신종 인터넷 금융사기 “피싱” 사용자 지갑 노린다

이 뉴스를 공유하기

개인 정보(Private data)와 낚시(fishing)의 합성어인 피싱(Phishing)

인터넷 사용의 증가로 말미암아 개개인의 정보 유출과 관련된 범죄는 날로 증가 추세에 있다.

▲ 인터넷 상에서 신용카드 번호의 유출이 우려 되고 있다.

이와 관련 메신저나 개인 홈피 채팅 등을 통해 상대방에 대해서 알아본 후 인터넷 메일로 접근, 사용자의 ‘지갑’을 노리는 신종 온라인 금융사기 ‘피싱(Phishing)’이 올들어 부쩍 늘고 있다.

이런 가운데 인터넷의 강국답게 미국과 한국이 이 부문에서 세계 1, 2위를 기록하고 있는 것으로 나타나 피싱 추방 대책이 시급한 것으로 지적되고 있다.

더 이상 완전하게 개인 정보의 유출을 막을 수는 없다. 개인 정보(Private data)와 낚시(fishing)의 합성어인 피싱(Phishing)은 주로 위장 홈페이지를 만든 뒤 불특정 다수의 이 메일 사용자에게 메일을 보내는 수법으로 수신자의 개인정보를 빼내 금융범죄에 악용하는 행위의 통칭이다.

지난해부터 조금씩 모습을 드러내던 피싱은 올들어 급속하게 늘어나고 있다. 보안 업체인 맥아피 자료에 따르면 현재까지 피싱 공격중 92% 이상이 올해 발견됐다.

미국, 영국 등 주요 영어권 국가의 금융 기관들은 ‘피싱과의 전쟁’을 선포하는 등 대응책 마련에 부심하고 있다. 마이크로소프트(MS), 야후 등 주요 정보기술(IT)업체들 역시 피싱 추방을 위해 손을 맞잡았다.

강신호<취재부 기자> [email protected]

▲ 분야별 피싱 건수

AOL 계정 도둑에서 유래

피싱은 1996년에 처음 등장했다. 당시 해커들이 아메리카온라인(AOL) 계정을 훔치려고 사용한 수법에서 유래됐다. AOL 직원으로 가장한 해커가 불특정 다수의 AOL 회원에게 ‘계정 확인 절차나 결제 정보 확인이 필요하니 비밀번호를 알려달라’는 인스턴트 메시지를 보낸다.

해커들은 회원들이 별다른 의심 없이 넘겨준 비밀번호로 다른 사람의 AOL 계정에 접근, 스팸 전송수단으로 사용했다는 것. 여기서 ‘비밀번호 수집 낚시’라는 피싱의 어원이 생겼다.

신고건수 매달 50%씩 증가

개인 금융 정보를 겨냥한 피싱 공격은 지난해 말에만 해도 눈에 띌 정도는 아니었다. 지난해 악명을 떨친 웜은 대부분 시스템을 공격하는 것들이었다.

하지만 올들어 상황이 급변하고 있다. 피싱 추방 선봉장을 자처하고 있는 안티-피싱 워킹그룹(APWG) 자료에 따르면 피싱 메일 신고 건수는 올들어 매달 평균 50%씩 증가했다고 전했다.

주 타깃은 역시 금융기관. 지난 7월 신고된 1천974건의 피싱중 금융기관을 겨냥한 것은 1천642건(83%)으로 절대 다수를 차지했다. 전자상거래 사이트가 258건(13%)으로 그 뒤를 이었다.

100건 중 96건 가량이 금융기관과 전자상거래 사이트 공격용으로 제작된 셈이다.

지난 7월 APWG에 신고된 피해건수는 시티뱅크(682건)가 가장 많았으며 US 뱅크(622건), 이베이(255건), 페이팔(147건), 아메리카온라인(AOL, 41건) 등이 그 뒤를 이었다.

가트너가 최근 발표한 자료에 따르면 미국에서 올해 피싱 관련 메일을 받은 사람은 약 5천700만 명이며, 19%인 1천100만 명이 위장 사이트에 접속한 것으로 나타났다. 이 중 178만 명이 개인 금융 정보를 제공한 것으로 나타났다. 피싱 메일 수신자의 약 3% 가량이 피해를 입었다는 얘기다.

