국내 뿐 아니라 전세계 금융기관에서 '피싱'으로 인한 피해의 심각성을 다시금 인지하고 이에 대한 주의보가 내려졌다. 금융 기관을 상대로 신용카드나 은행 계좌 정보 유출 등 피해 사례가 끊임없이 발생되어 정부는 물론 보안관계 업계에서도 바짝 긴장하고 있다.
피싱은 그 특성상 개인 정보를 빼내와 불법적으로 남용하기 때문에 불특정 다수가 피해자가 될 우려가 커 인터넷 사용자는 어느때 보다 피싱에 대한 정확한 이해와 더불어 그 대응책을 인지하고 있어야 한다. 마침 바이러스체이서로 잘 알려진 보안전문업체인 (주)뉴테크웨이브에서 '피싱(Phishing)'의 식별 방법과 대응 요령에 대해 정리한 자료가 있어 이를 소개하고자 한다. 아래 내용만 확실하게 이해한다면 피싱에 걸려들어 자신의 개인 정보가 불법적으로 이용되는 것을 사전에 충분히 막을 수 있다.
피싱(Phishing)이란?
피싱(Phishing)의 어원에 대한 설명은 다양하지만 일반적으로 개인정보(Private Data)를 낚시(Fishing)하듯 낚아챈다'는 뜻에서 유래된 온라인 사기 기법을 말한다.피싱은 1996년 처음 등장했으며 공신력있는 단체나 기관의 이름을 사칭한 메일 혹은 메시지를 통해 수신자의 개인정보 혹은 금융정보를 수집하는 사기 수법이다. AOL(American Online) 계정을 훔치기 위해 해커가 불특정 다수의 AOL 회원에게 가짜 인스턴트 메시지를 보내 피해를 입힌 사건이 대표적이라 할 수 있다.
피싱(Phishing) 기법
피싱은 보편적으로 "당신의 은행계좌가 제3자에게 노출됐다"는 등의 급박한 상황을 강조하면서 개인 정보를 입력하라는 내용의 메일 등으로 개인정보를 요구하는 형식이며 다음과 같이 다양한 방법으로 나타날 수있다.
도메인 사기(Domain Spoofing)
발신인 메일 주소나 이름을 위장하는 방법으로 실제 해당 기관의 메일주소와 똑같이 나타나므로 실제 메일 발송자가 누구인지를 구분하지 못하게 하는 피싱기법.
신뢰할만한 공식기관 사칭
금융기관의 고객들에게 가짜 이메일을 보낸 뒤 이들에게 개인 보안 정보를 업데이트하라 혹은 보안 업데이트를 위해 개인정보 요구하는 방식.
특정 뉴스 사건 가장
미국 민주당 대선 후보인 존 케리 진영에서 보내는 이메일을 가장해 개인 정보를 훔치는 스팸이 발견됐다고 MSNBC가 2일(현지 시간) 보도한바와 같은 방법의 피싱 기법.
가짜 사이트 / 가짜 링크
금융기관의 홈페이지와 매우 유사하게 '위장된' 웹사이트를 제작하고 유사한 도메인이나 이름을 사용해, 실수로 사이트에 접속하도록 해 사용자의 개인정보를 빼내가는 방법.
피싱을 위해 보낸 메시지에 정확한 URL을 포함하지만 메시지의 내용 중 이미지 등에 설치된 링크는 거짓으로 꾸며 가짜 사이트로 접속하도록 하는 방식.
팝 업창 혹은 주소창을 볼 수 없게 설정ㆍ변경
팝 업창이나 웹 브라우저의 주소창이 없어지도록 시스템 설정을 변경하여 사용자로 하여금 자신의 접속 주소를 확인하지 못하게끔 하고 개인정보를 요구하는 방식이다. 이 방식은 향후 가장 많이 나타날 해킹 기법중 하나이며 사용자를 속이거나 사기를 통하여 시스템에 침투하여 공격하는 Social Engineering (사회공학적 기법)과 결합되어 더욱 다양한 방법으로 발전할 가능성이 있다.
