피싱은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 유명업체의 위장 홈페이지를 만든 뒤, 불특정 다수 이메일 사용자에게 메일을 발송하여 위장된 홈페이지로 접속하도록 현혹하여 개인정보를 빼내는 행위를 의미한다.
피싱의 발생은 피싱메일을 발송하고 수신자가 이메일 내용에 현혹되어 링크되어 있는 사이트를 클릭하여 위장사이트에서 금융정보를 입력함으로써 발생하며, 입력된 정보를 이용해 금융사기 등의 행위를 함으로써 2차적 범죄행위가 완성된다고 볼 수 있다.
이와 관련하여 이메일 수신자의 PC에 저장되어 있는 정보를 자동으로 외부의 특정 서버로 전송하는 peep, bot류의
사고도 피싱의 한 유형으로 분류될 수 있겠지만, 최근의 피싱은 수신자가 현혹될 수 있는 내용의 메일을 발송하여 수신자가 직접
정보를 입력하도록 유도하는 방법으로 주로 이루어진다.
이러한 피싱행위에 대응하기 위해 정보통신부를 비롯한 금융감독원, 경찰, 정보제공업체(ISP) 등 유관기관이 상시연락체계 마련하고 있으며, 피싱과 관련한 동향정보 공유나 피싱사고 발생시 협력을 통한 피싱사고 예방 및 피해 최소화에 주력하고 있다.
이와 관련하여 금융감독원은 ‘금융감독기구의 설치 등에 관한 법률’에 근거하여 전자금융사기 주의 및 경보를 발령(2005.7.5일, 2005.10.17일)한 바 있고,
국제피싱대응협의체(APWG : Anti Phising Working Group)와 공조체계 구축을 위해 APWG의
협력기관으로 가입('04년)하여 최신 피싱기법 및 피싱 사례 등의 정보를 공유하고 있으며, 국외 피해 현황을 지속적으로 모니터링하여 국내 대응책 마련에 반영하고 있다.
피싱(Phishing)은 사회공학적 방법 및 기술적 은닉기법을 이용해서 민감한
개인정보, 금융계정 정보를 절도하는 신종 금융사기이다. 피싱은 금전적 피해를 유발하고, 공격유형이 지속적으로 변화하며 피싱에
대한 대응이 매우 어려운 것이 특징이다. 피싱 피해는 계속 증가하고 있으며, 조사기관에 따라 많은 차이가 발생하지만 피싱 피해
규모가 크게 증가하고 있는 상황이다. 피싱 공격 방법으로는 Man-in-the-Middle 공격, URL 위장, 데이터 감시,
Cross-site Scripting(CSS), 은닉방법 등이 있다. 피싱에 대한 대응으로는 웹 사이트 인증, 메일서버 인증
등의 기술적인 방법, 피싱 인식제고 활동, 피싱 대응 실천문화 확산, 피싱 정보 공유 및 신속 대응 등의 사회문화적 접근,
그리고 피싱 관련 법죄를 처벌할 수 있는 법안 마련 등 법제도적 접근방법이 있다. 특히 국내 피싱 대응을 강화하기 위해서는
체계적인 피싱 대응체계 마련, 피싱 예방 능력 강화, 인식제고, 법제도 정비를 위한 정책적인 노력이 요구된다.
I. 피싱 정의 및 유래
1. 피싱의 정의
피싱(Phishing)은 개인정보(Private Date)와 낚시(Fishing)의 합성어로 해커들이 만든 용어이며
사회공학적 방법 및 기술적 은닉기법을 이용해서 민감한 개인정보, 금융계정 정보를 절도하는 신종 금융사기 수법이다. 피싱은
유명기관을 사칭한 위장 이메일을 불특정 다수 이메일 사용자에게 전송하여 위장된 홈페이지로 유인하여 인터넷 상에서 신용카드 번호,
사용자 ID, PW 등 민감한 개인의 금융정보를 획득하는 사회공학적 기법을 사용한다. 최근에는 DNS 하이재킹 등을 이용해
사용자를 위장 웹 사이트로 유인하여 개인 정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다.
사회공학적 방법에 의존한 피싱이 실패 확률이 높은 반면 파밍은 사용자의 피해 유발 가능성이 매우 높다.
