B_Pack Trip 평범한 직장인의 소확행

3. 3대 인프라 보호 기술 동향

3대 인프라를 보호하기 위한 정보보호 기술 관련한 동향을 살펴보면, 현재의 수준과 향후 개발 해야할 분야에 대해 알 수 있을 것이다.

 먼저, BcN/IPv6 정보보호 기술 동향은 다음과 같다.

BcN의 구축에 따라 침해 대상이 시스템에서 네트워크 단위로 확대되면서 인터넷 웜 또는 악성 코드에 의한 인터넷 주요 서비스, 서버의 안정성이 더욱 중요해지며 이에 따라, BcN환경에서 네트워크 위협을 능동적으로 탐지하고 대응할 수 있는 고성능 네트워크 종합 위협 대응 기술이 개발되기 시작하며, 다양한 무선 접속망이 혼재되는 Wireless BcN 환경에서 개별 접속망 단위의 보안 위협을 탐지하는 것은 필수 요소가 될것으로 예상되며, 재해ㆍ재난ㆍ통신 마비에 대응, 통합된 형태의 대응이 가능한 공공안전 및 재난구조 통신망에 대한 많은 연구가 시작되고 있다. 아울러, BcN 무선 네트워크 간의 연동, 사람ㆍ사물 간의 연동, 서비스 간의 통합이 가속화된 BcN + USN + IPv6 환경에서 사용자의 무선ㆍ이동성 증대로 사이버 공간에서의 정보화 역기능 문제가 확대 심화될 것으로 예상됨에 따라 이에 대한 연구도 시작되고 있다.

현재 IPv6 환경에서의 유ㆍ무선 해킹에 대한 취약점과 IPv6 이동형 단말 간의 미흡한 인증을 해결하는 것이 필수적이 될 전망이다. 네트워크 침해탐지 및 대응 기술은 현재의 기가 급에서 2007년 수백 기가 급으로 발전할 것으로 예상된다.

침해 대응 기술 분야는 방화벽, IDS, IPS 등의 단위 기술 중심에서 보안 시스템을 종합적으로 관리하고 감시할 수 있도록 각 기술들이 연동되어 운용되는 통합 시스템으로 발전해 나가고 있으며, 방화벽은 트래픽 처리 속도의 발전에서 벗어나 근래의 혼합 위협에 대응할 수 있는 ‘지능형’ 또는 ‘능동적’ 형태로 발전해 나가고 있다.

IDS는 침입탐지의 부정확성이라는 오탐지 문제의 근본적 해결을 위해 침입 패턴의 개선, 시스템 및 네트워크 상황에 맞는 정책 및 환경 설정 등의 문제점에 대한 연구가 이루어지고 있으며, VPN은 최근 시장이 급속히 증가함에 따라 처리 능력의 향상뿐만 아니라, 보안성 증진과 상호 운용성, 확장성, 관리상의 문제개선과 인터넷 기반의 엑스트라넷 VPN을 지향하여 보안성과 QoS 보장에 중심을 두고 개발 중이다.

현재 주로 사용되고 있는 IPsec VPN 기술은 SSL VPN에 의해 대체되어 나가고 있으며, 대규모 네트워크 상에서 돌발적인 사고나 계획적인 행동으로 인해 주요 기반시설이 장애를 입는 것을 근본적으로 피하기 위해 dependability에 대한 연구가 진행되고 있다.

미국의 OASIS, 유럽의 MAFTIA 등의 프로그램에서는 대규모 시스템 사이에서의 침입 탐지, 분산된 인증 서비스의 조사, 정보 공유 방식의 검증 등과 같은 대규모 네트워크의 취약성 및 대응 기술을 확보해 나가고 있으며, 2010년 이전에 이종 시스템들로 구성된 대규모 네트워크에 적용 가능한 보안 기술이 실용화될 것으로 예상된다.

또한, USN 보호 기술 동향은 다음과 같다.

유선 네트워크와 무선 네트워크가 통합되어 가고 유비쿼터스 컴퓨팅에 의한 차세대 네트워크로의 변화가 예상됨에 따라서, 새로운 네트워크의 구조적인 특성으로 인한 보안상의 취약점 및 해결방안에 대한 연구가 이루어지고 있다. 안전한 USN 구축을 위한 정보보호 요소 기술로서 초경량, 초저전력의 Context aware 정보보호 기술 및 보안 관리 기술에 대한 요구가 증가하고 있으며, 유무선 네트워크 사이의 통신, ad-hoc 네트워크에서의 통신에서 구간별 또는 전구간에 걸친 인증, 기밀성, 무결성에 대한 문제점과 한계에 대한 주제가 논의 중이다.