피싱(Phishing) 메일 식별 방법
다음과 같은 메일은 즉시 피싱(Phishing)을 의심해 본다.
- 긴급보안통지(Urgent Security Notification) - 메일의 요청을 무시할 경우 귀하의 계좌가 잠정적으로 정지될 수 있음 - 업그레이드된 인터넷 뱅킹 기능을 사용하기 위해 링크된 홈페이지로 즉시 접속할 것. - 경품 당첨, 계좌잔액증가, 거래내역 변경 등의 내용으로 유인하여 홈페이지 접속을 요구.
사이트 주소안에 @ 있으면 일단 의심
피싱(Phishing) 피해 대응 요령
이메일이나 온라인 게시판 등을 이용하여 신상정보나 금융정보에 대한 응답 후 피싱으로 의심이 될 경우 해당 금융회사 또는 한국정보보호진흥원에 신고한다. 또 유출한 금융회사의 금융자산이나 명의 도용으로인한 사고를 막기 위해 지속적인 시스템 관리가 필요하다.
피싱(Phishing)과 바이러스 백신 사용 유무와의 관계
피싱은 메일 또는 액티브 액스 컨트롤이나 트로이 목마 등으로 최종 사용자에게 전달될 수 있다. 또한 때로는 사용자의 시스템에 트로이목마를 설치하여 피싱에 사용되는 메일을 대량으로 발송하여 피싱의 근원지에 대한 탐색을 어렵게 만들기도 한다.
그러므로 이러한 트로이 목마를 백신을 통하여 진단 및 치료함으로써 피싱 사기에 대한 일차적인 피해를 줄일 수 있으며 피싱 메일 발송에 이용될 수 있는 시스템을 줄임으로써 전체적인 피싱 메일의 발송량이나 피해도 줄일 수 있다.
'피싱(Phishing)' 식별 방법과 대응 요령
국내 뿐 아니라 전세계 금융기관에서 '피싱'으로 인한 피해의 심각성을 다시금 인지하고 이에 대한 주의보가 내려졌다. 금융 기관을 상대로 신용카드나 은행 계좌 정보 유출 등 피해 사례가 끊임없이 발생되어 정부는 물론 보안관계 업계에서도 바짝 긴장하고 있다.
피싱은 그 특성상 개인 정보를 빼내와 불법적으로 남용하기 때문에 불특정 다수가 피해자가 될 우려가 커 인터넷 사용자는 어느때 보다 피싱에 대한 정확한 이해와 더불어 그 대응책을 인지하고 있어야 한다. 마침 바이러스체이서로 잘 알려진 보안전문업체인 (주)뉴테크웨이브에서 '피싱(Phishing)'의 식별 방법과 대응 요령에 대해 정리한 자료가 있어 이를 소개하고자 한다. 아래 내용만 확실하게 이해한다면 피싱에 걸려들어 자신의 개인 정보가 불법적으로 이용되는 것을 사전에 충분히 막을 수 있다.
피싱(Phishing)의 어원에 대한 설명은 다양하지만 일반적으로 개인정보(Private Data)를 낚시(Fishing)하듯 낚아챈다'는 뜻에서 유래된 온라인 사기 기법을 말한다.피싱은 1996년 처음 등장했으며 공신력있는 단체나 기관의 이름을 사칭한 메일 혹은 메시지를 통해 수신자의 개인정보 혹은 금융정보를 수집하는 사기 수법이다. AOL(American Online) 계정을 훔치기 위해 해커가 불특정 다수의 AOL 회원에게 가짜 인스턴트 메시지를 보내 피해를 입힌 사건이 대표적이라 할 수 있다.
