（일반） 내 정보를 노리는 피싱의 피해와 대응방안

[머문자리]

인터넷이 상업의 도구로 발전해 가면서 이를 불법적으로 악용하는 사이버 범죄 또한 빈번하게 발생하고 있다. 이로 인한 피해 규모 또한 이전과는 비교할 수 없을 정도고 수법 또한 다양해지고 있다. 최근에는 피싱(Phishing)이라 불리는 신종 사기 수법이 널리 확산되고 있어 온라인을 통한 개인 정보 유출 방지를 위해 사용자의 각별한 주의가 필요하다.

피싱(Phishing)은 인터넷을 사용하는 불특정 다수에게 공신력을 가진 기관인 것처럼 가장한 이메일을 보내 개인의 정보를 빼내는 일종의 사회공학적(Social Engineering) 기법을 말한다. 피싱(Phishing)에 대한 정확한 어원은 Private Data와 Fishing의 합성어로 알려져 있다.

피싱(Phishing)이 불특정 다수에게 무작위로 메일을 전송하는 기법은 스팸(Spam)과 비슷하다. 하지만 스팸(Spam) 메일이 상품 판매 등을 위한 광고를 위한 것이라면 피싱(Phishing)은 사용자의 카드번호나 은행 계정과 패스워드와 같은 민감한 개인 금융 정보를 입력하게 하고 이를 통해 개인 금융 정보를 취득하는 것이 주된 목적이므로 피싱(Phishing)으로 인해 발생할 수 있는 개인의 피해는 스팸(Spam)과 비교할 수 없을 정도로 심각할 수 있다.

초기에 행해진 피싱(Phishing) 기법은 사용자를 속이도록 작성된 이메일을 받은 사용자가 개인 정보 등을 입력한 후 전송을 하게 되면 공격자의 이메일로 이를 전송하는 것과 같은 단순한 수법을 이용하였다.

그러나 최근에는 보안이 취약한 웹 서버 등을 불법으로 해킹하여 공신력을 가진 회사인 것처럼 사이트를 위장하여 사용자를 속이고 스크립트 내부에 OS나 웹 브라우저의 취약점을 이용한 코드를 삽입하는 등 사용자가 쉽게 알아볼 수 없도록 하고 있으며 형태 또한 다양해지고 있어 피해 발생의 가능성은 점점 높아지고 있다.

해외에서는 이미 2003년부터 피싱(Phishing)의 심각성이 문제화되기 시작했고 국내에서도 올해에 들어 피해 사례가 보고되고 있다. 한국정보보호진흥원(KISA)에서 발표한 자료에 따르면 2004년 10월 현재까지 KISA에 신고된 피싱(Phishing) 관련 사건 사례는 모두 114건이다.

아래의 [표1]은 2004년 발생한 위장사이트 사고처리현황에 대한 월별 통계이다. 2004년 하반기에 들어서 피싱(Phishing)과 관련된 사고 발생 건수가 급격하게 늘어난 것을 볼 수 있는데 이는 국내에서도 본격적으로 이러한 신종 사기 수법에 의한 피해의 발생 빈도가 높아지고 있다는 것을 알 수 있다.

월	1월	2월	3월	4월	5월	6월	7월	8월	9월	10월	11월	총계
접수/처리 건수	2	5	2	6	0	21	22	27	43	18	-	144

[표1] 위장사이트 사고처리현황(자료 출처 : 한국정보보호진흥원)

현재까지 밝혀진 바로는 대부분의 위장 사이트들이 해외의 은행이나 쇼핑몰이기 때문에 현재까지는 국내에서 피싱(Phishing)에 의한 피해의 발생 가능성이 상대적으로 낮다고 할 수 있다. 그러나 최근에는 피싱(Phishing)을 위한 제작 툴까지 생겨나는 등 국내도 더 이상 피싱(Phishing) 기법을 이용한 정보 유출로부터 안전을 보장할 수 없는 상태이다.