2. 피싱의 변천
피싱 용어는 1996년 AOL(America Onlne)의 신용도가 높은 사용자의 계정을 도용한 해커에서 유래를 찾을 수
있다. 타인 ID와 패스워드를 일컫는 피시(phish)는 당시, 해커들 사이에서는 일종의 사이버머니로 유통이 되기도 하였으며
피싱은 1996년 alt.2600이라는 해커 뉴스그룹에서 처음으로 사용되었다. 이후 피싱은 타인정보 획득 뿐만아니라 금융정보
불법접근 및 사기성 사이트로의 유인으로 변화되었으며, 피싱 사기의 성공률이 증가하면서 금융사기, 취업알선, 국제 돈세탁 등의
사이버범죄로도 사용되었다.
최근에는 피싱이 트로이목마나 웜ㆍ바이러스와 결합하여 사용자 컴퓨터의 취약성을 이용함으로써 더욱 지능적으로 변화되었다.
사회공학적 기법을 사용한 이메일을 통해 첨부파일과 함께 사용자의 컴퓨터에 실행된 트로이목마는 사용자의 ID, 패스워드를
수집하거나 컴퓨터 모니터링 정보를 다른 사이트로 전송할 수 있다. 또한 웜ㆍ바이러스를 이용해 사용자 호스트파일을 변경시켜
전송경로를 재설정함으로써 원하는 사이트에 접속할 경우 피싱 사이트로 경로를 변경하는 기법과 ‘키보드로거’ 등의 스파이웨어 기법을
이용하여 실제 사이트에 접속한 사용자가 이용하는 ID, 패스워드를 수집하여 전송하는 기법이 널리 사용되고 있다[2]
3. 피싱 위협의 특징
피싱은 기술과 사회공학적 방법의 융합을 통해 공격을 시도한다. 피싱 공격자는 이용자의 중요정보 수집을 위해 타인과의
상호작용을 통해 타인을 속여서 규정된 보안절차를 무력화시키는 비 기술적 방법으로 침해를 시도한다. 또한 피싱 공격자는 사람의
정보 기술 의존도가 심화되는 문화에 빠르게 적응하지 못하는 상황을 이용한다.
피싱은 금전적 피해를 유발할 수 있다. 피싱 공격을 통해 개인의 금융정보를 획득하여 개인 금융계좌에서 돈을 유출하여
개인에게 금전적인 피해를 유발할 수 있다. 피싱 공격은 유명기관의 브랜드에 대한 고객 신뢰를 이용하여 유명기관의 웹 사이트로
위장하면서 기업의 인지도를 손상시킬 수 있다.
피싱 공격의 유형은 역동적으로 변화하며 위협 모델도 급속히 변화한다. 피싱은 지속적인 변화를 거듭하면서 대응책이 나올
때마다 지능적인 사기범들은 이를 교묘히 피할 수 있는 새로운 공격기법을 개발한다. 고도의 숙련된 범죄집단이 피싱을 이용하여
사기범죄를 수행할 가능성도 더욱 증대하고 있다.
피싱은 기존의 전통적인 방식의 사기와는 다른 지능적인 기술을 이용하므로 기술적, 법제도적 대응이 매우 어렵다. 피싱은
메일, 웹 기술을 이용한 사기 수법으로 기존의 사기와는 달라 지능화된 대응 기술이 필요하다. 피싱 대응을 위한 기술로 메일
인증, 웹 사이트 인증 기술의 이용이 필요하다. 피싱사고 대응을 위한 법제도 제정도 매우 어렵다.
II. 피싱 피해 사례 및 통계
1. 피싱 피해 사례
피싱 피해 사례는 2003년 eBay 사건이 대표적인 사건으로 이후 지속적으로 증가하고 있다. 2003년에 eBAay를
사칭해 “보안 위험으로 계정이 일시 차단되었으니 첨부된 링크를 클릭해 eBay 홈페이지를 통해 재등록하라”는 메일을 인터넷
이용자에게 무작위로 발송되었다. 메일을 받은 사용자들은 신용카드번호, 사회보장번호 등을 의심하지 않고 입력하여 개인정보를 쉽게
도용당하였다.
특히 피싱은 미국과 유럽의 유명 금융회사, AOL, Google 등 인터넷업체를 사칭한 피싱이 지속적으로 많이 발생하고
있다. 영국계의 유명 금융회사인 로이드 퍼스널뱅킹(Lloyd TSB)을 사칭해 개인 금융정보 입력을 요구하는 메일이 발송되었다.