피싱 메일이 늘고 있는 것은 최근 바이러스의 트렌드가 바뀌고 있는 것과 무관하지 않다. 그 동안 시스템 공략에 주력했던 해커들이 올해 들어 개인 금융정보 절취 쪽으로 눈을 돌리고 있는 것.

이와 관련 시티뱅크 인터넷 뱅킹 시스템의 한 관계자에 따르면 하루 보통 20~ 30건의 피싱 관련 피해 건수가 접수 된다고 한다. 이에 대한 보안 시스템이 제대로 갖추어 있지 않으면 언제든지 해커들의 공격대상이 될 수 있다” 고 전했다.

호기심 끌어 들인 뒤 ……고객들 집중 공격

어떤 경우에는 사용자가 웹 브라우저의 주소창에서 해당 URL을 볼 수 없게끔 설정, 합법적인 은행 웹 사이트에 접속한 것처럼 착각하게 만들기도 한다. 현재 발신인 메일 주소나 이름을 위장하는 도메인 사기(domain spoofing) 수법이 전체 피싱 메일의 95%에 달하는 것으로 알려지고 있다.

인터넷 보안 시스템의 한 관계자는 “앞으로 피싱은 사회공학적 기법과 결합돼 클라이언트를 집중 공격하게 될 것이다”고 주장했다. 사회공학적 기법이란 친근하거나 호기심을 끌만한 내용을 담은 이 메일을 이용해 개인 정보를 얻어내는 해킹 수법을 말한다.

그는 “앞으로 메일 ID를 공개하는 것마저 조심해야 할 상황이 올 수도 있다. 나를 잘 알고 있는 것처럼 메일을 보내면 꼼짝없이 당할 수 있기 때문이다”고 강조했다.

APWG 자료에 따르면 피싱 사이트 수명은 평균 6.1일로 나타났다. 또 가장 오래 존속한 피싱 사이트는 31일간이었던 것으로 드러났다.

이처럼 피싱 사이트 존속 기간이 짧은 것은 은행 및 보안 업체들이 해당 사이트 발견 시 바로 폐쇄조치를 취하기 때문이다. 결국 해커들은 이처럼 짧은 기간 동안 최대한 많은 정보를 수집하기 위해 각종 첨단 해킹 수법들을 총동원하고 있는 것이다.

BBC 뉴스 인터넷 판, 피싱 범죄 관련
주의해야 할 피싱 수법 보도

▲ 올해의 월별 피싱 건 수

BBC는 인터넷 판에서 피싱 공격이 여러분들의 개인 정보를 빼내 갈 수 있으며 이 공격으로 인해 많은 고역스러운 일 들이 일어날 것이라고 보안 전문가들의 말을 인용해 전했다.

인디애나 대학 사이버 보안 연구소의 소장 마커스 제이콥슨 박사는 새로운 공격의 형태로 온라인 소셜 연결망이나 메시지를 통해 개인 정보를 착취 등을 들었다.

게다가 범죄자들의 용의주도 함을 예로 들며 피해자들이 착각 할 수 있을 정도로 똑같이 만든 은행 홈페이지 등을 통해 인터넷 사용자들로 하여금 아무 의심없이 개인 정보를 공개하게 하는 일이 발생 한다며 반드시 다시 새로 입력한 주소를 통해 은행 홈페이지등을 방문 할 것을 당부 했다.

또한 개인의 친구나 친척을 가장해 이 메일로 접근 하는 등 수법이 갈수록 고도화 되고 있다고 전했다.

마지막으로 제이콥슨 박사는 기술의 발달로 인해 어느 정도의 피싱 수법은 예방 차원의 보안이 가능 하지만 인터넷 유저들의 각별한 주의가 요구된다고 말했다. 또한 정부가 강력히 개입하여 이러한 변화에 당연히 도움을 줄 수 있어야 하며 그들의 도움이 요구된다고 밝혔다.

브라질 경찰 피싱 수법 사기범 50명 체포

브라질 경찰이 피싱 수법을 이용해 인터넷 계좌에서 돈을 훔친 인터넷 사기범 50여명을 체포했다고 BBC 인터넷판이 21일 보도 했다.

인터넷 사기 혐의로 체포된 사람들은 바이러스가 감염된 파일이 첨부된 이메일을 보낸 뒤 인터넷 은행 계좌를 훔치는 방법을 사용했다고 브라질 연방 경찰이 밝혔다. 인터넷 금융 사기 사건 피해 규모는 3천만 달러를 웃도는 것으로 알려졌다.