신뢰성 있는 무선 개인 영역 네트워크(Ad-hoc)를 위한 보안 플랫폼이 개발 중에 있으며, 무선 Ad-hoc에서, 비인가된 노드에 의한 네트워크 접근ㆍ공격을 막을수 있는 신뢰성 있는 보안 엔진 개발 및 라우팅 보안 기술개발이 추진 중이다.

4. 3대 인프라 보호 기술개발 추진 계획

정보통신부에서는 3대 인프라의 정보보호를 위해서 전략적으로 정보보호 중장기 기술개발을 추진하고 있다. 현재 진행 중인 분야에는 다음과 같은 것들이 포함되어 있다.

먼저, BcN정보보호 분야 중장기 기술개발 분야에는

- 고성능 네트워크 정보보호시스템 개발로서 ISP망, 비즈니스망, 캠퍼스망, MAN 등 대규모 인터넷망에 적용하여 트래픽 폭주 및 이상 트래픽 감지, 네트워크 노드 및 서버에 대한 해킹 및 바이러스를 탐지하고 이를 해당 인터넷망의 전역적인 대응 전략에 따라 단계적으로 역할을 나누어 차단 및 방어 기능을 수행하는 차세대 네트워크 보안 장비군의 개발이 포함되어 있다.

- Zero-Day 공격차단을 위한 실시간 공격 Signature 자동 생성 기술개발

- DDos, 웜/바이러스, 이상 트래픽 등 새로운 형태의 네트워크 침입/공격 차단을 위한 실시간 공격 Signature 생성 기술개발

- 인공 면역계 기반 네트워크 면역 시스템 기술개발로서, DDoS, 웜/바이러스, 이상 트래픽 등 새로운 형태의 네트워크 침입/공격에 대하여 스스로 방어할 수 있는 기능을 가진 인공 면역계 기반 침입탐지 및 차단 시스템 개발을 말한다.

- 광대역 통합망(BcN/IPv6) 보안정책 및 침해사고 대응 기술개발로서, 정보보호 정책 서버기반 BcN 정보보호 관리를 통해 이기종 망의 일관성 있는 통합관리를 실현하고, BcN 환경의 새로운 서비스들에 적합한 정보보호 기술 적용 권장을 위한 기술 참조 모델 개발 및 BcN 안정성 확보를 위한 BcN 침해사고 분석 및 대응 기술개발을 말한다.

- 신뢰성 있는 Ad-hoc 연동 BcN 망을 위한 동적 네트워크 보안 기술개발로서, 초고속(UWB) 무선 개인영역 네트워크(WPAN Ad-hoc)/Ad-hoc 모드 무선랜 네트워크에서, 비 인가된 노드에 의한 BcN 네트워크 접근 및 공격을 막을 수 있는 상호 인증 기술개발, 개인 영역/로컬 영역 임시 네트워크(WPAN/WLAN Ad-hoc)의 라우팅 노드(PNC) 탑재용 라우팅 보안 엔진 개발, 개인 영역/로컬 영역 임시 네트워크(WPAN/WLAN Ad-hoc) 환경에서 능동적으로 모니터링, 탐지 및 대응할 수 있는 Ad-hoc 전용의 협업형 침입탐지/차단 기술개발, 개인 영역/로컬 영역 임시 네트워크의 노드에 탑재되어 초경량, 저전력 정보보호 서비스를 제공하는데 필요한 크립토 기술개발, BcN/USN 연동 네트워크 환경에서 IPv6기반 개인 영역/로컬 영역 임시 네트워크의 멀티 이동성 관리 보안 기술개발 등을 포함하고 있다.

IPv6 정보보호 분야 중장기 기술개발 분야에는

- 유무선 IPv6 기반 P2P 네트워크 정보보호 기술개발로서, P2P 컴퓨팅(Peer-to-Peer Computing)의 도래에 따라 발생하는 새로운 보안 취약점에 대응하기 위한 정보보호 기술, 구체적으로는 안전한 P2P 오버레이 네트워크 구축 기술, 신뢰적 IP 주소 생성 기술 및 P2P 자원 남용 및 기밀 정보 유출 방지 기술개발을 말한다.

- IPv6기반 멀티캐스트 보안 기술개발로서, IT839 3대 인프라 중 하나인 IPv6 기반의 IPsec 보안 프로토콜의 표준 적합성 검증할 수 있는 시험환경 구축과 IPv기반의 멀티캐스트 보안 프레임워크 및 프로토콜 개발 등을 말한다.