가짜 구글 사이트를 통해 “400만 달러의 상금이 당첨되었습니다!”라고 광고하여 링크를 클릭하면 신용카드 정보나 주소 입력을
요청하는 메일이 발송되었다. 또한 AOL을 사칭해 “신용카드 사용정지 공지,” “사용자정보 확인 요구” 등으로 개인정보를 도난한
사건이 발생하였다.
최근에는 피싱기법이 더욱 정교해지면서 금융이나 인터넷업체뿐 아니라 다양한 분야로 사칭하는 브랜드 범위도 확장되고 있다.
해리포터 e-Book을 사칭해 애독자들에게 은행계좌를 입력하고 책을 구매할 것을 소개하는 메일이 발송되었으며, RedCross를
사칭하여 해일 쓰나미로 피해를 본 사람들을 위한 성금모금 메일을 발송되기도 하였다.
국내에서는 아직까지 피싱으로 인한 실제적인 피해가 해외에 비해서는 낮은 상태이다. 이는 대부분의 피싱이 씨티뱅크, 이베이
등 외국업체를 사칭하여 영문메일에 익숙치 않아 피싱으로 인해 국민에게 큰 피해는 끼치지 않은 것으로 여겨진다. 그러나 최근
피싱보다 치밀한 수법의 신종 금융사기가 발생하여, 국내에서도 피싱으로 인한 피해 우려가 높아지고 있다. 2005년 11월 피싱
사이트를 개설, 비밀번호 등 개인 금융정보를 알아내어 돈을 몰래 유출한 피싱사기로 5명 구속되는 사건이 발생하였다.
피셔(Phishier)는 인터넷 카페에 시중은행 명의로 가짜 대출광고를 게시하여 피해자를 피싱 사이트로 유도하는 방법을 통해
개인금융정보를 도난하여 새 인증서를 발급받아 피해자 거래은행으로부터 1억2천여만 원을 절도하였다. 피셔는 외국서버를 이용하여
피싱 사이트를 구축하고, 돈을 빼내는 과정은 모두 무선으로 처리하여 인터넷 접속기록을 남기지 않는 지능적 수법을 사용하였다.
2. 피싱 피해 통계
국내외 피싱사고 통계는 피싱 관련 사고가 최근 큰 폭으로 증가하고 있음을 확연하게 보여준다. 안티피싱작업그룹(APWG)에
따르면, 전세계 피싱 사고 접수건수는 2004년 10월 6,957건에서2005년 9월 13,562건으로 약 95% 증가하였다.
피싱 통계의 추세를 분석해보면 2005년 9월 발생한 피싱의 약 98%는 HTTP 80번 포트를 이용하여 사이트를 개설하고
있으며 피싱 사이트에 도용된 브랜드 중에는 금융기관이 81.2%로 가장 많았으며, AOL 등 ISP가 11.8%, eBay 등
소매상이 3.5%를 차지하고 있다.
피싱 웹 사이트 호스팅 비율은 미국 31.22%, 중국 12.13%, 한국 10.91%로 한국이 세계 3위를 기록하여
한국의 서버가 여전히 피싱 경유지로 많이 이용되고 있는 것이 특이할 만하다. Krcert/cc의 통계에 따르면, 국내 피싱 피해
접수건수는 2004년 7월부터 2005년 9월까지 월간 피싱 사이트 증가율이 17.8%에 이르고, 2005년 10월 발견된 피싱
사이트는 94건에 도달하고 있다.
인터넷 이용자는 피싱 방법의 지능화와 피싱에 대한 인식 수준 등이 미흡하여 피싱으로 인한 피해 가능성이 매우 높은 것으로
조사되고 있다. Anti-Phishing Working Group은 매달 피싱 공격 증가율이 50% 이르고 있으며, 피싱 공격의
지능화로 피싱메일에 5%의 이용자가 응답할 것으로 예상하고 있다.
금융기관의 공식적인 피싱 규모는 조사기관에 따라 많은 차이를 발생하고 있다. Ponemon 기관에 따르면 피싱 사고로 인한
금전적인 피해 규모가 미국내 5억 달러(약 5천억) 규모에 이를 것으로 추정하고 있다. 가트너 그룹은 2004년 한해 240만
인터넷 이용자들이 피싱 피해를 입었으며, 피해액은 9억3천만 달러(한화 약 1조)로 추정하고 있다.
