피싱에 대해서도 자료를 좀 모아봤습니다.

피싱은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 유명업체의 위장 홈페이지를 만든 뒤, 불특정 다수 이메일 사용자에게 메일을 발송하여 위장된 홈페이지로 접속하도록 현혹하여 개인정보를 빼내는 행위를 의미한다.

피싱의 발생은 피싱메일을 발송하고 수신자가 이메일 내용에 현혹되어 링크되어 있는 사이트를 클릭하여 위장사이트에서 금융정보를 입력함으로써 발생하며, 입력된 정보를 이용해 금융사기 등의 행위를 함으로써 2차적 범죄행위가 완성된다고 볼 수 있다.

이와 관련하여 이메일 수신자의 PC에 저장되어 있는 정보를 자동으로 외부의 특정 서버로 전송하는 peep, bot류의 사고도 피싱의 한 유형으로 분류될 수 있겠지만, 최근의 피싱은 수신자가 현혹될 수 있는 내용의 메일을 발송하여 수신자가 직접 정보를 입력하도록 유도하는 방법으로 주로 이루어진다.

이러한 피싱행위에 대응하기 위해 정보통신부를 비롯한 금융감독원, 경찰, 정보제공업체(ISP) 등 유관기관이 상시연락체계 마련하고 있으며, 피싱과 관련한 동향정보 공유나 피싱사고 발생시 협력을 통한 피싱사고 예방 및 피해 최소화에 주력하고 있다.

이와 관련하여 금융감독원은 ‘금융감독기구의 설치 등에 관한 법률’에 근거하여 전자금융사기 주의 및 경보를 발령(2005.7.5일, 2005.10.17일)한 바 있고,

국제피싱대응협의체(APWG : Anti Phising Working Group)와 공조체계 구축을 위해 APWG의 협력기관으로 가입('04년)하여 최신 피싱기법 및 피싱 사례 등의 정보를 공유하고 있으며, 국외 피해 현황을 지속적으로 모니터링하여 국내 대응책 마련에 반영하고 있다.


------------------------------------------------------------------------------------

피싱(Phishing) 위협 및 대응 방안

 이응용, 김윤정, 조규민│KISA

 피싱(Phishing)은 사회공학적 방법 및 기술적 은닉기법을 이용해서 민감한 개인정보, 금융계정 정보를 절도하는 신종 금융사기이다. 피싱은 금전적 피해를 유발하고, 공격유형이 지속적으로 변화하며 피싱에 대한 대응이 매우 어려운 것이 특징이다. 피싱 피해는 계속 증가하고 있으며, 조사기관에 따라 많은 차이가 발생하지만 피싱 피해 규모가 크게 증가하고 있는 상황이다. 피싱 공격 방법으로는 Man-in-the-Middle 공격, URL 위장, 데이터 감시, Cross-site Scripting(CSS), 은닉방법 등이 있다. 피싱에 대한 대응으로는 웹 사이트 인증, 메일서버 인증 등의 기술적인 방법, 피싱 인식제고 활동, 피싱 대응 실천문화 확산, 피싱 정보 공유 및 신속 대응 등의 사회문화적 접근, 그리고 피싱 관련 법죄를 처벌할 수 있는 법안 마련 등 법제도적 접근방법이 있다. 특히 국내 피싱 대응을 강화하기 위해서는 체계적인 피싱 대응체계 마련, 피싱 예방 능력 강화, 인식제고, 법제도 정비를 위한 정책적인 노력이 요구된다.

 I. 피싱 정의 및 유래

 1. 피싱의 정의

 피싱(Phishing)은 개인정보(Private Date)와 낚시(Fishing)의 합성어로 해커들이 만든 용어이며 사회공학적 방법 및 기술적 은닉기법을 이용해서 민감한 개인정보, 금융계정 정보를 절도하는 신종 금융사기 수법이다. 피싱은 유명기관을 사칭한 위장 이메일을 불특정 다수 이메일 사용자에게 전송하여 위장된 홈페이지로 유인하여 인터넷 상에서 신용카드 번호, 사용자 ID, PW 등 민감한 개인의 금융정보를 획득하는 사회공학적 기법을 사용한다. 최근에는 DNS 하이재킹 등을 이용해 사용자를 위장 웹 사이트로 유인하여 개인 정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다. 사회공학적 방법에 의존한 피싱이 실패 확률이 높은 반면 파밍은 사용자의 피해 유발 가능성이 매우 높다.