 USN 정보보호 분야 중장기 기술개발 분야에는

 - 안전한 RFID/USN을 위한 정보보호 기술개발로서, RFID/USN 환경에서 개인 프라이버시를 적극적으로 보호하고 RFID/USN 인프라의 안정성을 제공할 수 있는 핵심 정보보호 기술 및 시스템 개발, RFID 태그 및 USN 센서에 탑재되어 초경량, 저전력 정보보호 서비스를 제공하는데 필요한 암호 및 인증 기술개발, RFID 태그/센서를 이용한 유통과정 추적 및 상황인지, 센서 노드 간의 무선 Ad-hoc M2M 통신 등 기존의 인터넷 서비스와 다른 특성을 가지면서 신규로 구축되는 RFID/USN 인프라 시스템들의 다접점 간 통신 프라이버시 보호 및 동적 접근제어에 필요한 정보보호 미들웨어 기술개발, RFID/USN, IPv6, BcN 연동 환경에서 새롭게 등장하는 보안위협(불법복제/위조 태그, 위장 리더(센서), 이상/과다 태크 트래픽 등)을 능동적으로 모니터링, 탐지 및 대응할 수 있는 RFID/USN 보안 관리 기술개발, RFID/USN 객체정보 서버(EPCIS) 등에 분산 저장되어 있는 특정 RFID 데이터의 프라이버시 정보(예를 들면, 추적 정보, 태그 소유자의 개인정보와 소유물 정보 등)를 사용자 자신이 주도적/선별적/적극적으로 관리할 수 있게 하는 주문형 프라이버시(on-demand privacy) 보호 서비스 기술개발 등이 포함되어 있다.

- 디지털 통합인증 기술 및 시범 서비스 개발은 RFID 태그가 가진 정당한 RFID 데이터(Right Data)를 적기적소(Right Time, Right Place)에 정당한 사람(Right People) 또는 정당한 기기(Right Device)에게 연결시켜주는 디지털 통합인증 기술 및 시범 서비스 개발 등이 있다. 기타, 전체적인 측면에서 차세대 네트워크 정보보호 프레임워크 및 체계종합 기술개발이 있는데 이는 차세대 정보보호 기술 기획을 위하여, 융합 보안 프레임워크 개발, 정보보호 특허맵 작성, 정보보호 중장기 기술 기획, 정보보호 기술개발 검증 방법론 개발하는 것이다.

또한, 3대 인프라 구축 사업자인 KT에서의 3대 인프라에 대한 정보보호는 다음과 같은 측면에서 추진되고 있다.

먼저, BcN 정보보호 분야를 보면 KT는 BcN 구축 시 보안 고려 사항으로 BcN 구성 요소 전체를 체계적으로 통합 관리하여, 신속한 대응환경을 제공하는 통합정보보호 시스템 개발이 필요하다고 보며, 검증되지 않은 새로운 프로토콜(SIP, SIP-T, MGCP)의 사용에 따른 잠재적 취약성에 대한 대비가 필요하고, 기존 Flooding 공격에 의한 중요 서비스(긴급전화 112, 119 등) 장애 시의 대응책 마련이 필요하다는 점, 그리고 SIP 단말에 상용화된 운영 체제를 사용함으로 단말에 대한 통합패치 관리방안이 필요하다는 점 등을 고려하고 있다. 또한 Open API를 이용한 새롭고 다양한 서비스 개발에 따라, 기존 보안장비에 대한 기능보완이 필요하며, BcN 인프라의 성능 향상에 따른 정보보호 장비의 처리능력 강화와 함께, 상호 연동 및 조기 대응을 위한 정보보호 장비 로그 표준화, 신호 정보의 노출 및 변조 방지를 위한 신호망 보호방안 등을 고려하고 있다.

아울러 KT BcN 구축시 어려움은 보안사고 발생 시 다양한 사업자들의 통합대응 방안이 미비하고, 긴급통신 서비스의 한계성에 대한 사용자의 인식이 미비하며, 공공기관에 의한 감청 허용문제 및 개인 프라이버시 문제, 이동성과 개방성의 향상으로 악의적인 사용자에 대한 추적 어려움, 다양한 서비스 및 단말의 개발에 따른 관리 어려움 등이 있다.

 이러한 어려움 및 고려사항을 염두해 두고 KT는 BcN의 안정성 확보를 향해 세가지 측면에서 추진하고 있다.

첫째, 안전한 KT-BcN 구축을 위한 표준화된 정보보호 플랫폼 구조 마련이다. BcN 구성 요소 전체를 체계적으로 통합 관리하는 정보보호 통합 플랫폼 구조 개발과 지금보다 더욱 다양해질 정보보호 시스템들의 통합관리를 위해 명령 및 로그에 대한 표준화를 추진하고 있다.