피싱으로 인한 위협의 증가에도 불구하고 피싱 관련 사용자 인식 수준은 낮은 것으로 조사되었다. Demopoulos
Associates 조사(2005년 11월)에 따르면 인터넷 사용자의 48%가 피싱을 들어본 적 있으나 30%는 들어본 적이
없다고 대답하였다. 피싱을 들어본 경험이 있는 사용자 중 46%만이 피싱에 대해 정확히 인식하고 있었으며, 피싱을 들어본 경험이
있는 사용자의 8%, 전체 인터넷 사용자 중 3.5%만이 인터넷 사용 습관을 바꾸는 등 피싱에 대해 경계를 하고 있는 것으로
조사되었다.
III. 피싱 위협 요소
1. 피싱 공격 매체
피싱 공격 매체의 가장 일반적인 방법으로 이메일이 사용되고 있다. 수백만 인터넷 이용자에게 위장된 이메일을 전송하기
위해서는 스팸 전송 기술이 이용된다. 이메일을 이용한 피싱은 공식적인 문서로 보이는 메일, 쉽게 인식하지 못하도록 약간의
URL을 변경한 법인 이메일, 목표하는 URL 정보를 혼란스럽게 하는 HTML 기반 이메일, 인기 게시판이나 메일링 리스트에
위장된 광고 등을 이용한다.
새로운 피싱 매체로 메신저 활용도 증가하고 있다. 메신저를 이용한 커뮤니케이션 활용이 보편화되고, 메신저의 기능성이
향상되면서 메신저를 이용한 지능적인 피싱 공격이 증가하고 있다. 이는 메신저가 그래픽, 멀티미디어 등 동적인 콘텐츠를 메신저
참여자에게 전송하는 기능이 추가되면서 웹 기반의 피싱 공격 기법이 쉬워졌기 때문으로 여겨진다.
변조된 웹 사이트를 이용한 피싱 방법도 점차 증가하고 있다. 피싱 공격자가 직접 운영하는 웹 사이트에 거짓 웹 사이트
콘텐츠를 포함시키거나, 다른 사람이 운영하는 사이트를 활용한다. 웹을 이용한 피싱 기법으로는 유명한 웹 사이트나 게시판에
HTML 주소를 속인 연결, 인터넷 이용자를 공격자의 웹 사이트를 유인하기 위해 거짓 배너 광고, 피싱 공격자의 위치를 위장하기
위해 팝업 윈도를 사용하는 방법이 이용되고 있다.
가정의 PC에 설치된 트로이목마에 감염된 PC를 통한 피싱 방법도 있다. Key logger Trojan, Netbus와
같은 프로그램을 이용해서 공격자는 개인 PC 이용자가 입력하는 금융정보나 개인정보를 수집하거나, 공인인증서 파일을 유출한다.
2. 피싱 공격 방법
피싱 공격 방법으로는 Man-in-the-Middle 공격, URL 위장, 데이터 감시, Cross-site Scripting (CSS), 은닉방법이 있다[2].
Man-in-the-Middle 공격은 인터넷 이용자의 정보 및 자원에 대한 통제권을 획득하기 위해 공격자가 이용자
사이트와 대상 사이트의 중간에 자신의 사이트를 배치하여 커뮤니케이션의 조정자 역할을 수행하면서 모든 거래정보를 수집 및 관찰한다.
URL 위장방법은 피싱 공격자가 위장 도메인명, 친숙한 Login URL, 제3자의 단축 URL 호스트명 위장, URL 위장 등을 통해 메시지 수신자를 자신의 사이트로 유인한다.
데이터 감시를 이용한 방법은 Key Logger, Screen-grapper를 이용하여 이용자의 비밀 정보를 수집한다.
CSS 방법은 웹 애플리케이션의 설계 취약점을 이용하여 피싱 공격을 위한 URL을 유효한 웹 애플리케이션 URL에 삽입한다. 특히 CSS 공격은 피해자가 웹 페이지 변조를 인식하지 못해 대처하기 매우 어려운 것이 특징이다.
은닉을 이용한 방법에서는 공격자가 은닉 프레임, 웹 페이지 콘텐츠 중복, 그래픽 교환을 통해 실제의 웹 페이지 화면을 은닉하고 위장된 웹 페이지 화면을 인터넷 이용자에게 표시한다.