 

 2. 피싱의 변천

 피싱 용어는 1996년 AOL(America Onlne)의 신용도가 높은 사용자의 계정을 도용한 해커에서 유래를 찾을 수 있다. 타인 ID와 패스워드를 일컫는 피시(phish)는 당시, 해커들 사이에서는 일종의 사이버머니로 유통이 되기도 하였으며 피싱은 1996년 alt.2600이라는 해커 뉴스그룹에서 처음으로 사용되었다. 이후 피싱은 타인정보 획득 뿐만아니라 금융정보 불법접근 및 사기성 사이트로의 유인으로 변화되었으며, 피싱 사기의 성공률이 증가하면서 금융사기, 취업알선, 국제 돈세탁 등의 사이버범죄로도 사용되었다.

 최근에는 피싱이 트로이목마나 웜ㆍ바이러스와 결합하여 사용자 컴퓨터의 취약성을 이용함으로써 더욱 지능적으로 변화되었다. 사회공학적 기법을 사용한 이메일을 통해 첨부파일과 함께 사용자의 컴퓨터에 실행된 트로이목마는 사용자의 ID, 패스워드를 수집하거나 컴퓨터 모니터링 정보를 다른 사이트로 전송할 수 있다. 또한 웜ㆍ바이러스를 이용해 사용자 호스트파일을 변경시켜 전송경로를 재설정함으로써 원하는 사이트에 접속할 경우 피싱 사이트로 경로를 변경하는 기법과 ‘키보드로거’ 등의 스파이웨어 기법을 이용하여 실제 사이트에 접속한 사용자가 이용하는 ID, 패스워드를 수집하여 전송하는 기법이 널리 사용되고 있다[2]

 3. 피싱 위협의 특징

 피싱은 기술과 사회공학적 방법의 융합을 통해 공격을 시도한다. 피싱 공격자는 이용자의 중요정보 수집을 위해 타인과의 상호작용을 통해 타인을 속여서 규정된 보안절차를 무력화시키는 비 기술적 방법으로 침해를 시도한다. 또한 피싱 공격자는 사람의 정보 기술 의존도가 심화되는 문화에 빠르게 적응하지 못하는 상황을 이용한다.

 피싱은 금전적 피해를 유발할 수 있다. 피싱 공격을 통해 개인의 금융정보를 획득하여 개인 금융계좌에서 돈을 유출하여 개인에게 금전적인 피해를 유발할 수 있다. 피싱 공격은 유명기관의 브랜드에 대한 고객 신뢰를 이용하여 유명기관의 웹 사이트로 위장하면서 기업의 인지도를 손상시킬 수 있다.

 피싱 공격의 유형은 역동적으로 변화하며 위협 모델도 급속히 변화한다. 피싱은 지속적인 변화를 거듭하면서 대응책이 나올 때마다 지능적인 사기범들은 이를 교묘히 피할 수 있는 새로운 공격기법을 개발한다. 고도의 숙련된 범죄집단이 피싱을 이용하여 사기범죄를 수행할 가능성도 더욱 증대하고 있다.

 피싱은 기존의 전통적인 방식의 사기와는 다른 지능적인 기술을 이용하므로 기술적, 법제도적 대응이 매우 어렵다. 피싱은 메일, 웹 기술을 이용한 사기 수법으로 기존의 사기와는 달라 지능화된 대응 기술이 필요하다. 피싱 대응을 위한 기술로 메일 인증, 웹 사이트 인증 기술의 이용이 필요하다. 피싱사고 대응을 위한 법제도 제정도 매우 어렵다.

파밍에 대해 자료들을 좀 모아봤습니다.

합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프락시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법.

'피싱(Phishing)'에 이어 등장한 새로운 인터넷 사기 수법이다. 넓은 의미에서는 피싱의 한 유형으로서 피싱보다 한 단계 진화한 형태라고 할 수 있다.

