브라우저에서 "전체 URL 표시"를 활성화하세요.
- 링크를 받았을 때 길게 눌러 목표 URL을 미리보기하고 곧바로 클릭하지 마세요.
iOS Safari에서는 링크를 길게 누르면 미리보기가 뜨면서 전체 URL을 확인할 수 있고, 안드로이드 Chrome도 마찬가지로 길게 눌러 미리보기가 가능합니다.
6. 이미 동형이체 도메인에 접속했다면
다음 순서대로 대처하세요:
- 즉시 주소창을 캡처하고 전체 URL을 복사하여 보관합니다.
- 창을 닫고 브라우저에서 해당 도메인의 쿠키를 삭제합니다.
- 해당 페이지에 어떤 정보라도 입력했는지 확인하고, 입력했다면 계정 도용 응급 절차에 따라 처리합니다.
- 깨끗한 브라우저에서 binance.com을 열고 계정 상태를 점검합니다.
- 바이낸스 고객센터 신고 채널을 통해 해당 URL을 제보합니다.
자주 묻는 질문(FAQ)
Q1:브라우저는 왜 기본적으로 Punycode가 아닌 Unicode를 표시하나요? 비영어권 국가 사용자의 편의를 위해서입니다. 러시아 사용자의 도메인이 항상 xn--xxxx 형태로 표시된다면 경험이 매우 나빠집니다. 따라서 기본적으로는 Unicode를 표시하되 문자열이 섞인 경우에는 자동으로 Punycode로 전환합니다.
Q2:Firefox에서 강제 Punycode를 켜면 영어가 아닌 사이트에 영향을 미치나요? 정상적인 영문 사이트는 전혀 변하지 않습니다. 중국어, 러시아어 등의 도메인은 xn-- 형태로 표시됩니다. 이런 도메인에 접속하지 않는다면 아무런 영향도 없습니다.
Q3:HTTPS 인증서로 동형이체를 알아낼 수 있나요? 가능합니다. 인증서의 Subject 필드는 실제 인코딩된 문자열이므로 육안으로 보는 것과 차이가 있습니다. 인증서 세부 정보를 주의 깊게 보면 간파할 수 있습니다.
Q4:앱 내부에서도 동형이체 공격을 당할 수 있나요? 앱은 도메인 입력에 의존하지 않으며 모든 연결이 코드에 내장된 API 엔드포인트를 통합니다. 따라서 동형이체는 앱 사용자에게 사실상 무효합니다.