IV. 피싱 대응 방안
1. 기술적 대응
피싱에 대한 기술적인 대응으로는 웹 사이트 인증, 메일서버 인증, PC 확인 방식의 전자서명 메일, 게이트웨어 확인 방식의 전자서명 메일 방법 등이 있다[7].
웹 사이트 인증은 전자상거래, e-Banking을 사용하는 이용자들이 스마트카드와 같이 물리적인 토큰(소프트웨어 또는
하드웨어)을 사용해서 자신을 인증하는 방법이다. 이를 위해 서비스 제공업체는 토큰을 이용자에게 발부하고, 이용자는 필요한
소프트웨어를 PC에 설치하며, 인증기관은 인증서를 발부한다.
메일서버 인증은 메일을 전송하는 메일 서버에 대한 인증을 수행하는 방법이다.
PC 확인 방식의 전자서명 메일 방식은 전자서명이 부착된 메일을 전송하고 수신자 PC에서 사실여부 확인하는 방법이다. 메일
보안관련 산업표준인 S/MIME(또는 PGP)을 사용하여 메일에 전자서명을 첨부하여 수신자가 메일 전송자의 사실 여부를
확인한다.
게이트웨이 확인 방식의 전자서명 메일 방식은 전자서명된 메일을 전송하고 수신자의 메일 게이트웨이에서 사실여부를 확인하는 방법이다.
상기한 기술적 대응 방법을 종합적으로 분석해 보면 전자서명메일(PC 확인) 방식에 전자서명(게이트웨이 확인) 방식 또는 IP 필터링 방식을 조합하면 피싱 문제점을 송신자와 수신자 측면 모두에서 해결할 수 있는 것을 알 수 있다.
2. 사회ㆍ문화적 대응
피싱에 대한 사회ㆍ문화적 대응은 피싱 인식제고 활동, 피싱 대응 실천문화 확산, 피싱 정보 공유 및 신속 대응을 통해 이루어진다.
피싱 인식제고 활동은 피싱 위협을 감소시키기 위해 전자상거래 업체 및 정보보호 관련 기관의 다양한 인식제고 활동을
포함한다. 이들 기관은 기업 메일이나 웹 사이트에서 발생한 피싱의 일반적인 정보를 고객에게 제공하며, 특정 회사를 직접 겨냥한
피싱에 대하여 고객에 주의경고를 제공한다. 또한 고객이 자신의 계정에 관한 기업정책을 인지하도록 지원하고, 사용자 및 기업을
대상으로 정보보호 커뮤니티의 자료를 보급하고 설명한다.
피싱 대응 실천문화 확산은 피싱 위협 및 피해를 감소시키기 위해 기업의 best Practices 수립 및 전파를 통해
수행될 수 있다. 기업은 이메일에 대한 일관성 있는 기업정책을 수립하여 이용자에게 전파하고, 이용자에게 이메일의 적법성을 확인할
수 있도록 이용자에게 보내는 모든 이메일에 인증정보를 포함하도록 하는 정책을 수립한다. 또한 서비스를 제공하는 웹 사이트에 대해
보안성이 강화된 인증방법을 이용하며, 피싱 발생 가능성이 높은 사이트에 대한 주기적인 모니터링을 실시한다[8].
피싱 정보 공유 및 신속 대응은 피싱 관련 기관간의 활발한 정보 공유 및 사고 발생시 신속한 대처방법을 통해 가능하다.
이를 위해 피싱 대응을 위한 산업계의 자율적인 협의체 구성 및 정보 공유하며, 금융기관들은 고객들이 피싱 공격의 위험에 대한
인식을 높이고, 피해 발생시 신속한 신고를 할 수 있도록 고객에게 거짓 이메일의 사례, 신고 및 지원 사이트 연결, 새로운 공격
발생시 경고, 피싱 방지 방법을 제공한다.
3. 법ㆍ제도적 대응
미국은 2005년 2월 Patrik Leahy는 피싱방지법안(the Anti-Phishing Act of 2005)을
하원에 제안하였다. 지난 11월에 캘리포니아주 하원은 피싱방지법안을 통과시켜 법으로 채택하였다. 동 법안은 피싱 이메일 제공 및
피싱 웹 사이트 구축을 범죄로 규정하여 관련자를 처벌하도록 규정하고 있다[10].