그 차이점은 피싱은 금융기관 등의 웹사이트에서 보낸 이메일로 위장하여 사용자로 하여금 접속하도록 유도한 뒤 개인정보를 빼내는 방식인데 비하여, 파밍은 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취하는 수법이다.

피싱의 경우에는 사용자가 주의 깊게 살펴보면 알아차릴 수 있지만, 파밍의 경우에는 사용자가 아무리 도메인 주소나 URL 주소를 주의 깊게 살펴본다 하더라도 쉽게 속을 수밖에 없다. 따라서 사용자들은 늘 이용하는 사이트로만 알고 아무런 의심 없이 접속하여 개인 아이디(ID)와 암호(password), 금융 정보 등을 쉽게 노출시킴으로써 피싱 방식보다 피해를 당할 우려가 더 크다.

파밍에 의한 피해를 방지하기 위해서는 브라우저의 보안성을 강화하고, 웹사이트를 속일 수 있는 위장 기법을 차단하는 장치를 마련해야 하며, 전자서명 등을 이용하여 사이트의 진위 여부를 확실하게 가릴 수 있도록 하여야 한다. 또 사용하고 있는 DNS 운영 방식과 도메인 등록 등을 수시로 점검해야 한다.

---------------------------------------------------------------------------------------------
다이렉트 마케팅 업계 단체인 Direct Marketing Association(DMA)는 2005년 3월 스팸메일 방법의 워스트 5를 미국 시간으로 4월 21일 발표했다. 조사는 사이버 범죄 대책에 임하는 단체 National Cyber-Forensics and Training Alliance(NCFTA)가 실시하였다.

미 CyberSource의 조사 결과에 의하면, 2004년 온라인 사기 피해액은 전년대비 37% 증가한 26억 달러였다. DMA의 Patricia Kachura씨는 "소비자나 기업 똑같이 개인정보나 재무 정보의 수집을 노리는 수법에 대해서 항상 주의하지 않으면 안 된다."라고 말했다.

2005년 3월 스팸메일 사기수법의 워스트 5는 다음과 같다.

1. Pharming 공격

파밍은 유저의 리퀘스트를 리디렉트하여 다른 사이트에 유도하는 온라인 사기로서, 예를 들어 감염 컴퓨터로 특정 은행과 거래를 하는 경우 주소바에 그 은행의 URL를 입력하면 진짜와 똑같은 가짜 사이트로 유도된다. 파밍은 DNS 서버의 탈취에 의해 발생할 가능성도 있다.

2. Google 해킹

검색 엔진의 Google를 이용하여 개인정보가 도둑맞는 경우가 있다. 개인이 Web상에 업로드한 이력서 등에서 사회 보장 번호, 가족의 이력, 주소, 전화 번호, 학력 등이 포함되는 문서로부터 정보를 수집할 수 있다. 이러한 것을 알지 못하고 정보를 제공해 버린 개인은 정보 절도를 당하기 쉽다.

3.FBI의 이름을 인용해 송신되는 바이러스 감염/스팸메일

FBI는 같은 국의 이름을 말해 송신되고 있는 바이러스 감염 메일에 대한 경고를 발표하고 있다. 이런 종류의 스팸메일은 '조사에 의해 위법한 Web 사이트를 방문하고 있었던 것이 밝혀졌다'고 하고, 수신자에게 첨부 파일의 질문에 답하도록 재촉한다. 첨부 파일에는 「W32.Sober.K@mm」가 잠복해 있고, 발송자는 police@fbi.gov, fbi@fbi.gov, officer@fbi.gov, web@fbi.gov라고 하는 주소로부터 송신된 것처럼 가장하고 있다.

4. Phishing

피싱 공격은 전자 메일로 가짜 Web 사이트에 수신자를 유도하여 개인정보를 입력하도록 재촉한다, 또는 트로이 목마의 공격이나 바이러스를 컴퓨터상에 올려놓는다. 이 공격에서는 사회적으로 신뢰 받고 있는 금융기관, 온라인숍, ISP, 크레디트 카드 회사 등의 브랜드명이 이용되고 있다.

