피싱에 대해서도 자료를 좀 모아봤습니다.

피싱은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 유명업체의 위장 홈페이지를 만든 뒤, 불특정 다수 이메일 사용자에게 메일을 발송하여 위장된 홈페이지로 접속하도록 현혹하여 개인정보를 빼내는 행위를 의미한다.

피싱의 발생은 피싱메일을 발송하고 수신자가 이메일 내용에 현혹되어 링크되어 있는 사이트를 클릭하여 위장사이트에서 금융정보를 입력함으로써 발생하며, 입력된 정보를 이용해 금융사기 등의 행위를 함으로써 2차적 범죄행위가 완성된다고 볼 수 있다.

이와 관련하여 이메일 수신자의 PC에 저장되어 있는 정보를 자동으로 외부의 특정 서버로 전송하는 peep, bot류의 사고도 피싱의 한 유형으로 분류될 수 있겠지만, 최근의 피싱은 수신자가 현혹될 수 있는 내용의 메일을 발송하여 수신자가 직접 정보를 입력하도록 유도하는 방법으로 주로 이루어진다.

이러한 피싱행위에 대응하기 위해 정보통신부를 비롯한 금융감독원, 경찰, 정보제공업체(ISP) 등 유관기관이 상시연락체계 마련하고 있으며, 피싱과 관련한 동향정보 공유나 피싱사고 발생시 협력을 통한 피싱사고 예방 및 피해 최소화에 주력하고 있다.

이와 관련하여 금융감독원은 ‘금융감독기구의 설치 등에 관한 법률’에 근거하여 전자금융사기 주의 및 경보를 발령(2005.7.5일, 2005.10.17일)한 바 있고,

국제피싱대응협의체(APWG : Anti Phising Working Group)와 공조체계 구축을 위해 APWG의 협력기관으로 가입('04년)하여 최신 피싱기법 및 피싱 사례 등의 정보를 공유하고 있으며, 국외 피해 현황을 지속적으로 모니터링하여 국내 대응책 마련에 반영하고 있다.


------------------------------------------------------------------------------------

피싱(Phishing) 위협 및 대응 방안

 이응용, 김윤정, 조규민│KISA

 피싱(Phishing)은 사회공학적 방법 및 기술적 은닉기법을 이용해서 민감한 개인정보, 금융계정 정보를 절도하는 신종 금융사기이다. 피싱은 금전적 피해를 유발하고, 공격유형이 지속적으로 변화하며 피싱에 대한 대응이 매우 어려운 것이 특징이다. 피싱 피해는 계속 증가하고 있으며, 조사기관에 따라 많은 차이가 발생하지만 피싱 피해 규모가 크게 증가하고 있는 상황이다. 피싱 공격 방법으로는 Man-in-the-Middle 공격, URL 위장, 데이터 감시, Cross-site Scripting(CSS), 은닉방법 등이 있다. 피싱에 대한 대응으로는 웹 사이트 인증, 메일서버 인증 등의 기술적인 방법, 피싱 인식제고 활동, 피싱 대응 실천문화 확산, 피싱 정보 공유 및 신속 대응 등의 사회문화적 접근, 그리고 피싱 관련 법죄를 처벌할 수 있는 법안 마련 등 법제도적 접근방법이 있다. 특히 국내 피싱 대응을 강화하기 위해서는 체계적인 피싱 대응체계 마련, 피싱 예방 능력 강화, 인식제고, 법제도 정비를 위한 정책적인 노력이 요구된다.

 I. 피싱 정의 및 유래

 1. 피싱의 정의

 피싱(Phishing)은 개인정보(Private Date)와 낚시(Fishing)의 합성어로 해커들이 만든 용어이며 사회공학적 방법 및 기술적 은닉기법을 이용해서 민감한 개인정보, 금융계정 정보를 절도하는 신종 금융사기 수법이다. 피싱은 유명기관을 사칭한 위장 이메일을 불특정 다수 이메일 사용자에게 전송하여 위장된 홈페이지로 유인하여 인터넷 상에서 신용카드 번호, 사용자 ID, PW 등 민감한 개인의 금융정보를 획득하는 사회공학적 기법을 사용한다. 최근에는 DNS 하이재킹 등을 이용해 사용자를 위장 웹 사이트로 유인하여 개인 정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다. 사회공학적 방법에 의존한 피싱이 실패 확률이 높은 반면 파밍은 사용자의 피해 유발 가능성이 매우 높다.