일본경제산업성은 2005년 4월 금융기관, 보안업체 등이 참여하는 피싱대책협의회를 설립하였다. 동 협의는 피싱에 관한 정보 수집 및 제공, 피싱 동향 분석, 기술 및 제도적 대응, 해외기관과의 제휴를 수행한다.
영국 정부는 피싱 관련 절도에 대해 10년 이하의 징역에 판결할 수 있도록 기존의 절도법 개정안을 제안하였다. 절도법안
개정안에는 피싱과 같이 허위 표현, 금전적 이익을 위한 정보 유출, 지위의 남용 행위를 범죄로 규정하고 있다.
국내에서는 정통부가 피싱 관련 범죄를 처벌할 수 있도록 하는 ‘정보통신망법 이용촉진 및 정보보호 등한 관한 법률’ 개정안을
마련하였다. 재경부는 전자금융사고 발생시 거래당사자의 권리ㆍ의무 관계를 명확히 하는 전자금융거래법 제정안을 마련하였다.
금융감독원은 피싱 위험을 감소시키기 위해 은행, 금융기관을 대상으로 메일서버등록제 도입을 추진하고 있다.
피싱에 대해 각국의 다양한 법제도적 대응을 준비하고 있지만, 법적 대응에는 온라인 피싱 범죄자 색출의 어려움, 피싱 범죄자에 대한 재판권 획득의 어려움, 판결내용 증명의 어려움, 범죄 증거 소멸의 용이 등 해결과제가 많다.
V. 시사점
첫째, 범정부 차원의 체계적인 피싱 대응방안 마련이 필요하다. 피싱 대응을 위해 피싱 위협요소에 대한 위험(Risk)을
평가하고, 피싱 위험을 감소시키기 위한 정책 및 절차를 수립하여야 한다. 또한 피싱 대응을 위해 피싱 위협에 대한 인식을
제고하며, 피싱 경유지 사고 대응 교육 프로그램을 개발하며, 피싱 사고에 대한 신속한 탐지, 신고, 대응 절차를 수립할 필요가
있다.
둘째, 피싱 사고 예방 및 대응능력을 강화하여야 한다. 피싱 공격에 이용되는 보안 취약점, 분석 사례 및 해결 방안을
제공하며, 피싱에 대한 사회적 인식을 형성ㆍ공유하고 피해위험을 정확히 인식하고 대응할 수 있도록 피싱 예방 및 대응 가이드라인을
개발하여 제공하여야 한다. 또한 웹 관리자 등을 대상으로 신종 피싱 기법, 웹서버 보안, 피싱 대응방법 등에 대한 교육을
강화하여야 한다.
셋째, 피싱 인식수준 파악 및 인식제고 대상의 확대가 필요하다. 국내 개인, 기업의 피싱 위험 및 피싱 사고의 위험에 대한
인식 수준를 조사하여 정확한 실태를 진단하여야 한다. 또한 피해 대상인 고객, 사이버범죄 대응 책임이 있는 기업, 법집행
기관으로 인식제고 대상을 확대하여야 한다. 이를 위해 개인은 이메일 및 웹을 이용한 최신 피싱기법 및 피해위험, PC보안 및
개인정보보호의 필요성에 대한 인식을 높여야 한다. 기업은 피싱 위험이 적은 애플리케이션 설계방법 및 피싱의 신속 파악ㆍ대처를
위한 피싱 유형에 대한 인식이 필요하고 고객대상 홍보 및 교육을 수행하여야 한다. 법집행 기관은 피싱 기법 및 효과적인 피싱
대응방법을 전파할 수 있는 방안을 갖고 있어야 한다.
넷째, 피싱 대응을 위한 범정부적인 협조체계를 마련하여야 한다. 피싱 사고 탐지 및 보고를 위한 단일의 보고체계를
정의하고, 이기관의 역할, 절차를 명확히 정의하여야 한다. 대표적인 국제 피싱 대응 협의체인 APWG 등과의 협력을 통해
사고정보 교환, 수사 협조 등 적극적 공조할 필요가 있다. 피싱에 대한 국내 현황 파악 및 신속한 대응을 위해서는 금융감독원,
소비자 보호원, 검ㆍ경찰청 등 유관기관과의 상시연락체계를 운영이 효과적이다. 피싱에 대한 정보 공유 및 피싱사고 발생시 신속한
대처를 위한 산업계의 자율적인 협의체 구성도 긴요하다.
