성호, 단축도메인 “문장 품질”이 아닌 “링크와 도메인 패턴”을 보면 AI가 만든 피싱도 꽤 잘 걸러낼 수 있어. 자주 쓰이는 의심 패턴을 모아서 정리했어.​### 자주 보이는 의심 링크/도메인 패턴- 철자 바꾼 유사 도메인(타이포스쿼팅) - 예: go0gle, g00gle, paypaI(소문자 L 대신 대문자 I), rn이 m처럼 보이게 쓰기- 불필요한 하이픈·접두사로 그럴듯하게 단축도메인 위장 - 예: google-security, microsoft-support, login-verify, account-update 등- 서브도메인 미끼(핵심 도메인은 뒤에 있음)- 국제화 도메인/유니코드 동형(눈속임 문자) - 예: 라틴 ‘o’ 대신 다른 문자로 바꾼 도메인, 주소창에 xn--로 시작하는 형태가 보이면 의심- 생소하거나 남용이 잦은 최상위 도메인 - 파일처럼 보이는 도메인(.zip .mov 등)도 혼동 유발에 쓰일 단축도메인 수 있어- URL 단축기/리다이렉트 체인 숨기기 - 예: bit.ly, tinyurl 등으로 시작(정상일 수도 있으나 목적지 확인 전 클릭 금지) - 여러 번 리다이렉트가 이어지는 링크- 리디렉션 파라미터 악용 - 예: ?redirect=, ?url=, ?next=, ?continue= 뒤에 다른 사이트 주소 또는 이상한 인코딩(base64 등)- 로그인/문서 공유처럼 보이는 경로 단축도메인 위장 - 예: /account/verify, /secure-login, /invoice/view, /drive-share/document 등 - “보기만”이면 충분한데 처음부터 로그인·권한 승인을 요구- 과도한 OAuth 권한 유도 - “문서 열람”인데 메일 읽기/전송, 드라이브 전체 관리 같은 광범위 권한을 요청- IP 주소 또는 정체불명 포트 사용- 사용자 정보@호스트 트릭- 가짜 고객센터·결제 브랜드 결합 - 예: 단축도메인 brand-payments-secure, helpdesk-brand-support, verify-billing-brand 등​### 빠르게 걸러내는 요령- 마지막 두 블록(핵심 도메인)만 먼저 보기- 링크는 클릭 전 미리 보기 - PC는 마우스 오버, 모바일은 길게 눌러 실제 목적지 확인.- 단축 링크는 목적지 확인 후 접근 - 미리 보기 기능(일부 단축 서비스는 +, preview 등 제공)으로 최종 도메인을 단축도메인 확인.- “앱/서비스 안에서 직접 열기” 원칙 - 메일의 ‘문서 보기’ 링크 대신, 드라이브·워크스페이스·회사 포털을 직접 열어 동일 알림이 있는지 확인.- 권한 범위 확인 - 열람에 불필요한 “메일 전송/드라이브 전체 관리/캘린더 전체” 권한이면 즉시 중단.- HTTPS 자물쇠만 믿지 않기 - 자물쇠는 최소 요건일 뿐. 도메인이 진짜인지가 핵심.​### 단축도메인 추가로 눈여겨볼 흔한 조합- 브랜드 이름 + 보안 단어: brand-login, brand-verify, brand-security, brand-idcheck- 결제/송장 급유도: invoice-12345, payment-update, payroll-fix, refund-now- 클라우드 공유 위장: document-share, drive-access, onedrive-file, sharepoint-doc​### 헷갈릴 때의 30초 점검- 링크 대신 해당 앱을 직접 열어 같은 알림이 있는지 확인.- 도메인 핵심(eTLD+1) 확인 후 낯선 접미사가 단축도메인 붙으면 중단.- 요청 목적을 한 줄로 말해보기: “왜 지금 내 인증코드를 보내야 하지?” 설명이 안 되면 중단.- 비밀번호 관리자를 써서 자동 입력이 되지 않으면 도메인이 다른 것일 가능성 큼.