18호 기획

피싱, 이제 남의 일이 아니다

지난 10월 있었던 국내 최초의 피싱 공격은 한국어가 포함된 최초의 공격이라는 점에서 의미가 있다. 이것은 이제 한국도 피싱의 공격으로부터 자유롭지 않다는 사실을 반증한다. 그간 영문으로 된 ‘피싱’ 공격은 국내에서도 심심찮게 발견됐지만 한글 웹사이트가 등장한 것은 이번이 처음이기 때문이다.

피해는 시간문제다

그동안 한국이 피싱으로부터 자유로울 수 있었던 가장 큰 이유는 피싱 메일이 영어로 쓰여졌기 때문이다. 그러나 이번의 경우처럼 한국어로 제작된 피싱 사이트가 존재한다면, 언제든지 한국어로 쓰여진 피싱 메일이 우리의 메일함 속에 숨어들 수 있기 때문에 그 피해는 시간문제이다.

피싱 기법은 날이 갈수록 정교해지고 있고, 금융기관 이외에 전자상거래 사이트들도 피셔들의 표적이 되가는 만큼 국내 기업들은 ‘피싱’에 대한 경계를 강화하고 있다. 특히 피싱은 개인의 정보를 이용하여 그의 사회적인 네트워크나 주변 환경들을 교묘히 이용하고 있어, 개인의 힘으로 피싱 사건을 밝혀내기에는 한계가 있을 것으로 보여진다.

안티피싱워킹그룹, 피싱방지 브라우저...

미국에는 안티피싱워킹그룹(Anti-Phishing Working Group, 이하 APWG)이라는 것이 있다. APWG는 미국의 대표적인 피싱 추방단체로 MS등의 다국적 기업들의 후원으로 피싱과 이메일 등으로 인한 개인정보의 절도와 사기문제를 줄이기 위해 만들어진 조직이다. 이들은 피싱에 대한 의견을 나누거나, 그 피해를 줄이기 위한 가장 효과적인 방법을 모색한다.

APWG에서 발표한 지난 10월 <피싱활동경향보고서>에 따르면, 현재 활동하고 있는 피싱 사이트는 모두 1142개, 6월부터 10월까지 월평균 피싱 성장률은 25%, 10월 피싱 공격에 의해 습격된 상표는 44개, 10월 피싱 공격 상위 80%에 포함된 상표수는 6개, 피싱의 주공격 대상이 된 호스팅국가는 미국, 피싱 사이트의 평균 지속 시간은 6.4일, 가장 오래 지속된 사이트는 31일간이었다.

최근 영국에서도 피싱에 대한 브라우져가 개발돼 눈길을 끈다. 영국의 한 소프트웨어 개발업체인 딥넷 테크놀러지스(Deepnet Technologies)는 오는 12월 딥넷 3.1 버전을 개발해 시중에 선보일 예정이라고 밝혔다. 딥넷 3.1의 가장 큰 특징은 ‘피싱 방지 기능’이다. 이 브라우저를 설치한 PC에서 접속한 웹사이트에 금융사기의 일종인 피싱이 발견될 경우에 그 PC 사용자들에게 바로 경보를 보내도록 돼 있는 프로그램이다.
미국, 영국 등에서는 매월 50%씩 피싱 피해 사례들이 발생하고 있다. 이로 인한 금전적 손실도 수십억 달러에 달하는 것으로 조사됐다.

피싱의 경유지, 한국

APWG보고서에 따르면 지난 10월 피싱에 이용된 호스팅 국가 순위는 1위인 미국에 이어, 중국 16%, 한국 9%라고 밝혔다. 이제 한국은 세계 3위의 피싱 경유지이다.

정보통신부에서도 신종 인터넷 금융사기인 ‘피싱’의 피해를 막기 위해 상시 모니터링을 실시하기로 하고 한국정보보호진흥원에 온라인 피싱신고 창구를 개설, 운영키로 하는 등 피싱에 대한 방지대책을 세우고 있다. 또 정통부에서는 국내 웹사이트가 피싱 경우지로 이용되는 것을 차단하기 위해 취약점을 보완하도록 통보하고, 보안이 취약한 중소기업, 웹호스팅업체 등 1천여개 기업의 전산담당자들에게 보안교육을 실시할 계획이라고 밝혔다.

그러나 정통부의 이러한 수동적인 대응방식이 재빠르게 변화하고 있는 피싱 기술과 맞물려 과연 얼마만큼의 실효성을 거둘지는 의심이다.앞으로 피싱 공격을 피하기 위해서는 개인 정보를 공유하는 사람들 수를 최소화하고 개인 정보공개시 개인의 동의를 제도화하는 법적 절차를 명확하게 하지 않으면 이러한 피해사례는 계속해서 늘어날 수밖에 없는 상황이다.

마지막으로 다시 한번. 만약 피싱 메일로 추정되는 메일을 받았을 경우, 첨부파일이나 링크를 클릭해 열어보지 말라. 그리고 반드시 회사에 전화를 걸어 확인하거나 주소창에 직접 주소를 입력해 보자. 또 백신 프로그램도 꾸준히 업데이트해 최적의 보안상태를 유지하는 것도 잊지 말자.