더불어 피싱 대응을 위한 법제도를 지속적으로 보완하여야 한다. 피싱 관련 범죄자 색출, 재판권, 범죄 증명 등 법제도 대응의 한계점을 극복할 수 있는 방안 마련이 필요하다.
합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프락시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법.
'피싱(Phishing)'에 이어 등장한 새로운 인터넷 사기 수법이다. 넓은
의미에서는 피싱의 한 유형으로서 피싱보다 한 단계 진화한 형태라고 할 수 있다.
그 차이점은 피싱은 금융기관 등의 웹사이트에서
보낸 이메일로 위장하여 사용자로 하여금 접속하도록 유도한 뒤 개인정보를 빼내는 방식인데 비하여, 파밍은 해당 사이트가 공식적으로
운영하고 있던 도메인 자체를 중간에서 탈취하는 수법이다.
피싱의 경우에는 사용자가 주의 깊게 살펴보면 알아차릴 수 있지만,
파밍의 경우에는 사용자가 아무리 도메인 주소나 URL 주소를 주의 깊게 살펴본다 하더라도 쉽게 속을 수밖에 없다. 따라서
사용자들은 늘 이용하는 사이트로만 알고 아무런 의심 없이 접속하여 개인 아이디(ID)와 암호(password), 금융 정보 등을
쉽게 노출시킴으로써 피싱 방식보다 피해를 당할 우려가 더 크다.
파밍에 의한 피해를 방지하기 위해서는 브라우저의 보안성을 강화하고, 웹사이트를 속일
수 있는 위장 기법을 차단하는 장치를 마련해야 하며, 전자서명 등을 이용하여 사이트의 진위 여부를 확실하게 가릴 수 있도록
하여야 한다. 또 사용하고 있는 DNS 운영 방식과 도메인 등록 등을 수시로 점검해야 한다.
--------------------------------------------------------------------------------------------- 다이렉트 마케팅 업계 단체인 Direct Marketing Association(DMA)는 2005년 3월 스팸메일 방법의
워스트 5를 미국 시간으로 4월 21일 발표했다. 조사는 사이버 범죄 대책에 임하는 단체 National
Cyber-Forensics and Training Alliance(NCFTA)가 실시하였다.
미 CyberSource의 조사 결과에 의하면, 2004년 온라인 사기 피해액은 전년대비 37% 증가한 26억 달러였다.
DMA의 Patricia Kachura씨는 "소비자나 기업 똑같이 개인정보나 재무 정보의 수집을 노리는 수법에 대해서 항상
주의하지 않으면 안 된다."라고 말했다.
2005년 3월 스팸메일 사기수법의 워스트 5는 다음과 같다.
1. Pharming 공격
파밍은 유저의 리퀘스트를 리디렉트하여 다른 사이트에 유도하는 온라인 사기로서, 예를 들어 감염 컴퓨터로 특정 은행과
거래를 하는 경우 주소바에 그 은행의 URL를 입력하면 진짜와 똑같은 가짜 사이트로 유도된다. 파밍은 DNS 서버의 탈취에 의해
발생할 가능성도 있다.
2. Google 해킹
검색 엔진의 Google를 이용하여 개인정보가 도둑맞는 경우가 있다. 개인이 Web상에 업로드한 이력서 등에서 사회 보장
번호, 가족의 이력, 주소, 전화 번호, 학력 등이 포함되는 문서로부터 정보를 수집할 수 있다. 이러한 것을 알지 못하고 정보를
제공해 버린 개인은 정보 절도를 당하기 쉽다.
3.FBI의 이름을 인용해 송신되는 바이러스 감염/스팸메일
FBI는 같은 국의 이름을 말해 송신되고 있는 바이러스 감염 메일에 대한 경고를 발표하고 있다. 이런 종류의 스팸메일은
'조사에 의해 위법한 Web 사이트를 방문하고 있었던 것이 밝혀졌다'고 하고, 수신자에게 첨부 파일의 질문에 답하도록 재촉한다.
첨부 파일에는 「W32.Sober.K@mm」가 잠복해 있고, 발송자는 police@fbi.gov, fbi@fbi.gov,
officer@fbi.gov, web@fbi.gov라고 하는 주소로부터 송신된 것처럼 가장하고 있다.