둘째, 신뢰성 있는 KT-BcN 망관리를 위한 안전관리체계 구축을 추진하고 있는데, 새로운 서비스 및 프로토콜 개발에 대한 보안가이드 라인을 마련하고, KT BcN 단말에 대한 보안성 검토 및 보안 인증 제도 도입, 침해사고의 확산을 방지하기 위한 대응방안 구축 및 모의훈련 실시등을 추진하고 있다.

셋째, 침해사고 방지를 위한 정보보호 관련 기술 확보로써, 사용자 및 단말에 대한 AAA 기술, 다양한 접속환경을 지원하는 망간 상호인증 기술, 정보보호 장비의 고성능 처리 기술, 단말에 대한 보안성 검토 기술 및 방법론, 침해사고 분석 기술 및 대응방법론, 정책기반의 정보보호관리 기술, 개인정보보호에 관한 기술적, 법률적 보호 방안 등의 연구를 진행하고 있다.

IPv6 관련 정보보호 분야에 대해서 살펴보자. 사업자 입장에서 바라보는 IPv6의 취약점으로 IPv6 프로토콜 자체의 취약점 및 보안 솔루션 기술개발이 아직 미흡하여 IPv6 터널링된 트래픽에 대한 모니터링 및 차단 기능이 부족하고 암호화된 트래픽은 침입탐지 시스템이나 방화벽 우회가 가능하다는 점이다. 또한 DNS에 대한 의존도 증가로 인한 도메인 주소 위ㆍ변조 공격 가능성이 증대하며, 도메인 주소의 위변조 공격으로 인한 피싱과 같은 공격 증가가 예상되며, IPv6가 장착 장비의 보급 확대에 따른 사이버 대상의 급격한 증가가 예상된다는 것이다.

KT는 이에 따라 IPv6용 라우터 및 게이트웨이에 적용 가능한 멀티플랫폼 침해방지 기술의 적용, IPv6 DNS의 주소정보 위변조 방지를 위한 DNSSEC 기술 적용 검토, 유무선 IPv6 환경에서 안전한 P2P 환경 구축 기술 적용 및 신뢰성 있는 IP 주소 생성 기술 적용을 고려하고 있으며, 다양한 기기(홈서버, 통신기기, 정보통신장비)에 탑재된 보안 프로토콜의 기능이 정확히 처리되는지 검증할 수 있는 IPsec 표준적합성 시험 기술 적용을 추진하고 있다.

마지막으로 USN 관련 정보보호 분야에 대해서, KT는 USN 구축 시 소형 USN 장치에 적용 가능한 초소형 Security Middleware 구현 및 장치의 리소스 보호를 위한 DoS/DDoS 방어 기술을 추진하고 있으며 개인 프라이버시 정보 관리를 위한 주문형 프라이버시 보호 기술, 센서 정보의 위변조 등을 차단할 수 있는 초경량 보안칩/센서 노드 기술, 도청, 위변조 등의 공격에 대응하기 위한 USN 침입탐지 및 대응 기술 및 RFID ODS 보호 기술 등의 적용 추진을 고려하고 있다.

5. 결론

3대 인프라에 대한 정보보호 기술개발과 아울러, 실제로 이러한 기술을 적용하여 효율적인 정보보호 효과를 기대하기 위해서는 무엇보다 3대 인프라에 대한 개별적인 기술은 물론이고 이를 이용한 종합적인 보호대책의 수립이 필요하다. 개별 정보보호 기술은 종합적인 관점에서 적용되고 통합되어야 실제적인 정보보호의 효과를 나타낼 수 있을 것이다. 따라서, 각 분야에서 개발된 요소 기술들은 통신사업자에 효율적으로 적용되기 위해서 상호 협력체계가 원할히 구축되어야 할 것이며, 이렇게 해서 상용화된 기술은 다시 국내외 정보보호산업의 활성화에 기여하게 될 것이다.

 <참고문헌>

[1] 정통부, “안전한 u-Korea 구현을 위한 중장기 정보보호 로드맵,” 2005. 5.
[2] 정보보호중장기 기술개발실무협의회, “정보보호 중장기 기술개발 기획보고서,” 2005. 7.
[3] 한국전자통신연구원, “IT839를 위한 정보보호 기술,” 2004. 11.
[4] 송정희, “IT839 전략과 정보보호과제,” 2004.
[5] 정보통신연구진흥원, “IT839전략의 분야별 정보보호 추진방안,” 2005. 7.

