신종 인터넷 금융사기 “피싱” 사용자 지갑 노린다

▲ 인터넷 상에서 신용카드 번호의 유출이 우려 되고 있다.

이와 관련 메신저나 개인 홈피 채팅 등을 통해 상대방에 대해서 알아본 후 인터넷 메일로 접근, 사용자의 ‘지갑’을 노리는 신종 온라인 금융사기 ‘피싱(Phishing)’이 올들어 부쩍 늘고 있다.

이런 가운데 인터넷의 강국답게 미국과 한국이 이 부문에서 세계 1, 2위를 기록하고 있는 것으로 나타나 피싱 추방 대책이 시급한 것으로 지적되고 있다.

더 이상 완전하게 개인 정보의 유출을 막을 수는 없다. 개인 정보(Private data)와 낚시(fishing)의 합성어인 피싱(Phishing)은 주로 위장 홈페이지를 만든 뒤 불특정 다수의 이 메일 사용자에게 메일을 보내는 수법으로 수신자의 개인정보를 빼내 금융범죄에 악용하는 행위의 통칭이다.

지난해부터 조금씩 모습을 드러내던 피싱은 올들어 급속하게 늘어나고 있다. 보안 업체인 맥아피 자료에 따르면 현재까지 피싱 공격중 92% 이상이 올해 발견됐다.

미국, 영국 등 주요 영어권 국가의 금융 기관들은 ‘피싱과의 전쟁’을 선포하는 등 대응책 마련에 부심하고 있다. 마이크로소프트(MS), 야후 등 주요 정보기술(IT)업체들 역시 피싱 추방을 위해 손을 맞잡았다.

강신호<취재부 기자> [email protected]

	▲ 분야별 피싱 건수

AOL 계정 도둑에서 유래

피싱은 1996년에 처음 등장했다. 당시 해커들이 아메리카온라인(AOL) 계정을 훔치려고 사용한 수법에서 유래됐다. AOL 직원으로 가장한 해커가 불특정 다수의 AOL 회원에게 ‘계정 확인 절차나 결제 정보 확인이 필요하니 비밀번호를 알려달라’는 인스턴트 메시지를 보낸다.

해커들은 회원들이 별다른 의심 없이 넘겨준 비밀번호로 다른 사람의 AOL 계정에 접근, 스팸 전송수단으로 사용했다는 것. 여기서 ‘비밀번호 수집 낚시’라는 피싱의 어원이 생겼다.

신고건수 매달 50%씩 증가

개인 금융 정보를 겨냥한 피싱 공격은 지난해 말에만 해도 눈에 띌 정도는 아니었다. 지난해 악명을 떨친 웜은 대부분 시스템을 공격하는 것들이었다.

하지만 올들어 상황이 급변하고 있다. 피싱 추방 선봉장을 자처하고 있는 안티-피싱 워킹그룹(APWG) 자료에 따르면 피싱 메일 신고 건수는 올들어 매달 평균 50%씩 증가했다고 전했다.

주 타깃은 역시 금융기관. 지난 7월 신고된 1천974건의 피싱중 금융기관을 겨냥한 것은 1천642건(83%)으로 절대 다수를 차지했다. 전자상거래 사이트가 258건(13%)으로 그 뒤를 이었다.

100건 중 96건 가량이 금융기관과 전자상거래 사이트 공격용으로 제작된 셈이다.

지난 7월 APWG에 신고된 피해건수는 시티뱅크(682건)가 가장 많았으며 US 뱅크(622건), 이베이(255건), 페이팔(147건), 아메리카온라인(AOL, 41건) 등이 그 뒤를 이었다.

가트너가 최근 발표한 자료에 따르면 미국에서 올해 피싱 관련 메일을 받은 사람은 약 5천700만 명이며, 19%인 1천100만 명이 위장 사이트에 접속한 것으로 나타났다. 이 중 178만 명이 개인 금융 정보를 제공한 것으로 나타났다. 피싱 메일 수신자의 약 3% 가량이 피해를 입었다는 얘기다.

피싱 메일이 늘고 있는 것은 최근 바이러스의 트렌드가 바뀌고 있는 것과 무관하지 않다. 그 동안 시스템 공략에 주력했던 해커들이 올해 들어 개인 금융정보 절취 쪽으로 눈을 돌리고 있는 것.

이와 관련 시티뱅크 인터넷 뱅킹 시스템의 한 관계자에 따르면 하루 보통 20~ 30건의 피싱 관련 피해 건수가 접수 된다고 한다. 이에 대한 보안 시스템이 제대로 갖추어 있지 않으면 언제든지 해커들의 공격대상이 될 수 있다” 고 전했다.

