주간동아 852

2012.08.27

피싱의 진화…눈 뜨고 발등 찍힐라

스팸메일에 호스트 주소 조작…금융 관련 정보 입력 땐 요주의

  • 문보경 전자신문 부품산업부 기자 okmun@etnews.co.kr

    입력2012-08-27 09:37:00

  • 글자크기 설정 닫기
    피싱의 진화…눈 뜨고 발등 찍힐라
    회사원 김모 씨는 평소 이용하던 A은행으로부터 금융상품에 관한 홍보 이메일을 받고 링크 주소를 클릭했다. 개인정보를 입력하라는 내용이 담겨 있었지만 이메일 발신자 주소가 A은행이어서 아무런 의심도 하지 않았다.

    인터넷창에는 A은행 홈페이지가 보였지만 평소와 다른 팝업창이 떴다. 어느 사이트건 팝업창이 뜨는 것은 자연스러운 일이라 생각한 김씨는 관심 있던 금융상품 소개 팝업창에 나온 안내대로 인증번호와 비밀번호 등을 입력했다. 그 뒤 사건은 터졌다. 통장에서 잔액이 없어진 것이다. 알고 보니 이메일은 조작된 것이었고, 팝업창에 입력한 정보는 피싱을 하려는 자들에게 송신됐다. 신종 피싱이었던 것이다.

    최근에는 이보다 더한 일이 일어났다. 위의 사례는 팝업창을 이용해 정보를 빼돌린 경우로 메인 인터넷 사이트는 진짜였다. 그런데 아예 인터넷 사이트의 호스트 주소를 조작하는 일까지 일어나고 있다. 즐겨찾기를 통해 방문하는데도 가짜 사이트로 넘어가 중요 정보를 넘겨주는 사건이 발생하고 있는 것.

    이처럼 안전하다고 믿었던 금융기관 사이트까지 해킹에 이용되는 등 피싱 수법이 갈수록 교묘해지고 있다. 그동안 피싱이라고 하면 전화나 메신저를 이용한 사기라고 생각했지만, 사기 수법은 상상을 초월하는 정도에 이르렀다. 정부와 보안업체 등은 진화하는 피싱에 대해 각종 대책을 내놓고 있으나, 무엇보다 서비스를 이용하는 개개인의 주의가 필요하다고 전문가들은 조언한다.

    안전한 금융기관 사이트까지 이용



    피싱(phishing)은 개인정보(private data)와 낚시(fishing)를 합성한 조어로, 인터넷과 전화 등을 통해 개인정보를 빼내고 이를 불법적으로 이용하는 사기 수법이다. 인터넷을 통해 개인정보가 유출되기 시작하던 초기에는 보이스피싱 정도만 득세했으나 지금은 그 수법이 점차 다양해지고 있다. 스팸메일, 호스트 주소 조작 등을 이용한 신종 피싱을 포함해 피싱 피해는 1년에 수만 건에 달한다. 보이스피싱 피해만 해도 수천 건에 이른다. 경찰청에 따르면 올해 상반기 보이스피싱 피해 건수는 4041건이다. 지난해 하반기(4898건)보다 감소했지만 지난해 상반기(3346건)보다는 증가한 수치다.

    최근에는 휴가철을 이용한 스팸메일로 피싱을 시도하는 사례가 많아졌다. 보안업체인 지란지교소프트가 국내 200여 개사의 이메일 데이터를 분석한 결과, 최근 VISA카드를 사칭한 스팸메일이 새롭게 등장했다. 이 스팸메일은 “수신자의 카드가 비정상적으로 사용된 흔적을 발견했다”면서 카드를 계속 사용하려면 확인이 필요하다는 메시지를 포함한다.

    또 확인하지 않을 경우 카드 사용이 일시적으로 정지될 수 있다고 경고한다. VISA카드를 사용하는 사람이라면 이런 이메일에 놀라는 것이 당연하다. 수신자가 확인을 위해 이메일에 포함된 첨부파일을 실행하면 카드번호와 CVV 번호, 주소, 사회보장번호(우리나라 주민등록번호) 같은 개인정보를 입력하라고 한다. 작성 후 ‘실행(submit)’ 버튼을 클릭하면 VISA카드 사이트가 아닌 피싱 사이트로 고객 정보가 넘어간다.

    앞서 설명한 사례처럼 인터넷뱅킹 계좌를 해킹당하는 사례도 빈발하고 있다. 어도비 플래시 플레이어, 오라클 자바(JAVA)의 취약점 등을 이용한 국내 시중은행 표적용 악성코드가 지속적으로 발견된다. 사용자 컴퓨터가 보안에 취약할 경우 악성코드가 심어진 사이트를 이용하면 감염되기 쉽다.

    이렇게 사용자 컴퓨터에 악성코드가 깔리면, 사용자는 인터넷뱅킹 사이트에 접속해도 호스트 주소가 변경된다. 주소를 정확하게 입력했다 해도 피싱 사이트로 연결되는 것이다. 이를 모르는 사용자는 금융 관련 정보를 입력해 결국 사기로 이어진다. 웹하드 등에서 영화를 불법으로 내려받다가 인터넷뱅킹 계좌를 해킹당하는 사례가 많아지면서 금융감독원과 경찰청은 주의보를 발령했다.

