Hacker News 2026.04.03 38

워드프레스 창시자도 속을 뻔한 피싱 공격, 우리는 안전할까?

무슨 일이 있었나요?

워드프레스의 공동 창시자이자 Automattic의 CEO인 맷 멀렌웨그(Matt Mullenweg)가 자신의 블로그에 "Gone (Almost) Phishin'"이라는 글을 올렸어요. 제목에서 눈치채셨겠지만, 그가 피싱(Phishing) 공격에 거의 당할 뻔한 경험을 공유한 건데요. 여기서 핵심은 "거의(Almost)"라는 단어예요. 수십 년간 웹 생태계의 최전선에서 일해온 사람도 피싱에 속을 수 있다는 거죠.

피싱이 뭐냐면, 신뢰할 수 있는 기관이나 사람인 척 위장해서 비밀번호나 개인정보를 빼내는 사기 수법이에요. 예를 들어 "당신의 계정에 문제가 생겼습니다"라는 이메일을 보내놓고, 가짜 로그인 페이지로 유도해서 비밀번호를 입력하게 만드는 거죠.

왜 이게 중요한 이야기인가요?

피싱 공격은 해가 갈수록 정교해지고 있어요. 예전에는 어색한 한국어나 이상한 URL을 보면 금방 눈치챌 수 있었는데요. 요즘은 AI를 활용해서 문법이 완벽한 이메일을 만들어내고, 실제 도메인과 거의 구분이 안 되는 가짜 사이트를 만들어요. 특히 2025년 이후로 LLM(대규모 언어 모델)을 활용한 스피어 피싱이 급격히 늘어났거든요. 스피어 피싱은 불특정 다수가 아니라 특정 인물을 타겟으로 삼아서, 그 사람의 업무 맥락이나 인간관계를 파악한 뒤 맞춤형 메시지를 보내는 방식이에요.

맷 멀렌웨그 같은 기술 업계의 유명 인사는 당연히 이런 공격의 주요 타겟이에요. 그의 계정 하나만 탈취해도 워드프레스 생태계 전체에 영향을 줄 수 있으니까요. 하지만 이건 유명인에게만 해당되는 이야기가 아니에요. 여러분이 회사의 AWS 콘솔에 접근할 수 있는 개발자라면, 여러분도 충분히 가치 있는 타겟이거든요.

그러면 어떻게 방어해야 할까요?

가장 효과적인 방어 수단은 하드웨어 보안 키(YubiKey 같은 FIDO2/WebAuthn 기기)예요. 이게 뭐냐면, USB나 NFC로 연결하는 물리적인 인증 장치인데요. 피싱 사이트에서는 작동하지 않아요. 왜냐하면 보안 키가 로그인할 때 실제 도메인을 확인하거든요. github.com에 등록된 키는 github-security-alert.com에서는 절대 인증을 승인하지 않아요.

패스키(Passkey)도 같은 원리로 동작하는데, 별도의 하드웨어 없이 스마트폰이나 노트북의 생체 인증을 활용할 수 있어서 더 편리해요. 2026년 현재 대부분의 주요 서비스가 패스키를 지원하니까, 아직 설정 안 하셨다면 지금 당장 해보시는 걸 추천해요.

그 외에도 실천할 수 있는 방법들이 있어요. 이메일에 포함된 링크를 직접 클릭하지 말고 브라우저에서 직접 주소를 입력하는 습관을 들이세요. 비밀번호 관리자를 사용하면 가짜 사이트에서는 자동 완성이 안 되기 때문에 피싱을 알아차리기 쉬워져요. 그리고 긴급함을 강조하는 메시지("지금 바로 조치하지 않으면 계정이 삭제됩니다")는 거의 100% 피싱이에요.

한국 개발자에게 주는 시사점

한국에서도 개발자를 타겟으로 한 피싱이 늘고 있어요. 특히 npm이나 PyPI 패키지를 사칭한 공급망 공격, 채용 제안을 위장한 피싱 이메일이 많이 보고되고 있죠. 회사에서 SSO(Single Sign-On)를 쓰고 계시다면, SSO 로그인 페이지를 사칭한 피싱은 한 번에 모든 사내 서비스 접근 권한을 뺏길 수 있어서 특히 위험해요.

보안 교육을 "귀찮은 연례 행사"로 생각하지 말고, 팀에서 주기적으로 피싱 시뮬레이션을 돌려보는 것도 좋아요. 실제로 클릭해본 사람이 있다면 그건 비난할 일이 아니라 방어 체계를 개선할 기회예요.