피싱은 보편적으로 "당신의 은행계좌가 제3자에게 노출됐다"는 등의 급박한 상황을 강조하면서 개인 정보를 입력하라는 내용의 메일 등으로 개인정보를 요구하는 형식이며 다음과 같이 다양한 방법으로 나타날 수있다.
발신인 메일 주소나 이름을 위장하는 방법으로 실제 해당 기관의 메일주소와 똑같이 나타나므로 실제 메일 발송자가 누구인지를 구분하지 못하게 하는 피싱기법.
금융기관의 고객들에게 가짜 이메일을 보낸 뒤 이들에게 개인 보안 정보를 업데이트하라 혹은 보안 업데이트를 위해 개인정보 요구하는 방식.
미국 민주당 대선 후보인 존 케리 진영에서 보내는 이메일을 가장해 개인 정보를 훔치는 스팸이 발견됐다고 MSNBC가 2일(현지 시간) 보도한바와 같은 방법의 피싱 기법.
금융기관의 홈페이지와 매우 유사하게 '위장된' 웹사이트를 제작하고 유사한 도메인이나 이름을 사용해, 실수로 사이트에 접속하도록 해 사용자의 개인정보를 빼내가는 방법.
피싱을 위해 보낸 메시지에 정확한 URL을 포함하지만 메시지의 내용 중 이미지 등에 설치된 링크는 거짓으로 꾸며 가짜 사이트로 접속하도록 하는 방식.
팝 업창이나 웹 브라우저의 주소창이 없어지도록 시스템 설정을 변경하여 사용자로 하여금 자신의 접속 주소를 확인하지 못하게끔 하고 개인정보를 요구하는 방식이다. 이 방식은 향후 가장 많이 나타날 해킹 기법중 하나이며 사용자를 속이거나 사기를 통하여 시스템에 침투하여 공격하는 Social Engineering (사회공학적 기법)과 결합되어 더욱 다양한 방법으로 발전할 가능성이 있다.
- 긴급보안통지(Urgent Security Notification)
- 메일의 요청을 무시할 경우 귀하의 계좌가 잠정적으로 정지될 수 있음
- 업그레이드된 인터넷 뱅킹 기능을 사용하기 위해 링크된 홈페이지로 즉시 접속할 것.
- 경품 당첨, 계좌잔액증가, 거래내역 변경 등의 내용으로 유인하여 홈페이지 접속을 요구.
이메일이나 온라인 게시판 등을 이용하여 신상정보나 금융정보에 대한 응답 후 피싱으로 의심이 될 경우 해당 금융회사 또는 한국정보보호진흥원에 신고한다. 또 유출한 금융회사의 금융자산이나 명의 도용으로인한 사고를 막기 위해 지속적인 시스템 관리가 필요하다.
피싱은 메일 또는 액티브 액스 컨트롤이나 트로이 목마 등으로 최종 사용자에게 전달될 수 있다. 또한 때로는 사용자의 시스템에 트로이목마를 설치하여 피싱에 사용되는 메일을 대량으로 발송하여 피싱의 근원지에 대한 탐색을 어렵게 만들기도 한다.
그러므로 이러한 트로이 목마를 백신을 통하여 진단 및 치료함으로써 피싱 사기에 대한 일차적인 피해를 줄일 수 있으며 피싱 메일 발송에 이용될 수 있는 시스템을 줄임으로써 전체적인 피싱 메일의 발송량이나 피해도 줄일 수 있다.
- Trojan.PWS.Aolbill, Trojan.Bankfraud, BackDoor.HangUp.13, BackDoor.HangUp.13, BackDoor.HangUp.46080 등등
- Trojan.Spambot, Trojan.Xssd, Trojan.Spamlay, Trojan.
아래는 한국정책방송에서 기획한 피싱에 대한 동영상 자료이다. 피싱 사기에 대한 대응법이 자세히 나와있으니 참고하면 향후 피해 예방에 큰 도움을 줄 수 있을 것으로 보인다.