18호 기획
피싱, 그 사례와 수법들
임정애
조회수: 3067 / 추천: 48
얼마 전 서울중앙지검에 국내 최초의 피싱 피해사건이 접수됐다. 중앙지검 컴퓨터수사부 이득홍 부장검사는 발표를 통해, 국내 소재의 외국계은행 예금주들을 대상으로 한 ‘피싱’사건을 적발했다고 발표했다. 검찰은 이번 피싱사건이 “미국 오클라호마 소재의 PC를 이용해 국내 대학의 서버를 해킹한 사건으로, 외국계 은행의 홈페이지로 가장한 화면을 설치한 것으로 파악됐다”고 설명했다. 피싱이란
피싱(Phishing)이란 전자우편을 이용해 개인의 금융정보를 빼가는, 인터넷 신종사기다. 이 말은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 보안이 허술한 서버를 그 1차 목표로 한다. 피셔(Phisher, 피싱을 이용해 불특정 다수를 공격을 하는 자)는 일단 서버를 해킹한 후, 유명 은행이나 카드회사의 홈페이지로 위장하고 불특정 다수의 네티즌들에게 메일을 발송한다. 그 다음 클릭과 동시에 위장사이트로 바로 접속할 수 있게 한다. 이 위장사이트에 본인의 계좌번호, 주민등록번호 등 개인정보를 입력하도록 유인한다. 이렇게 빼낸 정보로 피셔들은 간단히 타인의 통장이나 카드에 손을 대는 것이다.
피해 사례와 수법
해외에서의 피싱사건은 비일비재하다. 왜냐하면 외국계 은행들은 인터넷 뱅킹시 본인의 아이디와 비밀번호만 입력하면 누구에게나 개인의 금융정보를 공개하기 때문이다. 따라서 이 두 가지 개인정보만 알고있다면 누구나 타인의 계좌에 손을 댈 수 있다. 따라서 그 피해사례는 다양하고도 심각하다.
최초의 피싱은 주로 타인의 계정을 훔치는 데 머물렀지만 최근 들어 그 횟수나 수법면에서 점점 더 지능적으로 교활해지고 있다. 피셔들이 사용하는 수법 또한 다양하다. 우선 ▲긴급 보안통지 ▲정지된 계좌의 활성화 요구 ▲계좌 정보 업그레이드 요청 ▲경품이나 이벤트 당첨 ▲뜬금없이 잔액이 증가했으니 확인해보고 신고하라는 등 갖가지 방법들이 동원된다. 그들은 이런저런 이유를 들어 정보를 지금 바로 보내 달라거나, 링크된 홈페이지로 접속을 요구한다. 피셔들의 주된 고민은 어떻게 하면 진짜 페이지와 똑같은 페이지를 만드냐이다. 왜냐하면 메일로 초대된 잠재적 피해자가 링크된 사이트에 대해 의심을 품게된다면 피셔의 입장에서 일이 크게 틀어지는 셈이기 때문이다. 이렇게 만들어진 진짜 같은 가짜 페이지에서 사람들은 의심도 없이 자신의 아이디와 비밀번호를 넣고 접속을 시도한다. 이렇게 개인의 중대한 정보는 타인의 서버에 자신의 정보를 남기고 피셔들은 남겨진 개인정보를 이용해 앉아서 돈을 긁어모으게 된다.
주공격 대상과 현황
피셔들은 주로 사람들이 많이 모이는 곳을 주공격 목표로 한다. 그래서 세계 최대 경매 사이트인 이베이(eBay)가 공격 제1순위다. 전자결제회사인 페이팔(Paypal)도 피셔들이 자주 사칭하는 기관 중의 하나이다. 최근 페이팔에서 고객 정보갱신을 위해 개인 정보를 입력하라고 요구하는 메일에 정보를 입력하고 확인을 클릭 했을 때 일본 사이트로 바로 넘어가면서 정보가 유출된 사건이 있었다.
이외에도 시티은행(Citibank), 뱅크 오브 아메리카(Bank of America), 국제운송전문업체 UPS 등 유명 대기업을 사칭하는 사기 메일은 끊이지 않고 있다.
다음은 정보통신부가 제시한 피싱 메일 식별 및 대응 요령이다.
▲ 피싱 메일 식별요령
① 유형1
- 유명 은행, 카드사 등을 사칭
※ 업체 마크, 로고 등이 메일에 포함돼 있어도 위장 사이트일 수 있음
- 계좌번호, 카드번호, 비밀번호 등의 확인 또는 갱신을 유도
- 확인 또는 갱신을 하지 않을 경우 거래가 중지된다는 식의 소란을 일으키거나 자극적인 문구를 사용
② 유형2
- 포털사이트, 쇼핑몰 등을 사칭
- 경품당첨안내 또는 이벤트 참가 등을 유도하며 주민등록번호, 휴대전화번호 등의 개인정보를 입력하도록 유도
▲ 피싱 메일 대응 요령
① 은행, 카드사 등에 직접 전화를 걸어 e-메일이 안내하는 사항이 사실인지를 확인한다.
② e-메일에 링크된 주소를 바로 클릭하지 말고 해당 은행, 카드사 등의 홈페이지 주소를 인터넷 주소창에 직접 입력하여 접속한다.
③ 출처가 의심스러운 사이트에서 경품에 당첨됐음을 알리는 경우 직접 전화를 걸어 사실인지를 확인하고 사실인 경우에도 가급적이면 중요한 개인정보는 제공하지 않는다.
④ 피싱이라고 의심되는 메일을 받았을 경우 해당 은행, 카드사, 쇼핑몰 및 한국정보호호진흥원 ☎(02)-1336 또는 (02)-118에 신고한다.
⑤ 은행, 신용카드, 현금카드 등의 내역이 정확한지 정기적으로 확인한다.