제공 : DB포탈사이트 DBguide.net

II. 피싱 피해 사례 및 통계

 1. 피싱 피해 사례

 피싱 피해 사례는 2003년 eBay 사건이 대표적인 사건으로 이후 지속적으로 증가하고 있다. 2003년에 eBAay를 사칭해 “보안 위험으로 계정이 일시 차단되었으니 첨부된 링크를 클릭해 eBay 홈페이지를 통해 재등록하라”는 메일을 인터넷 이용자에게 무작위로 발송되었다. 메일을 받은 사용자들은 신용카드번호, 사회보장번호 등을 의심하지 않고 입력하여 개인정보를 쉽게 도용당하였다.

 특히 피싱은 미국과 유럽의 유명 금융회사, AOL, Google 등 인터넷업체를 사칭한 피싱이 지속적으로 많이 발생하고 있다. 영국계의 유명 금융회사인 로이드 퍼스널뱅킹(Lloyd TSB)을 사칭해 개인 금융정보 입력을 요구하는 메일이 발송되었다. 가짜 구글 사이트를 통해 “400만 달러의 상금이 당첨되었습니다!”라고 광고하여 링크를 클릭하면 신용카드 정보나 주소 입력을 요청하는 메일이 발송되었다. 또한 AOL을 사칭해 “신용카드 사용정지 공지,” “사용자정보 확인 요구” 등으로 개인정보를 도난한 사건이 발생하였다.

 최근에는 피싱기법이 더욱 정교해지면서 금융이나 인터넷업체뿐 아니라 다양한 분야로 사칭하는 브랜드 범위도 확장되고 있다. 해리포터 e-Book을 사칭해 애독자들에게 은행계좌를 입력하고 책을 구매할 것을 소개하는 메일이 발송되었으며, RedCross를 사칭하여 해일 쓰나미로 피해를 본 사람들을 위한 성금모금 메일을 발송되기도 하였다.

 국내에서는 아직까지 피싱으로 인한 실제적인 피해가 해외에 비해서는 낮은 상태이다. 이는 대부분의 피싱이 씨티뱅크, 이베이 등 외국업체를 사칭하여 영문메일에 익숙치 않아 피싱으로 인해 국민에게 큰 피해는 끼치지 않은 것으로 여겨진다. 그러나 최근 피싱보다 치밀한 수법의 신종 금융사기가 발생하여, 국내에서도 피싱으로 인한 피해 우려가 높아지고 있다. 2005년 11월 피싱 사이트를 개설, 비밀번호 등 개인 금융정보를 알아내어 돈을 몰래 유출한 피싱사기로 5명 구속되는 사건이 발생하였다. 피셔(Phishier)는 인터넷 카페에 시중은행 명의로 가짜 대출광고를 게시하여 피해자를 피싱 사이트로 유도하는 방법을 통해 개인금융정보를 도난하여 새 인증서를 발급받아 피해자 거래은행으로부터 1억2천여만 원을 절도하였다. 피셔는 외국서버를 이용하여 피싱 사이트를 구축하고, 돈을 빼내는 과정은 모두 무선으로 처리하여 인터넷 접속기록을 남기지 않는 지능적 수법을 사용하였다.

 2. 피싱 피해 통계

 국내외 피싱사고 통계는 피싱 관련 사고가 최근 큰 폭으로 증가하고 있음을 확연하게 보여준다. 안티피싱작업그룹(APWG)에 따르면, 전세계 피싱 사고 접수건수는 2004년 10월 6,957건에서2005년 9월 13,562건으로 약 95% 증가하였다.

 피싱 통계의 추세를 분석해보면 2005년 9월 발생한 피싱의 약 98%는 HTTP 80번 포트를 이용하여 사이트를 개설하고 있으며 피싱 사이트에 도용된 브랜드 중에는 금융기관이 81.2%로 가장 많았으며, AOL 등 ISP가 11.8%, eBay 등 소매상이 3.5%를 차지하고 있다.

 피싱 웹 사이트 호스팅 비율은 미국 31.22%, 중국 12.13%, 한국 10.91%로 한국이 세계 3위를 기록하여 한국의 서버가 여전히 피싱 경유지로 많이 이용되고 있는 것이 특이할 만하다. Krcert/cc의 통계에 따르면, 국내 피싱 피해 접수건수는 2004년 7월부터 2005년 9월까지 월간 피싱 사이트 증가율이 17.8%에 이르고, 2005년 10월 발견된 피싱 사이트는 94건에 도달하고 있다.

 인터넷 이용자는 피싱 방법의 지능화와 피싱에 대한 인식 수준 등이 미흡하여 피싱으로 인한 피해 가능성이 매우 높은 것으로 조사되고 있다. Anti-Phishing Working Group은 매달 피싱 공격 증가율이 50% 이르고 있으며, 피싱 공격의 지능화로 피싱메일에 5%의 이용자가 응답할 것으로 예상하고 있다.

