에어비앤비 가짜 사이트에 결제정보 털린다 — 여름 휴가철 피싱 사기 완벽 정리 (2026)
에어비앤비 가짜 사이트에 결제정보 털린다 — 여름 휴가철 피싱 사기 완벽 정리 (2026)
여름 휴가를 앞두고 에어비앤비·부킹닷컴을 사칭한 피싱 사이트가 급증하고 있습니다. 예약 확인 문자 한 통에 카드 정보가 통째로 빠져나갈 수 있습니다. 이 글에서 수법·피해 사례·예방법을 한 번에 정리합니다.
1. 지금 무슨 일이 벌어지고 있나?
매년 6~8월, 여름 휴가 예약 시즌이 되면 사이버 범죄자들도 바빠집니다.
글로벌 보안 기업 체크포인트리서치(Check Point Research) 가 2026년 여름 시즌을 앞두고 공개한 분석에 따르면, 여행·숙박·레저 분야를 겨냥한 사이버 공격이 빠른 속도로 증가하고 있습니다.
공격자들의 전략은 단순합니다.
- 에어비앤비·부킹닷컴·스카이스캐너처럼 "익숙한 사이트"를 그대로 복사해서 가짜 페이지를 만듭니다.
- 예약을 서두르는 여행자의 심리를 이용해 로그인 정보와 카드 번호를 입력하도록 유도합니다.
- 실제 예약 내역을 빼돌린 뒤, 진짜 숙소에서 온 메시지인 척 "카드 재인증" 문자를 발송합니다.
2. 3년 새 122% — 여행·숙박업 사이버 공격 현황
체크포인트리서치 자료를 정리하면 다음과 같습니다.
| 항목 | 수치 |
|---|---|
| 2026년 5월 기준 주평균 공격 건수 (업체 1곳당) | 2,291건 |
| 전년 동월 대비 증가율 | +24% |
| 전 산업 평균 증가율 | +2% |
| 3년 전(2023년 5월) 대비 증가율 | +122% |
| 2026년 5월 신규 등록 여행 관련 도메인 | 47,318개 |
| 그 중 악성·의심 도메인 비율 | 약 1/112 |
단순히 공격 건수가 늘어난 게 아닙니다.
지난달 한 달에만 새로 등록된 여행 관련 도메인이 47,318개에 달했고, 그 중 112개당 1개꼴로 악성 또는 의심 도메인으로 분류됐습니다.
공격자는 210개가 넘는 호텔 유인 도메인을 순차 등록하거나, 유명 여행사 브랜드를 108개 최상위도메인에 걸쳐 복사 등록하는 방식으로 그물망을 촘촘히 쳤습니다.
3. 실제 수법 3가지 — 이렇게 털린다
수법 ① 가짜 예약 사이트 (에어비앤비·부킹닷컴 사칭)
이미 운영 중인 가짜 사이트가 적발됐습니다.
에어비앤비 사칭 사이트 는 캐나다 여행객을 겨냥해 로키산맥 사진, 몬트리올·토론토·밴쿠버·밴프 등 실제 지명과 숙소 목록까지 넣어 진짜처럼 꾸몄습니다.
부킹닷컴 사칭 사이트 는 중국어권 여행객을 타깃으로 로그인 화면과 결제 카드 입력 페이지를 그대로 복제했습니다.
스카이스캐너 사칭 사이트 는 말레이시아 리조트 숙박 상품을 싸게 파는 척 예약금 결제를 유도했습니다.
한 줄 포인트: URL이 약간만 달라도 사이트 디자인은 원본과 거의 동일합니다. 로고·배너·숙소 사진 전부 도용됩니다.
✅ 진짜 airbnb.com
❌ 가짜 사칭 사이트
alt="부킹닷컴 예약 하이재킹 피싱 메시지 스크린샷"
수법 ② 예약 하이재킹 (실제 예약 정보 악용)
더 교묘한 수법이 있습니다.
글로벌 보안 기업 노턴(Norton) 연구진은 전 세계 50개국 350곳 이상의 숙박시설 이 이 수법에 악용된 정황을 확인했다고 밝혔습니다(2026.5.28 분석 공개).
예약 하이재킹 이란 피해자가 실제로 예약한 숙소명, 투숙 일정, 예약 번호를 메시지에 그대로 담아 정상 안내처럼 보이게 만드는 수법입니다.
"OO호텔입니다. 결제 정보에 문제가 발생했습니다. 예약 취소를 방지하시려면 아래 링크에서 카드 정보를 다시 확인해 주세요."
이런 문자를 받으면 대부분 의심하지 않습니다.
내가 정말 예약한 호텔 이름이 맞으니까요.
수법 ③ 할인·특가 미끼 (긴박감 유발)
"오늘 자정까지만! 에어비앤비 제주 숙소 70% 특가" 같은 문자나 SNS 광고가 대표적입니다.
여행 성수기에는 좋은 숙소를 빨리 잡아야 한다는 조급함이 생깁니다.