4. Phishing
피싱 공격은 전자 메일로 가짜 Web 사이트에 수신자를 유도하여 개인정보를 입력하도록 재촉한다, 또는 트로이 목마의
공격이나 바이러스를 컴퓨터상에 올려놓는다. 이 공격에서는 사회적으로 신뢰 받고 있는 금융기관, 온라인숍, ISP, 크레디트 카드
회사 등의 브랜드명이 이용되고 있다.
5. Nigerian 사기 수법
가짜 대출 이야기 등을 사용하는 사기 메일로, 수신자에게 수수료를 요구하거나 거래를 행하기 위해서 개인의 경제 정보 등을 요구하는 것이다. 이런 종류의 사기 행위는 해일 관련 사기와 함께 부활했다.
이러한 사기의 피해를 당하지 않기 위해서 DMA는 로그인명, 패스워드, 크레디트 카드 번호, PIN 번호, 은행계좌
번호, 가족 이름, 사회 보장 번호, 생일을 포함한 개인정보를 신뢰할 수 없는 상대에게 가르쳐 주지 않는 것을 권하고 있다.
또, 이러한 정보를 요구하는 전자 메일에 답장하지 않는 것이 좋다고 하고 있다. 그 외에도 같은 패스워드를 복수의
사이트에서 사용하거나 「.exe」, 「.d11」라는 확장자(extension)를 가진 첨부 파일은 열지 않도록 경고하고 있다.
국민은행과 농협의 인터넷뱅킹 홈페이지 주소를 변경해 가짜 홈페이지에 접속한 고객의 개인정보를 빼가는 신종 해킹 사고가 발생했다.
한국정보보호진흥원은 해커가 대만에 서버를 두고 국민은행과 농협 인터넷뱅킹 고객의 공인인증서 5000여개를 탈취해간 사고가 최근 발생했다고 21일 발표했다.
이번 사고는 인터넷뱅킹 고객을 가짜 홈페이지에 접속하게 해 개인정보를 빼갔다는 점에선 피싱의 일종이다.
그러나 이메일을 통해 가짜 홈페이지로 유도하는 일반 피싱과 달리 사용자 PC에 트로이목마를 심어 인터넷뱅킹 IP주소를 변경,주소창에 주소를 정확히 입력해도 가짜 사이트가 뜨게 하는 파밍 수법까지 동원됐다.
해커는 파일 공유(P2P) 사이트,음란 사이트 등에 악성코드를 심어 사이트 접속자의 PC에 트로이목마를 설치했다.
이 트로이목마를 통해 PC에 저장된 인터넷뱅킹 IP주소를 변경했다.
그 결과 이 PC로 국민은행이나 농협 인터넷뱅킹 홈페이지 주소를 정확히 입력해도 가짜 홈페이지가 뜨게 했다.
인터넷뱅킹 이용자가 이 사실을 모르고 가짜 홈페이지에 접속해 아이디,패스워드,계좌번호 등을 입력하는 순간 탈취해갔다.
사고는 한 회사원이 인터넷뱅킹 홈페이지가 평소와 다른 점을 수상히 여겨 정보통신부 산하 한국정보보호진흥원 인터넷침해사고대응지원센터에 신고하면서 밝혀졌다.
단계별로 고객정보를 요구하는 평소 화면과 달리 인터넷뱅킹 계좌번호,공인인증서 비밀번호,보안카드 번호 등을 한꺼번에 입력하라고 요구하는 화면이 떴던 것.
가짜 홈페이지에 개인정보를 입력한 인터넷뱅킹 고객은 30여명으로 파악됐다.
성재모 금융보안연구원 팀장은 "가짜 홈페이지를 차단하고 유출된 공인인증서를 모두 폐기하는 등 신속히 대응했다"며 "자칫 큰 사고로 이어질 뻔했다"고 말했다.
○파밍(Pharming)=해커가 인터넷뱅킹 등의 사이트 주소를 관할하는 도메인서버를 직접 공격해 IP주소를 변경함으로써
주소창에 정확한 주소를 입력해도 해커가 만들어 놓은 가짜 사이트가 뜨게 하는 신종 인터넷 사기수법.이번 사고에서는 국민은행과
농협의 서버를 직접 공격하지 않고 트로이목마를 인터넷뱅킹 이용자 PC에 심어 IP주소를 바꾸는 간접적인 방법이 사용됐다.