보이스피싱의 신종 수법, 파밍(Pharming)을 주의하자!

[설악산/상지비]

보이스피싱의 신종 수법, 파밍(Pharming)을 주의하자!

생활을 꿈꾸다 출판일: 2013년 04월 01일

우리는 온라인뱅킹 이용자 수가 3천300만 명 시대에 살고 있다. 이는 스마트폰으로 은행 업무를 보는 사용자까지 포함한 수이며, 이용자의 증가는 현재진행형이다. 우리 삶에 깊게 자리 잡은 온라인뱅킹이 가져온 편리함 뒤에는 금융범죄의 증가라는 그늘도 함께한다. 대표적인 금융사기인 보이스피싱과 파밍(pharming)이 그것이다. 이번 채움진에서는 파밍에 대한 안전대책을 소개하기로 했다.

다양한 보이스피싱(Voice Phising)의 수법들

보이스피싱은 2006년 국내에서 처음 발견되어 큰 주목을 받았던 사기 범죄다. 음성(Voice)으로 개인정보(Private Data)를 낚아올린다(Fishing)는 뜻이다. 보이스피싱은 범행대상자에게 전화를 건 뒤, 송금을 요구하거나 개인정보를 수집하는 사기수법이다. 개발된 지 오래된 사기수법이라서 국민 대부분이 한 번 이상씩은 보이스피싱 사기범과 통화(?)를 했을 정도이다.
보이스피싱의 레퍼토리는 실로 다양한데, 대표적인 것은 금융권을 가장한 보이스피싱과 우체국을 가장한 것이다.
기타 수법으로는 전화사기범이 “가족이 크게 다쳤다.”고 말하거나, “가족을 인질로 잡고 있다.”는 내용의 통화를 시도하여, 피해자의 심리상태를 불안하게 한 뒤, 송금을 유도하는 방법, 법원의 직원을 가장하여 피해자의 개인정보를 유출하도록 유도하는 방법 등이 있다. 보이스피싱에 익숙해진 일부 사람들의 인식에 새로운 유형의 피싱도 등장했다. 보이스피싱 사기범과의 통화에서 호통을 치거나, 장난을 치는 사람들에게 전화사기범이 앙심을 품고 보복을 감행하는 경우까지 생겨났다. (아시아경제 2012.01.04 -’보이스피싱’ 전화에 욕했더니 “이럴 수가”-) 오늘 소개할 파밍은 보이스피싱의 진화된 형태로서 개인의 정보를 유출하는 시도를 사람이 아닌 프로그램이 대신해주는 똑똑한 금융 사기범죄이다.

파밍(Pharming)이란?

파밍이란 사용자를 조작된 가짜 사이트로 접속하도록 유도하는 해킹수법이다. 피싱은 진짜와 유사한 가짜 도메인을 개설한 뒤 광고 등을 통해 접속을 유도, 사용자로 하여금 원하는 사이트에 접속하였다고 믿도록 속이는 수법이지만 파밍은 정교한 기술적 해킹으로서 도메인네임을 정확히 입력하더라도 가짜 사이트에 접속되기 때문에 더욱 위험하다.

파밍의 원리

파밍에 의한 금융거래정보 편취 수법

 

1. 보이스피싱 사기범이 악성코드를 유포한다(이메일에 악성코드를 첨부하는 방법, 특정홈페이지 접속 시 악성코드를 유포하는 방법 등)

2. 이용자의 PC에 악성코드가 설치된다. 악성코드는 정상사이트의 주소를 보이스피싱 사기범이 작성한 피싱사이트의 주소로 바꿔치기한다.

3. 이용자가 정상적인 홈페이지(금융권 홈페이지 등)에 접속을 시도하면, 정상사이트 주소가 아닌, 피싱사이트로 접속되는데 사이트의 모양이 정상사이트와 상당히 유사하다.

4. ‘보안레벨을 올린다.’는 등의 이유로 피싱사이트에서 이용자의 개인정보, 금융정보 일체를 입력하도록 유도하여 보이스피싱 사기범이 정보를 가로챈다.

파밍의 대책

파밍은 작년 11월부터 올해 2월까지 약 20.6억 원의 피해를 발생시켰다. 더구나 그 피해금액은 점점 더 증가하는 추세로서 온라인뱅킹 사용자의 각별한 주의를 요구하고 있다. 그러나 파밍에도 안전대책이 있다.

1. 농협서비스
상대적으로 타 은행보다 PC조작에 서툰 사용자가 많은 농협은 파밍에 대한 강력한 대책을 세워놓았다.

첫 번째로는 ‘나만의 은행주소 서비스’이다.
농협사이트로의 정상적인 이동을 방해하는 파밍의 특성에 착안하여 농협이 만든 서비스이다.