공격자는 바로 이 심리를 노립니다. 할인 시간 제한을 걸어 피해자가 URL을 꼼꼼히 확인할 틈을 주지 않습니다.
4. 한국도 안전하지 않다 — KISA 스미싱 경보
한국인터넷진흥원(KISA)은 2026년 5월 12일, 여행 예약 플랫폼 해킹으로 유출된 개인정보를 활용한 스미싱 메시지 유포 주의보 를 발령했습니다.
공격 흐름은 다음과 같습니다.
- 여행 예약 플랫폼 해킹 → 예약자 개인정보 유출
- 유출 정보로 호텔 관리자를 사칭 한 스미싱 문자 발송
- "결제 문제 발생 / 예약 취소 방지 / 카드 정보 재인증" 등 이유로 피싱 URL 접속 유도
- 가짜 결제 페이지에서 카드 번호·유효기간·CVC 탈취
5. 피해 예방 체크리스트 5가지
✅ 1. URL을 반드시 직접 입력하거나 공식 앱을 사용하라
문자·카카오톡·SNS에서 받은 링크는 절대 바로 누르지 마세요.
주소창에 airbnb.com, booking.com 을 직접 입력하거나, 미리 설치해둔 공식 앱 에서 예약 내역을 확인하세요.
✅ 2. 숙소에서 온 "결제 재인증" 요청은 100% 의심하라
진짜 에어비앤비, 부킹닷컴은 문자 링크로 카드 정보를 요청하지 않습니다.
비슷한 내용의 메시지를 받았다면, 해당 플랫폼의 공식 고객센터에 직접 전화 해서 확인하세요.
✅ 3. URL에서 이것 3가지를 확인하라
| 확인 항목 | 예시 |
|---|---|
| HTTPS 자물쇠 여부 | 없으면 무조건 의심 |
| 도메인 철자 오타 | airbnb.com vs airnbb.com |
| 최상위 도메인 변형 | .com vs .net .xyz .cc |
특히 한 글자 차이 의 도메인이 피싱에 가장 많이 활용됩니다.
✅ 진짜 airbnb.com
❌ 가짜 사칭 사이트
🔍 잠깐! airbnb.com.mt 는 진짜 에어비앤비일까요?
아닙니다. 전형적인 피싱 주소입니다.
URL을 보면 airbnb.com이 눈에 먼저 들어와서 진짜처럼 보입니다.
바로 이게 함정입니다.
도메인은 오른쪽 끝에서부터 읽어야 합니다.
주소를 집 주소에 비유하면 이렇습니다.
우리나라 주소 체계처럼, 인터넷 주소도 가장 큰 단위(나라)가 오른쪽 끝에 붙습니다.
airbnb.com.mt
↑
여기가 핵심!
.mt = 몰타라는 나라의 도메인
즉 airbnb.com.mt는 에어비앤비 회사 사이트가 아니라, 몰타라는 나라에 누군가가 "airbnb.com"이라는 이름으로 등록한 사이트입니다.
마치 서울에 "스타벅스빌딩"이라는 이름의 건물이 있어도 스타벅스 본사와 관계없는 것처럼요.
진짜와 가짜, 나란히 비교해보면:
| 주소 | 진짜? | 이유 |
|---|---|---|
airbnb.com |
✅ 진짜 | 에어비앤비가 소유한 도메인 |
www.airbnb.com |
✅ 진짜 | airbnb.com의 정상 하위주소 |
login.airbnb.com |
✅ 진짜 | airbnb.com의 정상 하위주소 |
airbnb.com.mt |
❌ 가짜 | 몰타 도메인, 에어비앤비와 무관 |
airbnb.com.kr |
❌ 가짜 | 한국 도메인, 에어비앤비와 무관 |
airbnb.com.xyz |
❌ 가짜 | 에어비앤비와 무관 |
secure-airbnb.com |
❌ 가짜 | 도메인 자체가 다름 |
airbnb-verify.com |
❌ 가짜 | 도메인 자체가 다름 |
공격자들이 .mt, .kr, .xyz, .cc 등 수십 가지 나라·종류의 도메인에 airbnb.com을 심어두는 이유가 바로 이 착시 효과 때문입니다.
외울 필요 없습니다. 딱 하나만 기억하세요.
💡
airbnb.com뒤에 점(.)이 하나라도 더 붙으면 100% 가짜입니다.
진짜 에어비앤비의 주소는 airbnb.com이 전부입니다.
그 뒤에 무엇이 붙든 에어비앤비와 전혀 관계없는 남이 만든 사이트입니다.
✅ 4. 출처 불명 URL은 KISA에서 먼저 확인하라
카카오톡에서 "보호나라" 채널을 검색하면 KISA의 스미싱·피싱 확인 서비스를 이용할 수 있습니다.
의심스러운 URL을 붙여넣으면 악성 여부를 바로 확인할 수 있습니다.