호기심 끌어 들인 뒤 ……고객들 집중 공격

어떤 경우에는 사용자가 웹 브라우저의 주소창에서 해당 URL을 볼 수 없게끔 설정, 합법적인 은행 웹 사이트에 접속한 것처럼 착각하게 만들기도 한다. 현재 발신인 메일 주소나 이름을 위장하는 도메인 사기(domain spoofing) 수법이 전체 피싱 메일의 95%에 달하는 것으로 알려지고 있다.

인터넷 보안 시스템의 한 관계자는 “앞으로 피싱은 사회공학적 기법과 결합돼 클라이언트를 집중 공격하게 될 것이다”고 주장했다. 사회공학적 기법이란 친근하거나 호기심을 끌만한 내용을 담은 이 메일을 이용해 개인 정보를 얻어내는 해킹 수법을 말한다.

그는 “앞으로 메일 ID를 공개하는 것마저 조심해야 할 상황이 올 수도 있다. 나를 잘 알고 있는 것처럼 메일을 보내면 꼼짝없이 당할 수 있기 때문이다”고 강조했다.

APWG 자료에 따르면 피싱 사이트 수명은 평균 6.1일로 나타났다. 또 가장 오래 존속한 피싱 사이트는 31일간이었던 것으로 드러났다.

이처럼 피싱 사이트 존속 기간이 짧은 것은 은행 및 보안 업체들이 해당 사이트 발견 시 바로 폐쇄조치를 취하기 때문이다. 결국 해커들은 이처럼 짧은 기간 동안 최대한 많은 정보를 수집하기 위해 각종 첨단 해킹 수법들을 총동원하고 있는 것이다.

BBC 뉴스 인터넷 판, 피싱 범죄 관련
주의해야 할 피싱 수법 보도

▲ 올해의 월별 피싱 건 수

BBC는 인터넷 판에서 피싱 공격이 여러분들의 개인 정보를 빼내 갈 수 있으며 이 공격으로 인해 많은 고역스러운 일 들이 일어날 것이라고 보안 전문가들의 말을 인용해 전했다.

인디애나 대학 사이버 보안 연구소의 소장 마커스 제이콥슨 박사는 새로운 공격의 형태로 온라인 소셜 연결망이나 메시지를 통해 개인 정보를 착취 등을 들었다.

게다가 범죄자들의 용의주도 함을 예로 들며 피해자들이 착각 할 수 있을 정도로 똑같이 만든 은행 홈페이지 등을 통해 인터넷 사용자들로 하여금 아무 의심없이 개인 정보를 공개하게 하는 일이 발생 한다며 반드시 다시 새로 입력한 주소를 통해 은행 홈페이지등을 방문 할 것을 당부 했다.

또한 개인의 친구나 친척을 가장해 이 메일로 접근 하는 등 수법이 갈수록 고도화 되고 있다고 전했다.

마지막으로 제이콥슨 박사는 기술의 발달로 인해 어느 정도의 피싱 수법은 예방 차원의 보안이 가능 하지만 인터넷 유저들의 각별한 주의가 요구된다고 말했다. 또한 정부가 강력히 개입하여 이러한 변화에 당연히 도움을 줄 수 있어야 하며 그들의 도움이 요구된다고 밝혔다.

브라질 경찰 피싱 수법 사기범 50명 체포

브라질 경찰이 피싱 수법을 이용해 인터넷 계좌에서 돈을 훔친 인터넷 사기범 50여명을 체포했다고 BBC 인터넷판이 21일 보도 했다.

인터넷 사기 혐의로 체포된 사람들은 바이러스가 감염된 파일이 첨부된 이메일을 보낸 뒤 인터넷 은행 계좌를 훔치는 방법을 사용했다고 브라질 연방 경찰이 밝혔다. 인터넷 금융 사기 사건 피해 규모는 3천만 달러를 웃도는 것으로 알려졌다.

축구와 삼바춤으로 유명한 브라질은 해킹과 인터넷 사기 천국으로 악명을 떨치고 있는 나라. 지난 9월 브라질 수도 브라질리아에서 개최된 회의에서 연방 경찰들은 “세계 해킹 사건 10건 중 8건을 브라질에서 발생한 것으로 집계됐다”고 주장했다.

당시 회의에서는 또 브라질에서는 인터넷 사기 규모가 은행 강도로 인한 피해 금액보다 훨씬 더 많다는 지적이 제기됐다. 보안 전문가들은 지난 해 브라질에서 발생한 해킹 사건이 9만6천건에 달하는 것으로 추산하고 있다.

동유럽 출신 4명의 남녀, 피싱 범죄로 영국서 체포