현재까지 알려진 피싱(Phishing)의 주된 형태는 앞에서 살펴본 바와 같이 금융기관 또는 사이트 운영자 등을 사칭하여 불특정 사용자들 또는 특정 사용자들에게 메일을 전파하는 방법을 이용하거나, 특정 사이트에서 링크를 이용해 피싱(Phishing) 사이트로 접속을 유도하는 방법 등이 주로 사용이 되고 있다. 이렇게 수집된 개인 금융 정보는 악의적인 목적으로 사용되고 있다.

아래는 외국에서 발생한 실제 피싱(Phishing) 메일로 특정 은행을 사칭하여 피싱(Phishing) 메일을 수신한 사용자로 하여금 가짜 은행 사이트로 접속을 유도하는 메일이다.

[그림1] 피싱 메일 사례 1

아래는 피싱(Phishing) 메일이 특정 인터넷 유명 쇼핑몰을 사칭하여 메일에 첨부된 링크를 통하여 개인정보를 업데이트하도록 유도하고 있다.

[그림2] 피싱 메일 사례 2

외국에서는 빈번하게 피싱(Phishing) 피해 사례가 발생하고 있는 실정이었으나 최근에는 국내에서도 외국계 모 은행의 홈페이지를 사칭하여, 정보를 획득하려는 시도가 있어 국내도 피싱(Phishing)에 의한 피해가 발생할 가능성이 높아지고 있다.

그리고 또 다른 피해사례로는 국내 유명한 모 포탈사이트의 음악 메일로 사칭하여 특정 사용자의 아이디와 패스워드를 확보한 후 이메일을 훔쳐본 사건이 있었다.

이는 개인 금융정보뿐만 아니라 개인 신상과 관련된 모든 정보들을 다루는 대부분의 사이트들을 사칭하여 피싱(Phishing) 메일의 제작이 가능하다는 것을 보여주고 있으며 이러한 피해사례는 앞으로 증가할 것으로 보여진다.

이러한 개인 금융 정보뿐만 아니라 개인 정보를 노리는 피싱(Phishing) 메일로부터 피해를 막기 위해서는 다음과 같은 사항들을 체크하여 예방 할 수 있다.

1. 백신을 항상 최신엔진으로 업데이트하여 사용한다.

- 특정 악성코드의 경우 프록시(Proxy) 또는 윈도우 시스템에 있는 hosts 파일의 내용을 변조하여 사용자가 직접 특정 도메인을 입력하여도 의도하지 않은 다른 웹 사이트 접속을 유도할 수 있다. 그리고 특정 트로이 목마의 경우 키로그 기능이 있어 사용자가 입력하는 키보드 입력 값을 가로채어 제작자 또는 특정 시스템으로 전송을 시도하기도 한다.

이러한 악성코드들이 피싱(Phishing)에 이용 될 수 있으므로 항상 최신엔진으로 업데이트된 백신을 사용하여 이러한 악성코드에 감염되는 것을 예방할 수 있다. 그러나 백신을 설치하였다고 하여 피싱(Phishing) 메일의 수신을 예방하거나 피싱(Phishing)의한 피해를 예방 할 수는 없다.

2. 개인 정보 또는 개인 금융정보 문의 메일에는 회신하지 않는다.

- 개인 정보 또는 개인 금융정보와 관련된 문의 또는 변경 안내메일을 수신할 경우에는 해당 메일에 대한 회신을 하지 않도록 한다. 그리고 개인 금융정보 또는 개인 정보를 묻는 메일에 있는 특정 링크를 통해 해당 업체의 사이트로 접속하지 않도록 한다.

일반적으로 개인정보 또는 금융정보 변경과 관련된 사항은 메일로 사용자들에게 문의를 하는 경우는 없으며 이러한 메일을 수신하게 될 경우에는 전화 등을 이용하여 해당 업체가 실제로 메일을 이용하여 문의한 사항이 있는지 확인 한다.