 금융기관의 공식적인 피싱 규모는 조사기관에 따라 많은 차이를 발생하고 있다. Ponemon 기관에 따르면 피싱 사고로 인한 금전적인 피해 규모가 미국내 5억 달러(약 5천억) 규모에 이를 것으로 추정하고 있다. 가트너 그룹은 2004년 한해 240만 인터넷 이용자들이 피싱 피해를 입었으며, 피해액은 9억3천만 달러(한화 약 1조)로 추정하고 있다.

 피싱으로 인한 위협의 증가에도 불구하고 피싱 관련 사용자 인식 수준은 낮은 것으로 조사되었다. Demopoulos Associates 조사(2005년 11월)에 따르면 인터넷 사용자의 48%가 피싱을 들어본 적 있으나 30%는 들어본 적이 없다고 대답하였다. 피싱을 들어본 경험이 있는 사용자 중 46%만이 피싱에 대해 정확히 인식하고 있었으며, 피싱을 들어본 경험이 있는 사용자의 8%, 전체 인터넷 사용자 중 3.5%만이 인터넷 사용 습관을 바꾸는 등 피싱에 대해 경계를 하고 있는 것으로 조사되었다.

 III. 피싱 위협 요소

 1. 피싱 공격 매체

 피싱 공격 매체의 가장 일반적인 방법으로 이메일이 사용되고 있다. 수백만 인터넷 이용자에게 위장된 이메일을 전송하기 위해서는 스팸 전송 기술이 이용된다. 이메일을 이용한 피싱은 공식적인 문서로 보이는 메일, 쉽게 인식하지 못하도록 약간의 URL을 변경한 법인 이메일, 목표하는 URL 정보를 혼란스럽게 하는 HTML 기반 이메일, 인기 게시판이나 메일링 리스트에 위장된 광고 등을 이용한다.

 새로운 피싱 매체로 메신저 활용도 증가하고 있다. 메신저를 이용한 커뮤니케이션 활용이 보편화되고, 메신저의 기능성이 향상되면서 메신저를 이용한 지능적인 피싱 공격이 증가하고 있다. 이는 메신저가 그래픽, 멀티미디어 등 동적인 콘텐츠를 메신저 참여자에게 전송하는 기능이 추가되면서 웹 기반의 피싱 공격 기법이 쉬워졌기 때문으로 여겨진다.

 변조된 웹 사이트를 이용한 피싱 방법도 점차 증가하고 있다. 피싱 공격자가 직접 운영하는 웹 사이트에 거짓 웹 사이트 콘텐츠를 포함시키거나, 다른 사람이 운영하는 사이트를 활용한다. 웹을 이용한 피싱 기법으로는 유명한 웹 사이트나 게시판에 HTML 주소를 속인 연결, 인터넷 이용자를 공격자의 웹 사이트를 유인하기 위해 거짓 배너 광고, 피싱 공격자의 위치를 위장하기 위해 팝업 윈도를 사용하는 방법이 이용되고 있다.

 가정의 PC에 설치된 트로이목마에 감염된 PC를 통한 피싱 방법도 있다. Key logger Trojan, Netbus와 같은 프로그램을 이용해서 공격자는 개인 PC 이용자가 입력하는 금융정보나 개인정보를 수집하거나, 공인인증서 파일을 유출한다.

 2. 피싱 공격 방법

 피싱 공격 방법으로는 Man-in-the-Middle 공격, URL 위장, 데이터 감시, Cross-site Scripting (CSS), 은닉방법이 있다[2].

 Man-in-the-Middle 공격은 인터넷 이용자의 정보 및 자원에 대한 통제권을 획득하기 위해 공격자가 이용자 사이트와 대상 사이트의 중간에 자신의 사이트를 배치하여 커뮤니케이션의 조정자 역할을 수행하면서 모든 거래정보를 수집 및 관찰한다.

 URL 위장방법은 피싱 공격자가 위장 도메인명, 친숙한 Login URL, 제3자의 단축 URL 호스트명 위장, URL 위장 등을 통해 메시지 수신자를 자신의 사이트로 유인한다.

 데이터 감시를 이용한 방법은 Key Logger, Screen-grapper를 이용하여 이용자의 비밀 정보를 수집한다.

 CSS 방법은 웹 애플리케이션의 설계 취약점을 이용하여 피싱 공격을 위한 URL을 유효한 웹 애플리케이션 URL에 삽입한다. 특히 CSS 공격은 피해자가 웹 페이지 변조를 인식하지 못해 대처하기 매우 어려운 것이 특징이다.

