우크라이나 Diia(Дія) 앱 피싱: 사기꾼들이 디지털 정부 서비스를 악용하는 방법
우크라이나의 Diia(Дія) 앱 사용자를 표적으로 한 피싱 공격 — 가짜 정부 알림부터 디지털 문서 탈취까지. 우크라이나 디지털 ID 사용자를 위한 완전 보호 가이드.
우크라이나 Diia(Дія) 앱 피싱: 사기꾼들이 디지털 정부 서비스를 악용하는 방법
Diia(Дія)는 우크라이나에서 가장 중요한 앱 중 하나가 되었습니다. 2020년 출시 이후 2천만 명 이상의 우크라이나인을 위해 여권, 운전면허증, 세금 ID, 차량 등록증 등 수십 가지 정부 문서의 디지털 버전을 보관하고 있습니다. 전시에는 지원금 수령, 정부 서비스 접근, 검문소에서의 신원 확인에 필수적이 되었습니다. 이러한 중요한 역할이 Diia를 피싱 공격과 신원 도용의 고가치 표적으로 만들었습니다.
주요 Diia 피싱 사기 유형
1. 가짜 정부 알림
디지털 전환부나 내각에서 보낸 것처럼 보이는 SMS 또는 Viber 메시지를 받습니다. 미수령 정부 지급금이 있다, 디지털 문서 재인증이 필요하다, 또는 Diia 계정에 문제가 있다는 내용입니다. 링크는 BankID 자격증명을 수집하는 가짜 Diia 로그인 페이지로 연결됩니다.
2. 가짜 єПідтримка(정부 지원금) 수령 사기
Diia를 통한 새로운 정부 지원금 수령 자격이 있다는 메시지를 받습니다. "수령"하려면 제공된 링크를 통해 로그인하고 은행 카드 정보를 확인해야 합니다. 피싱 페이지가 Diia 자격증명과 은행 정보를 모두 수집합니다.
3. 가짜 문서 인증 요청
Diia의 디지털 여권이나 운전면허증이 만료되었거나 재인증이 필요하다는 메시지를 받습니다. 링크는 세금 ID, 여권 번호, 생년월일 등의 개인 정보를 다시 입력하도록 요청하는 복제된 Diia 인터페이스로 연결됩니다.
4. 가짜 Diia 앱 다운로드
"새 버전"의 Diia를 다운로드하는 링크가 포함된 피싱 메시지입니다. 다운로드된 APK(Android)는 실제 앱과 동일하게 보이지만 입력하는 모든 것을 캡처하는 악성 소프트웨어가 포함되어 있습니다.
5. "정부 지원" 전화를 통한 소셜 엔지니어링
Diia 지원 센터나 디지털 전환부를 대표한다고 주장하는 전화를 받습니다. 계정에 보안 문제가 있다며 실제로는 디지털 문서와 연결된 은행 서비스에 접근권을 부여하는 단계를 안내합니다.
경고 신호
| 경고 신호 | 의미 |
|---|---|
| 정부 지급금 수령을 위한 링크가 포함된 SMS | 공식 Diia 지급금은 외부 링크 클릭을 요구하지 않음 |
| App Store/Google Play 외부에서 Diia 다운로드 요청 | 자격증명 탈취를 위한 가짜 앱 |
| 즉각적 조치가 필요한 문서 만료 메시지 | 정부 문서는 공식 채널을 통한 명확한 만료 절차가 있음 |
| BankID 또는 Diia 로그인 정보를 요청하는 전화 | 정부 기관은 전화로 자격증명을 요청하지 않음 |
diia.gov.ua가 아닌 URL |
Diia를 사칭하는 피싱 사이트 |
Diia 계정 보호 방법
- 공식 App Store 또는 Google Play에서만 Diia를 다운로드하세요
- 자격증명 입력 전 항상 URL을 확인하세요 — 유일한 합법 도메인은
diia.gov.ua - Diia 앱에서 생체 인증 로그인을 활성화하세요
- BankID 자격증명을 절대 공유하지 마세요
- Diia는 SMS 링크를 보내지 않는다는 것을 기억하세요 — 합법적 알림은 앱 내에서 나타남
- BankID에 고유한 비밀번호를 설정하세요
- 연결된 기기를 정기적으로 확인하고 알 수 없는 기기를 제거하세요
민감한 문서를 안전하게 공유하기
여권, 세금 ID 또는 기타 Diia 문서의 스캔본을 고용주, 집주인 또는 정부 기관과 공유해야 할 때, 채팅 기록에 영구적으로 남는 카카오톡이나 Viber로 보내지 마세요. LOCK.PUB을 사용하여 자동 만료되는 비밀번호 보호 링크를 만드세요. 수신자가 비밀번호를 입력하면 문서를 확인할 수 있고, 설정된 시간 후 사라집니다.
결론
Diia는 우크라이나인이 정부 서비스와 상호작용하는 방식을 변화시켰지만, 그 편의성에는 위험이 따릅니다. 핵심 규칙: Diia는 SMS 링크를 클릭하거나, 공식 앱 스토어 외부에서 업데이트를 다운로드하거나, 전화로 자격증명을 공유하라고 절대 요청하지 않습니다.
물리적 여권을 보호하듯 디지털 신원을 보호하세요. 민감한 신원 문서를 공유해야 할 때는 메신저 앱에 노출시키는 대신 LOCK.PUB과 같은 암호화된 자동 삭제 도구를 사용하세요.
관련 키워드
다른 글도 읽어보세요
Monobank & PrivatBank 피싱: 우크라이나 은행 자격증명을 탈취하는 사기 수법
우크라이나의 Monobank 및 PrivatBank 피싱 사기에 대한 완전 가이드 — 가짜 SMS부터 Privat24 자격증명 탈취, 카드 복제까지. 계정을 보호하는 방법을 알아보세요.
OLX 우크라이나 사기: 가짜 Nova Poshta 배송과 결제 사기
사기꾼들이 가짜 Nova Poshta 배송 알림, 플랫폼 외 결제 유도, 피싱 링크로 OLX 우크라이나를 악용하는 방법. 우크라이나 구매자와 판매자를 위한 완전 안전 가이드.
Rozetka 피싱 및 계정 보안: 우크라이나 최대 쇼핑몰 계정을 보호하세요
우크라이나의 Rozetka 피싱 사기를 식별하고 피하는 방법 — 가짜 주문 확인부터 계정 탈취까지. 우크라이나 최대 온라인 소매업체 완전 보안 가이드.