    보이스피싱도 나날이 진화하고 있다. 그동안 여러 사이트를 통해 빼돌린 개인정보가 늘어나면서 사기 수법이 정교해진 것이다. 가족이나 출신 학교 등 개인정보가 많으면 많을수록 피해자는 쉽게 믿게 되므로 사기를 당하기도 쉽다. 최근에는 교직원을 사칭한 사람으로부터 대학에 합격했으니 등록금을 입금하라는 보이스피싱을 당한 사례도 있었다. 해당 대학에 지원했다는 중요한 개인정보가 없었다면 이 같은 사기는 불가능하다.

    개인정보를 수집한 공공기관과 기업이 철저한 보안을 통해 개인정보를 지켜야 한다. 위 사례들처럼 2차, 3차 피해를 낳기 때문이다.

    방송통신위원회는 7월부터 피싱 피해 예방을 위해 국제전화 식별제도를 도입했다. 보이스피싱 전화가 대부분 해외에서 걸려오는 점을 고려한 것이다. 중국이나 미국 등 해외에서 전화번호를 조작해 보이스피싱에 이용하는 사기행위를 방지할 수 있도록 했다.

    앞으로 수신자 전화기 화면에 뜨는 모든 해외 발신 국제전화번호 앞에는 00X, 00XXX 같은 국제전화 식별번호가 붙는다. 전화기 화면에 연락처 애칭이 뜨더라도 발신번호를 꼭 확인하고, 그 번호가 ‘00’으로 시작하면 해외에서 걸려온 전화이므로 보이스피싱에 대비해 경각심을 가져야 한다.

    소비자가 지켜야 할 보안 3계명

    피싱의 진화…눈 뜨고 발등 찍힐라

    카카오톡은 피싱 방지를 위해 스마트 인지 기술을 적용했다.

    내년 1월 1일부터는 해외에서 국내로 걸려오는 전화번호가 국내 공공기관(수사기관, 금융기관 등)의 전화번호로 변경된 경우 해당 전화통화 자체를 차단한다. 온라인상에서 주민등록번호 수집도 금지된다. 또 이미 보유 중인 주민등록번호는 앞으로 2년 이내에 파기해야 한다.

    카카오톡에서도 피싱 피해 걱정을 덜 수 있게 됐다. 카카오톡을 서비스하는 ㈜카카오가 피싱을 시도하는 가짜 카카오톡 친구를 가려내는 스마트 인지 기술을 적용했기 때문이다. 대화 상대 중 한쪽만 전화번호를 가지고 있으면, 일대일 대화창에 프로필 이미지 대신 메시지를 보낸 사람이 가입한 국가의 국기가 나타난다. 이미 친구를 맺은 사용자 간, 한국 번호 사용자 간 대화창을 개설한 경우에는 적용되지 않는다. 피싱 대부분이 중국 등 해외에서 일어나기 때문에 이 기술을 적용했다. 카카오톡은 한쪽만 번호를 알면 채팅할 수 있어 이를 악용한 피싱이 일어난 바 있다.

    피싱을 막으려면 제도나 기술적 조치도 필요하지만 가장 중요한 것은 소비자의 주의다. 악성코드가 심어진 사이트에 방문하더라도 감염되지 않도록 보안패치를 설치하고 바이러스를 검사해야 한다. 금융기관 사이트 주소 변경 같은 무차별적 피해 사례도 악성코드에서 출발한다는 사실을 잊지 말아야 한다. 특히 보안이 취약해 보이는 사이트를 방문했을 경우에는 반드시 바이러스 검사를 실시한다.

    이미 수많은 개인정보가 유출됐다 해도 개인정보가 추가로 새어나가지 않도록 인터넷 사이트의 비밀번호를 자주 변경해야 한다. 같은 아이디와 비밀번호로 다양한 사이트를 방문해 정보를 수집하고, 이렇게 수집한 개인정보를 악용해 사기에 이용하는 사례가 늘고 있기 때문이다.

    무엇보다 조심할 것은 금전 거래다. 금융기관 사이트를 방문한 경우에도 금융 관련 정보를 입력할 때는 주의 깊게 살펴야 한다. 불필요한 정보를 요구하거나 예고도 없이 기존 이용 패턴과 달라졌다면 한 번쯤 의심해봐야 한다. 메신저로 돈을 부칠 것을 요구한다면 전화를 걸어 확인하는 자세도 필요하다.

    금융감독원 관계자는 “인터넷뱅킹 사이트에서는 보안카드 번호 전체를 요구하는 일이 없다”며 “정상적인 인터넷 주소이고 화면까지 같다고 해도 기존과 다른 정보를 요구한다면 그 즉시 창을 닫고 악성코드를 치료하는 등 각별한 주의가 필요하다”고 말했다.



    댓글 0
    닫기