 은닉을 이용한 방법에서는 공격자가 은닉 프레임, 웹 페이지 콘텐츠 중복, 그래픽 교환을 통해 실제의 웹 페이지 화면을 은닉하고 위장된 웹 페이지 화면을 인터넷 이용자에게 표시한다.

 IV. 피싱 대응 방안

 1. 기술적 대응

 피싱에 대한 기술적인 대응으로는 웹 사이트 인증, 메일서버 인증, PC 확인 방식의 전자서명 메일, 게이트웨어 확인 방식의 전자서명 메일 방법 등이 있다[7].

 웹 사이트 인증은 전자상거래, e-Banking을 사용하는 이용자들이 스마트카드와 같이 물리적인 토큰(소프트웨어 또는 하드웨어)을 사용해서 자신을 인증하는 방법이다. 이를 위해 서비스 제공업체는 토큰을 이용자에게 발부하고, 이용자는 필요한 소프트웨어를 PC에 설치하며, 인증기관은 인증서를 발부한다.

 메일서버 인증은 메일을 전송하는 메일 서버에 대한 인증을 수행하는 방법이다.

 PC 확인 방식의 전자서명 메일 방식은 전자서명이 부착된 메일을 전송하고 수신자 PC에서 사실여부 확인하는 방법이다. 메일 보안관련 산업표준인 S/MIME(또는 PGP)을 사용하여 메일에 전자서명을 첨부하여 수신자가 메일 전송자의 사실 여부를 확인한다.

 게이트웨이 확인 방식의 전자서명 메일 방식은 전자서명된 메일을 전송하고 수신자의 메일 게이트웨이에서 사실여부를 확인하는 방법이다.

 상기한 기술적 대응 방법을 종합적으로 분석해 보면 전자서명메일(PC 확인) 방식에 전자서명(게이트웨이 확인) 방식 또는 IP 필터링 방식을 조합하면 피싱 문제점을 송신자와 수신자 측면 모두에서 해결할 수 있는 것을 알 수 있다.

 2. 사회ㆍ문화적 대응

 피싱에 대한 사회ㆍ문화적 대응은 피싱 인식제고 활동, 피싱 대응 실천문화 확산, 피싱 정보 공유 및 신속 대응을 통해 이루어진다.

 피싱 인식제고 활동은 피싱 위협을 감소시키기 위해 전자상거래 업체 및 정보보호 관련 기관의 다양한 인식제고 활동을 포함한다. 이들 기관은 기업 메일이나 웹 사이트에서 발생한 피싱의 일반적인 정보를 고객에게 제공하며, 특정 회사를 직접 겨냥한 피싱에 대하여 고객에 주의경고를 제공한다. 또한 고객이 자신의 계정에 관한 기업정책을 인지하도록 지원하고, 사용자 및 기업을 대상으로 정보보호 커뮤니티의 자료를 보급하고 설명한다.

 피싱 대응 실천문화 확산은 피싱 위협 및 피해를 감소시키기 위해 기업의 best Practices 수립 및 전파를 통해 수행될 수 있다. 기업은 이메일에 대한 일관성 있는 기업정책을 수립하여 이용자에게 전파하고, 이용자에게 이메일의 적법성을 확인할 수 있도록 이용자에게 보내는 모든 이메일에 인증정보를 포함하도록 하는 정책을 수립한다. 또한 서비스를 제공하는 웹 사이트에 대해 보안성이 강화된 인증방법을 이용하며, 피싱 발생 가능성이 높은 사이트에 대한 주기적인 모니터링을 실시한다[8].

 피싱 정보 공유 및 신속 대응은 피싱 관련 기관간의 활발한 정보 공유 및 사고 발생시 신속한 대처방법을 통해 가능하다. 이를 위해 피싱 대응을 위한 산업계의 자율적인 협의체 구성 및 정보 공유하며, 금융기관들은 고객들이 피싱 공격의 위험에 대한 인식을 높이고, 피해 발생시 신속한 신고를 할 수 있도록 고객에게 거짓 이메일의 사례, 신고 및 지원 사이트 연결, 새로운 공격 발생시 경고, 피싱 방지 방법을 제공한다.

 3. 법ㆍ제도적 대응

 미국은 2005년 2월 Patrik Leahy는 피싱방지법안(the Anti-Phishing Act of 2005)을 하원에 제안하였다. 지난 11월에 캘리포니아주 하원은 피싱방지법안을 통과시켜 법으로 채택하였다. 동 법안은 피싱 이메일 제공 및 피싱 웹 사이트 구축을 범죄로 규정하여 관련자를 처벌하도록 규정하고 있다[10].