5. Nigerian 사기 수법

가짜 대출 이야기 등을 사용하는 사기 메일로, 수신자에게 수수료를 요구하거나 거래를 행하기 위해서 개인의 경제 정보 등을 요구하는 것이다. 이런 종류의 사기 행위는 해일 관련 사기와 함께 부활했다.

이러한 사기의 피해를 당하지 않기 위해서 DMA는 로그인명, 패스워드, 크레디트 카드 번호, PIN 번호, 은행계좌 번호, 가족 이름, 사회 보장 번호, 생일을 포함한 개인정보를 신뢰할 수 없는 상대에게 가르쳐 주지 않는 것을 권하고 있다.

또, 이러한 정보를 요구하는 전자 메일에 답장하지 않는 것이 좋다고 하고 있다. 그 외에도 같은 패스워드를 복수의 사이트에서 사용하거나 「.exe」, 「.d11」라는 확장자(extension)를 가진 첨부 파일은 열지 않도록 경고하고 있다.

-----------------------------------------------------------------------------

국민은행과 농협의 인터넷뱅킹 홈페이지 주소를 변경해 가짜 홈페이지에 접속한 고객의 개인정보를 빼가는 신종 해킹 사고가 발생했다.

한국정보보호진흥원은 해커가 대만에 서버를 두고 국민은행과 농협 인터넷뱅킹 고객의 공인인증서 5000여개를 탈취해간 사고가 최근 발생했다고 21일 발표했다.

이번 사고는 인터넷뱅킹 고객을 가짜 홈페이지에 접속하게 해 개인정보를 빼갔다는 점에선 피싱의 일종이다.

그러나 이메일을 통해 가짜 홈페이지로 유도하는 일반 피싱과 달리 사용자 PC에 트로이목마를 심어 인터넷뱅킹 IP주소를 변경,주소창에 주소를 정확히 입력해도 가짜 사이트가 뜨게 하는 파밍 수법까지 동원됐다.

해커는 파일 공유(P2P) 사이트,음란 사이트 등에 악성코드를 심어 사이트 접속자의 PC에 트로이목마를 설치했다.

이 트로이목마를 통해 PC에 저장된 인터넷뱅킹 IP주소를 변경했다.

그 결과 이 PC로 국민은행이나 농협 인터넷뱅킹 홈페이지 주소를 정확히 입력해도 가짜 홈페이지가 뜨게 했다.

인터넷뱅킹 이용자가 이 사실을 모르고 가짜 홈페이지에 접속해 아이디,패스워드,계좌번호 등을 입력하는 순간 탈취해갔다.

사고는 한 회사원이 인터넷뱅킹 홈페이지가 평소와 다른 점을 수상히 여겨 정보통신부 산하 한국정보보호진흥원 인터넷침해사고대응지원센터에 신고하면서 밝혀졌다.

단계별로 고객정보를 요구하는 평소 화면과 달리 인터넷뱅킹 계좌번호,공인인증서 비밀번호,보안카드 번호 등을 한꺼번에 입력하라고 요구하는 화면이 떴던 것.

가짜 홈페이지에 개인정보를 입력한 인터넷뱅킹 고객은 30여명으로 파악됐다.

성재모 금융보안연구원 팀장은 "가짜 홈페이지를 차단하고 유출된 공인인증서를 모두 폐기하는 등 신속히 대응했다"며 "자칫 큰 사고로 이어질 뻔했다"고 말했다.


○파밍(Pharming)=해커가 인터넷뱅킹 등의 사이트 주소를 관할하는 도메인서버를 직접 공격해 IP주소를 변경함으로써 주소창에 정확한 주소를 입력해도 해커가 만들어 놓은 가짜 사이트가 뜨게 하는 신종 인터넷 사기수법.이번 사고에서는 국민은행과 농협의 서버를 직접 공격하지 않고 트로이목마를 인터넷뱅킹 이용자 PC에 심어 IP주소를 바꾸는 간접적인 방법이 사용됐다.


이미지를 클릭하시면 원본크기로 보실수 있습니다.

------------------------------------------------------------------------------

+ Recent posts