나만의 은행주소 서비스란?
고객이 인터넷뱅킹 주소를 직접 만들고 자신만의 은행주소로 인터넷뱅킹에 접속하는 나만의 은행주소 서비스입니다.
직접 만든 주소로 접속하시고 직접 선택한 살아있는 캐릭터가 움직이는 모습을 확인하실 때 파밍(악성코드)금융사기가 원천 차단되고, 대폭강화된 피싱사이트 식별력을 제공받아 전자금융 사기시도를 사전에 인지할 수 있습니다.

서비스 신청은 농협의 인터넷뱅킹으로 접속한 후, 공인인증서 로그인 -> 나만의 은행주소 설정 -> 나만의 캐릭터를 설정 -> 신청완료의 단계를 거친다.

<Tip>
이것만은 알아두자!

나만의 은행주소를 사용하는 PC가 악성코드에 감염될 때 가짜사이트로 접속되지 않고 에러가 발생된다(중국어로 된 프로그램 출력 등). 사용자가 에러화면을 목격한 후 일반은행주소를 입력하게 되면 피싱사이트로 접속되니, 절대로 접속하지 말고 농협 고객센터에 문의해야 한다.

농협은 이에 그치지 않고, 갈수록 진화하는 금융사기에 대응할 수 있도록 ‘대포통장 근절 테스크포스’를 구성했다. 금융사기계좌 모니터링 시스템을 개선해 정교하고 다양한 의심계좌를 자동으로 추려내어 이상 징후가 발견될 시 예방활동을 할 수 있도록 조처한 것이다. 또한 1월 1일 소비자보호부를 신설하여 금융사기 피해에 대한 완벽한 대응자세를 취하고 있다. 농협은 이와 같은 대응책을 준비해, 고객이 안심하고 예금을 맡길 수 있는 ‘안전한 인터넷뱅킹’ 환경을 조성하고 있다.

2. 파밍캅
경남지방경찰청에서 개발한 ‘파밍캅’은 파밍사기가 금융권 사이트로의 정상적인 접근을 방해한다는 특성에 착안하여 탄생한 파밍 예방 프로그램이다. http://www.gnpolice.go.kr/ 에서 다운 받을 수 있으며, 사용자의 컴퓨터가 파밍악성코드에 감염이 되었는지 아닌지를 판별해준다. 주의할 사항은 파밍캅은 백신이 아니므로 잠복해 있는 파밍악성코드를 치료해주지는 않지만, 감염여부를 신속하게 판단해준다.

3. 파밍피해 예방요령

1) 공공기관(법원, 검찰, 금감원 등)이나 금융권은 전화 혹은 문자메시지를 통해 개인정보와 금융거래정보를 알려달라거나, 특정 인터넷사이트에 접속하도록 유도하여 개인정보와 금융거래정보의 입력을 요구하지 않는다. 인터넷뱅킹 이용자는 이점을 반드시 숙지해야 한다.

2) 그 어떤 금융기관에서도 보안카드 번호의 ‘전체’를 알려달라고 하거나, 사이트에 입력하도록 요구하지 않는다. 즉, 보안카드 번호의 관리를 철저히 해야 한다는 것이다.

3) 각 금융회사의 보안강화 서비스에 가입해야 한다.
전자금융사기 예방서비스에 가입하여 타인에 의한 공인인증서 무단 재발급을 제한해야 한다. 또한 각 금융권에서 제공하는 파밍 대책 보안 서비스를 적극 활용해야 한다.

4) 출처가 불분명한 파일을 다운로드 하거나, 출처가 불분명한 이메일을 클릭해서는 안 된다.

5) 금융회사는 온라인을 통해 보안승급 등을 절대로 요구하지 않는다.

6) 만약 파밍의 피해를 발견했다면, 경찰청 혹은 해당 금융회사 콜센터로 전화하여 사기범 계좌의 지급정지를 요청해야 한다.

날이 갈수록 진화하는 보이스피싱,

철저한 보안대책을 세워 대응해야 한다

우리의 삶을 편리하게 만들어준 인터넷뱅킹. 사이버금융범죄의 수법이 날로 진화하고 있다. 이에 대해서는 우리의 인터넷뱅킹 습관도 함께 진화해야 한다. 보이스피싱은 예나 지금이나, 피해자의 정신을 집중하지 못하도록 하는데 그 목적이 있다. 다르게 표현하면, ‘호랑이에게 물려가도 정신만 차리면 된다.’는 것이다. 편리한 온라인뱅킹, 철저한 보안 대책을 세워 안전하게 이용할 수 있도록, 위에 열거한 절차들을 습관처럼 활용할 수 있어야겠다.