✅ 5. 카드사 알림 서비스를 켜두라
실시간 결제 알림을 설정해두면 내가 입력하지 않은 결제가 시도됐을 때 바로 알 수 있습니다.
해외 결제 차단 기능도 평소에 켜두고, 여행 직전에만 허용하는 것이 안전합니다.
6. 피해를 당했다면? 신고 방법
| 상황 | 연락처 |
|---|---|
| 카드 정보 입력한 것 같다 | 카드사 고객센터 즉시 전화 → 카드 정지 요청 |
| 스미싱 문자 신고 | KISA 118 또는 카카오톡 '보호나라' 채널 |
| 계정 해킹 의심 | 해당 플랫폼 공식 앱에서 비밀번호 즉시 변경 |
| 금전 피해 발생 | 경찰청 사이버범죄신고시스템(ecrm.police.go.kr) |
카드 정보를 입력했다면 시간이 생명 입니다.
24시간 내에 카드사에 연락해 이의제기를 하면 피해 복구 가능성이 높아집니다.
7. 자주 묻는 질문 (FAQ)
Q. 에어비앤비 공식 앱에서 예약하면 피싱 피해를 당하지 않나요?
앱 자체는 안전합니다. 그러나 예약 완료 후 숙소 측 계정이 해킹되어 스미싱 문자가 발송되는 '예약 하이재킹' 수법은 앱 사용자도 대상이 될 수 있습니다. 앱 외부에서 오는 결제 요청은 무조건 의심하세요.
Q. 가짜 사이트를 눌러봤는데 정보는 입력 안 했어요. 괜찮나요?
단순 접속만으로 정보가 유출되는 경우는 드뭅니다. 그러나 일부 피싱 사이트는 접속과 동시에 악성코드를 심기도 합니다. 해당 기기에서 백신 검사를 실행하고, 이상한 앱 설치 여부를 확인하세요.
Q. 피싱 사이트 URL을 어떻게 신고하나요?
KISA 보호나라 카카오톡 채널, 또는 보호나라 홈페이지(boho.or.kr)에서 신고할 수 있습니다. 신고한 URL은 차단 처리되어 다른 피해자를 막는 데 도움이 됩니다.
Q. 해외 숙소에서 카카오톡으로 결제 요청이 왔어요. 정상인가요?
에어비앤비, 부킹닷컴 등 글로벌 플랫폼은 카카오톡을 통해 결제를 요청하지 않습니다. 해당 메시지는 피싱일 가능성이 매우 높습니다. 플랫폼 공식 앱에서 직접 확인하세요.
마무리 — 올여름 휴가가 악몽이 되지 않도록
솔직히 말씀드리면, 저도 에어비앤비로 해외 숙소를 자주 예약합니다.
그때마다 숙소에서 이런저런 메시지가 오면 "아, 예약 확인이구나" 하고 무심코 링크를 눌러볼 뻔한 적이 있습니다.
피싱 사이트는 이제 조잡한 가짜가 아닙니다.
로고, 사진, UI 레이아웃까지 원본과 구분하기 어려울 정도로 정교해졌습니다.
여름 휴가철 예약 러시가 몰리는 지금이 공격자에게는 가장 좋은 기회 입니다.
에어비앤비, 부킹닷컴, 스카이스캐너 등으로 숙소를 예약하는 분들께서 이 글을 한 번만 더 떠올려 주셨으면 합니다.
📌 링크는 직접 입력, 카드 재인증 요청은 100% 의심, 의심되면 공식 앱 확인.
이 세 가지만 기억해도 피해를 막을 수 있습니다.
즐겁고 안전한 여름 휴가 되시길 바랍니다. 🏖️
출처
① 체크포인트리서치 — 2026 여름 여행 피싱 분석 보고서 (2026.6.15) https://blog.checkpoint.com/research/travel-phishing-and-cyber-attacks-are-surging-in-2026-growing-122-over-the-last-3-years-heres-what-cyber-criminals-are-actually-doing
② 노턴(Gen Digital) — 예약 하이재킹 사기 분석 보고서 (2026.5.28) https://us.norton.com/blog/online-scams/reservation-hijacking-scam
③ 노턴(Gen Digital) — 2026 여름 사기 예보 보도자료 (2026.6.5) https://newsroom.gendigital.com/2026-06-05-Norton-Reveals-the-Top-10-Scams-Standing-Between-You-and-a-Scam-Free-Summer
④ 한국인터넷진흥원(KISA) 보호나라 — 스미싱·피싱 확인서비스 https://www.boho.or.kr
⑤ KISA 보호나라 카카오톡 채널 — 스미싱 문자 즉시 신고 https://pf.kakao.com/_xnJVxoxj
⑥ 파이낸셜뉴스 — "에어비앤비 아녔어?" 가짜 사이트에 다 털린다 (2026.6.18) https://www.fnnews.com/news/202606180605390266
스미싱·피싱 피해 신고: KISA 보호나라 카카오톡 채널 / 국번 없이 118