[신종사기피해주의] 피싱(Phising)’보다 무서운 ‘파밍(Pharming)’:진짜 은행 홈피 접속했는데 5천만 원 '꿀꺽' *설명절 세뱃돈,보너스 노려 극심

[안현상]

파밍 [pharming]

합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임시스템(DNS)

또는 프락시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여

접속하도록 유도한 뒤 개인정보를 훔치는 새로운 컴퓨터 범죄 수법이다. 해당 사이트가

공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취하는 수법으로 ‘피싱(phishing)에

이어 등장한 새로운 인터넷 사기 수법이다. 사용자가 아무리 도메인 또는 URL 주소를

주의 깊게 살피더라도 늘 이용하는 사이트로만 알고 아무런 의심 없이 접속하여 개인

아이디(ID)와 암호(password), 금융 정보 등을 쉽게 노출시키게 된다. 따라서 피싱

방식보다 피해를 당할 우려가 더 크다. 피해를 방지하기 위해서는 브라우저의 보안성을

강화하고, 웹사이트를 속일 수 있는 위장기법을 차단하는 장치를 마련해야 한다. 또

전자서명 등을 이용하여 사이트의 진위 여부를 확실하게 가릴 수 있도록 해야 하고

사용하고 있는 DNS 운영 방식과 도메인 등록 등을 수시로 점검해야 한다. 출처 매일경제

파밍 [pharming]

합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인네임시스템(DNS) 또는

프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여

접속하도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄수법 피싱(phishing)에서

진화한 해킹기법이다. 피싱의 경우 금융기관 등의 웹사이트에서 보낸 e-mail로 위장하여

링크를 유도해 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내는데 비해, 파밍은

아예 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취한다는

점에서 차이가 있다. 인터넷프로토콜(IP) 주소 자체를 변경해 'WWW'로 시작하는 주소를

정확히 입력해도 가짜 사이트가 뜨게 해, 사용자들은 늘 이용하는 사이트로 알고 의심하지

않고 개인 ID, 패스워드, 계좌정보 등을 노출하게 된다. 파밍은 이런 방법으로 개인정보를

빼가는 수법이다. 이러한 파밍에 대응하기 위해서는 서버 소프트웨어 강화 및

DNS(domain name server) 보호가 선행되어야 한다. 출처 시사상식사전, pmg 지식엔진연구소, 2012

* 평소 거래하는 금융, 쇼핑, 포탈 사이트라 하더라도 자동적으로 생성된

  PC내 인터넷주소, 이메일로 전송된 인터넷주소, 특히, 핸드폰으로 문자안내된

  인터넷주소는 사용하지말고 삭제하는 것이 안전.

* 꼭 필요하면 해당회사 금융기관에 전화로 내용확인하거나 포털사이트에서 주소검색해

  사용.

* 진짜 사이트 접속해도 가짜에 연결, 보안등급 높이라는 안내 따라 비밀번호, 계좌번호

  입력 주의.

금융사기 ‘파밍’ 주의보… “보안정보 입력하면 안 돼”

SBS 이솜 기자 | som@newscj.com2013.02.07 13:55:50

진짜 은행 홈피 접속했는데 5천만 원 '꿀꺽'

<앵커>

진짜 은행 사이트에 들어가도 당할 수 있는 '파밍'이란 신종 수법 보도해드렸죠.

그 사기범들이 붙잡혔습니다. 조직은 중국에 있는 것으로 보입니다.

장훈경 기자가 보도합니다.

<기자>

은행 홈페이지에 접속하자 보안 등급을 강화하라는 창이 뜨더니 개인정보를

요구합니다. 진짜 홈페이지에 접속했는데도 금융 사기 사이트가 열린 겁니다.

가짜 은행 사이트로 연결되는 악성 코드를 유포해 예금을 빼 가는 신종 금융사기

'파밍'입니다.

31살 정 모 씨 등 3명은 이 파밍 수법으로 40여 명의 개인정보를 빼냈습니다.

그런 뒤 지난해 8월부터 최근까지 120회에 걸쳐 6억여 원의 예금을 빼내 중국의

조직에 송금한 혐의를 받고 있습니다.

[정 모 씨/피의자 : (중국 조직원이) 통장에 입금되면 출금해서 송금만 해주면

된다고 그냥 그렇게 간단하게만 이야기를 들었습니다.]

가짜 사이트에 접속한 사용자들은 보안 등급을 높이라는 거짓 안내문에 속아

계좌번호와 비밀번호는 물론 35개의 보안카드 번호까지 입력했습니다.

[권권철/서울 서대문경찰서 지능팀 : 피해자 한 명당 많게는 9개 계좌로 분산

이체하다 보니까 피해금액이 제일 많은 피해자가 5천만 원 정도 되는 것 같아요.]

인터넷뱅킹을 하다 보안카드 번호 전체를 요구하면 100% 사기라고 보면 됩니다.

경찰은 중국에 있는 나머지 조직원을 쫓는 한편 악성코드의 제작과 유포 경위를

조사하고 있습니다.

최종편집 : 2013-02-07 08:01 SBS

---------------------------------------------------------------------

가짜 은행 사이트 신종 사기 ‘파밍’ 주의

입력시간 2013.02.07 (07:31)

KBS 뉴스광장 2013.02.07일 방송

<앵커 멘트>

인터넷을 통해 은행거래 하시는분들 많으신데요. 사이트 점검 꼼꼼히 하셔야겠습니다.

가짜 은행 사이트를 만들어 개인 정보를 입력하게 한 뒤 계좌에서 수억원을 빼돌린

이른바 '파밍'사기 일당이 경찰에 붙잡혔습니다. 유호윤 기자가 보도합니다.

<리포트>

회사원 장모씨는 지난달 통장잔액을 보고 황당했습니다.

누군가 3백여만원을 자신도 모르게 이체해갔기 때문입니다.

은행 사이트에 접속해 개인 보안카드 정보를 알려줬는데 가짜 사이트였던 것입니다.

<녹취> 장00(피해자) : "들어가니까 진짜 은행사이트고 거기서 시키는대로 하거죠"

이용자의 컴퓨터에 악성코드를 감염시켜 정상사이트에 접속하려할 때 가짜 사이트로

연결시킨 뒤 개인정보를 빼내 계좌에서 돈을 빼가는 신종금융사기,파밍입니다.

경찰에 구속된 31살 정모씨등 3명은 이같은 수법으로 지난해 8월부터 최근까지

모두 6억여원의 예금을 빼내갔습니다. 피해자만 40여명입니다.

<인터뷰> 권권철(서대문경찰서 지능수사팀) : "가상사이트가 금융업에 종사하는

전문가들조차도 구별하기 힘들었기 때문에 일반 시민들이 피해를 많이 본거 같습니다"

은행사이트에 접속할때 개인 보안카드 번호 전체를 입력하도록 요구하면 일단

금융사기로 판단해야합니다.

사기를 막기 위해서는 먼저 컴퓨터가 악성코드에 감염되지 않도록 주의해야합니다.

<인터뷰> 성재모(금융보안연구소 본부장) : "출처가 불분명한 이메일을 열람하지

않는다던지 불법 동영상 사이트에 방문하셔서 동영상을 다운로드 하지 않아야......"

전문가들은 또 인터넷 거래시 필수적인 공인인증서 발급시 휴대전화로 인증을

거치는 서비스를 신청해 금융사기에 대비한 이중 확인장치를 마련해야한다고

권고합니다.

KBS 뉴스 유호윤입니다.