3. 접속한 웹 사이트가 보안 설정 또는 암호화 접속을 이용하는지 확인한다.

- 피싱(Phishing)으로 의심되는 메일에 포함되어 있는 링크를 이용하여 특정 웹 사이트로 접속 하였다면 해당 웹 사이트가 보안 설정(인터넷 익스플로러의 https:// 접속)을 이용하는지 그리고 암호화 접속 프로그램 등을 사용하는지 확인한다.

대부분의 금융 관련 웹사이트에서는 아래 [그림3]과 같이 별도의 암호화 프로그램을 무료로 배포하여 웹 사이트 접속 시에 자동으로 설치 및 적용되도록 하고 있다.

[그림3] 암호화 프로그램을 적용한 금용관련 웹 사이트

4. 온라인 금융 거래 시 공인인증서를 이용하는지 확인한다.

- 국내 대부분의 온라인 쇼핑몰과 금융기관에서는 웹 사이트 접속 시에는 위 [그림3]과 같이 별도의 암호화 접속 프로그램을 설치를 이용하도록 하고 있다. 그리고 온라인을 통한 결제 시에는 다음 [그림4]와 같이 공인 인증서 사용 방법을 채택하고 있다.

공인 인증서는 일종의 전자 서명으로 결제를 하려는 사람의 신분을 확인하기 위해 사용되고 있다. 그러므로 온라인 결제 시 이러한 공인 인증서 선택 창이 생성되는지 확인 한다.

[그림4] 공인 인증서 확인

5. 사용하는 운영체제의 보안 패치를 설치한다.

- 운영체제의 보안패치를 설치하는 것이 피싱(Phishing)과 연관성이 없어 보일 수 있다. 그러나 최근 발견된 특정 피싱(Phishing) 메일의 경우 인터넷 익스플로러의 보안 취약점을 이용하여 접속을 유도하는 웹 사이트 도메인의 링크 클릭 시에는 보이지 않도록 하기도 한다.

그리고 보안 패치는 피싱(Phishing) 메일 뿐만 아니라 악성코드 감염의 주된 원인 중 하나인 만큼 사용하는 시스템의 보안 패치를 철저히 하도록 해야 한다.


이상으로 피싱(Phishing)이란 무엇인지 그리고 피싱(Phishing)으로 인해 어떠한 피해를 입을 수 있는지 등을 살펴 보았다. 그리고 피싱(Phishing)으로 인해 입을 수 있는 금적적인 혹은 개인적인 정보 등의 피해를 막기 위해서 사용자들이 어떠한 방법들을 취할 수 있는지도 살펴 보았다.

이러한 사항들을 확인한다면 피싱(Phishing)으로 부터 피해를 예방할 수 있을 것이다. 그러나 뜻하지 않게 피싱(Phishing)으로 의심되는 메일을 수신하게 된다면 해당 금융기관 등으로 이와 같은 사실을 통보하고 다음의 공공기관 기관이나 보안업체로 신고하면 된다.

* CERTCC-KR (www.certcc.or.kr)
- 피싱(Phishing) 신고 메일 주소 : 3D3Dphishing@certcc.or.kr">3Dphishing@certcc.or.kr">3Dphishing@certcc.or.kr">phishing@certcc.or.kr
- 피싱(Phishing) 및 침해사고 신고 상담 전화 : 02)118

* 안철수연구소 (www.ahnlab.com)
안철수연구소는 다음의 메일 주소를 통하여 스팸 메일의 신고를 받고 있으며 피싱(Phishing)으로 추정되는 메일은 확인 후 필요 시 관계 기관 등으로 통보할 예정이다.

- 스팸(Spam) & 피싱(Phishing) 신고 메일 주소 : 3D3Dspam@ahnlab.com">3Dspam@ahnlab.com">3Dspam@ahnlab.com">spam@ahnlab.com

[저자] ASEC 장영준 연구원
[출처] 안철수연구소