축구와 삼바춤으로 유명한 브라질은 해킹과 인터넷 사기 천국으로 악명을 떨치고 있는 나라. 지난 9월 브라질 수도 브라질리아에서 개최된 회의에서 연방 경찰들은 “세계 해킹 사건 10건 중 8건을 브라질에서 발생한 것으로 집계됐다”고 주장했다.

당시 회의에서는 또 브라질에서는 인터넷 사기 규모가 은행 강도로 인한 피해 금액보다 훨씬 더 많다는 지적이 제기됐다. 보안 전문가들은 지난 해 브라질에서 발생한 해킹 사건이 9만6천건에 달하는 것으로 추산하고 있다.

동유럽 출신 4명의 남녀, 피싱 범죄로 영국서 체포

피싱 수법을 사용해 은행계좌 정보를 빼내려고 한 동유럽 출신의 남녀 4명이 영국 런던에서 체포됐다고 더 레지스터가 15일 보도했다.

이들은 은행 계좌 비밀 번호 등 세부 금융정보를 넘겨받은 후 온라인 뱅킹 계좌에서 돈을 빼내는 갱단의 일원인 것으로 알려졌다. 경찰은 현재 세 명의 또 다른 동유럽 출신 용의자를 쫓고 있다고 밝혔다.

체포된 이들은 각각 러시아, 에스토니아, 우크라이나 출신으로 모두 금융기관 사칭 사기 및 돈세탁 혐의로 영국 런던 바우 스트리트 치안재판소에 넘겨져 심문을 받았다. 보석 신청은 네 명 모두 기각됐으며 서더크 형사법원에서의 예비 심문은 21일에 있었다.

영국 일간지 파이낸셜 타임즈는 “이 사건은 재판소에서 ‘피싱 수법을 이용한 사기 범죄중 이렇게 국제적인 규모는 최초’인 것으로 묘사됐다”며 “현재 영국 국립 하이테크 범죄조사부 관리들이 이 사건을 맡고 있다”고 전했다.

영국에서는 약 1년 전에 등장한 금융사기 범죄 피싱은 갈수록 그 수법이 교묘해지고 복잡해지고 있어 소비자들의 각별한 주의 및 기업들의 대비가 한층 요구된다고 전했다.

영국 은행업 관련 모임인 안심결제서비스협회(APACS) 는 이번달 초 피싱 공격에 대해 소비자들에게 경고하는 뱅크세이프온라인(bank safeonline.org.uk)이라는 사이트를 개설하기도 했다. APACS 는 지난 해부터 지금까지 일어난 피싱 범죄로 인한 영국내 금융손실은 총 2천명, 750만 달러(450만 파운드)인 것으로 추산하고 있다.

피싱, 예방할 수 있다

피싱 메일 식별 요령

유형 1> 유명 은행, 카드사 등을 사칭

– 계좌번호-카드번호-비밀번호 등의 확인 또는 갱신을 유도한다.

– 확인 또는 갱신을 하지 않을 경우 거래가 중지된다는 식의 소란을 일으키거나 자극적인 문구를 사용한다.

– 업체 마크, 로고 등이 메일에 포함돼 있어도 위장 사이트일 수 있다.
포털 사이트, 혹은 은행, 카드회사 홈페이지 등을 사칭

– 경품당첨안내 또는 이벤트 참가 등을 유도하며 소셜번호, 휴대폰번호 등의 개인정보를 입력하도록 유도한다.

유형 2> 피싱 대응 요령

1. 은행, 카드사 등에 직접 전화를 걸어 이 메일이 안내하는 사항이 사실인지를 확인한다.

2. 이 메일에 링크된 주소를 바로 클릭하지 말고, 해당 은행, 카드사 등의 홈페이지 주소를 인터넷 주소창에 직접 입력해 접속한다.

3. 출처가 의심스러운 사이트에서 경품에 당첨됐음을 알리는 경우 직접 전화를 걸어 사실인지 확인하고, 사실인 경우에도 가급적이면 중요한 개인정보는 제공하지 않는다.

4. 피싱이라고 의심되는 메일을 받았을 경우 해당 은행, 카드사, 소비자 보호시스템에 신고한다.

5. 은행, 신용카드, Check카드 등의 사용 내용이 정확한지 정기적으로 확인한다.

@SundayJournalUSA (www.sundayjournalusa.com), 무단 전재 및 재배포 금지
이 뉴스를 공유하기