 

 2. 피싱의 변천

 피싱 용어는 1996년 AOL(America Onlne)의 신용도가 높은 사용자의 계정을 도용한 해커에서 유래를 찾을 수 있다. 타인 ID와 패스워드를 일컫는 피시(phish)는 당시, 해커들 사이에서는 일종의 사이버머니로 유통이 되기도 하였으며 피싱은 1996년 alt.2600이라는 해커 뉴스그룹에서 처음으로 사용되었다. 이후 피싱은 타인정보 획득 뿐만아니라 금융정보 불법접근 및 사기성 사이트로의 유인으로 변화되었으며, 피싱 사기의 성공률이 증가하면서 금융사기, 취업알선, 국제 돈세탁 등의 사이버범죄로도 사용되었다.

 최근에는 피싱이 트로이목마나 웜ㆍ바이러스와 결합하여 사용자 컴퓨터의 취약성을 이용함으로써 더욱 지능적으로 변화되었다. 사회공학적 기법을 사용한 이메일을 통해 첨부파일과 함께 사용자의 컴퓨터에 실행된 트로이목마는 사용자의 ID, 패스워드를 수집하거나 컴퓨터 모니터링 정보를 다른 사이트로 전송할 수 있다. 또한 웜ㆍ바이러스를 이용해 사용자 호스트파일을 변경시켜 전송경로를 재설정함으로써 원하는 사이트에 접속할 경우 피싱 사이트로 경로를 변경하는 기법과 ‘키보드로거’ 등의 스파이웨어 기법을 이용하여 실제 사이트에 접속한 사용자가 이용하는 ID, 패스워드를 수집하여 전송하는 기법이 널리 사용되고 있다[2]

 3. 피싱 위협의 특징

 피싱은 기술과 사회공학적 방법의 융합을 통해 공격을 시도한다. 피싱 공격자는 이용자의 중요정보 수집을 위해 타인과의 상호작용을 통해 타인을 속여서 규정된 보안절차를 무력화시키는 비 기술적 방법으로 침해를 시도한다. 또한 피싱 공격자는 사람의 정보 기술 의존도가 심화되는 문화에 빠르게 적응하지 못하는 상황을 이용한다.

 피싱은 금전적 피해를 유발할 수 있다. 피싱 공격을 통해 개인의 금융정보를 획득하여 개인 금융계좌에서 돈을 유출하여 개인에게 금전적인 피해를 유발할 수 있다. 피싱 공격은 유명기관의 브랜드에 대한 고객 신뢰를 이용하여 유명기관의 웹 사이트로 위장하면서 기업의 인지도를 손상시킬 수 있다.

 피싱 공격의 유형은 역동적으로 변화하며 위협 모델도 급속히 변화한다. 피싱은 지속적인 변화를 거듭하면서 대응책이 나올 때마다 지능적인 사기범들은 이를 교묘히 피할 수 있는 새로운 공격기법을 개발한다. 고도의 숙련된 범죄집단이 피싱을 이용하여 사기범죄를 수행할 가능성도 더욱 증대하고 있다.

 피싱은 기존의 전통적인 방식의 사기와는 다른 지능적인 기술을 이용하므로 기술적, 법제도적 대응이 매우 어렵다. 피싱은 메일, 웹 기술을 이용한 사기 수법으로 기존의 사기와는 달라 지능화된 대응 기술이 필요하다. 피싱 대응을 위한 기술로 메일 인증, 웹 사이트 인증 기술의 이용이 필요하다. 피싱사고 대응을 위한 법제도 제정도 매우 어렵다.

넘 길어서요...더 보실려면 여길 클릭!!!

+ Recent posts