 일본경제산업성은 2005년 4월 금융기관, 보안업체 등이 참여하는 피싱대책협의회를 설립하였다. 동 협의는 피싱에 관한 정보 수집 및 제공, 피싱 동향 분석, 기술 및 제도적 대응, 해외기관과의 제휴를 수행한다.

 영국 정부는 피싱 관련 절도에 대해 10년 이하의 징역에 판결할 수 있도록 기존의 절도법 개정안을 제안하였다. 절도법안 개정안에는 피싱과 같이 허위 표현, 금전적 이익을 위한 정보 유출, 지위의 남용 행위를 범죄로 규정하고 있다.

 국내에서는 정통부가 피싱 관련 범죄를 처벌할 수 있도록 하는 ‘정보통신망법 이용촉진 및 정보보호 등한 관한 법률’ 개정안을 마련하였다. 재경부는 전자금융사고 발생시 거래당사자의 권리ㆍ의무 관계를 명확히 하는 전자금융거래법 제정안을 마련하였다. 금융감독원은 피싱 위험을 감소시키기 위해 은행, 금융기관을 대상으로 메일서버등록제 도입을 추진하고 있다.

 피싱에 대해 각국의 다양한 법제도적 대응을 준비하고 있지만, 법적 대응에는 온라인 피싱 범죄자 색출의 어려움, 피싱 범죄자에 대한 재판권 획득의 어려움, 판결내용 증명의 어려움, 범죄 증거 소멸의 용이 등 해결과제가 많다.

 V. 시사점

 첫째, 범정부 차원의 체계적인 피싱 대응방안 마련이 필요하다. 피싱 대응을 위해 피싱 위협요소에 대한 위험(Risk)을 평가하고, 피싱 위험을 감소시키기 위한 정책 및 절차를 수립하여야 한다. 또한 피싱 대응을 위해 피싱 위협에 대한 인식을 제고하며, 피싱 경유지 사고 대응 교육 프로그램을 개발하며, 피싱 사고에 대한 신속한 탐지, 신고, 대응 절차를 수립할 필요가 있다.

 둘째, 피싱 사고 예방 및 대응능력을 강화하여야 한다. 피싱 공격에 이용되는 보안 취약점, 분석 사례 및 해결 방안을 제공하며, 피싱에 대한 사회적 인식을 형성ㆍ공유하고 피해위험을 정확히 인식하고 대응할 수 있도록 피싱 예방 및 대응 가이드라인을 개발하여 제공하여야 한다. 또한 웹 관리자 등을 대상으로 신종 피싱 기법, 웹서버 보안, 피싱 대응방법 등에 대한 교육을 강화하여야 한다.

 셋째, 피싱 인식수준 파악 및 인식제고 대상의 확대가 필요하다. 국내 개인, 기업의 피싱 위험 및 피싱 사고의 위험에 대한 인식 수준를 조사하여 정확한 실태를 진단하여야 한다. 또한 피해 대상인 고객, 사이버범죄 대응 책임이 있는 기업, 법집행 기관으로 인식제고 대상을 확대하여야 한다. 이를 위해 개인은 이메일 및 웹을 이용한 최신 피싱기법 및 피해위험, PC보안 및 개인정보보호의 필요성에 대한 인식을 높여야 한다. 기업은 피싱 위험이 적은 애플리케이션 설계방법 및 피싱의 신속 파악ㆍ대처를 위한 피싱 유형에 대한 인식이 필요하고 고객대상 홍보 및 교육을 수행하여야 한다. 법집행 기관은 피싱 기법 및 효과적인 피싱 대응방법을 전파할 수 있는 방안을 갖고 있어야 한다.

넷째, 피싱 대응을 위한 범정부적인 협조체계를 마련하여야 한다. 피싱 사고 탐지 및 보고를 위한 단일의 보고체계를 정의하고, 이기관의 역할, 절차를 명확히 정의하여야 한다. 대표적인 국제 피싱 대응 협의체인 APWG 등과의 협력을 통해 사고정보 교환, 수사 협조 등 적극적 공조할 필요가 있다. 피싱에 대한 국내 현황 파악 및 신속한 대응을 위해서는 금융감독원, 소비자 보호원, 검ㆍ경찰청 등 유관기관과의 상시연락체계를 운영이 효과적이다. 피싱에 대한 정보 공유 및 피싱사고 발생시 신속한 대처를 위한 산업계의 자율적인 협의체 구성도 긴요하다.

더불어 피싱 대응을 위한 법제도를 지속적으로 보완하여야 한다. 피싱 관련 범죄자 색출, 재판권, 범죄 증명 등 법제도 대응의 한계점을 극복할 수 있는 방안 마련이 필요하다.