| 피싱-파밍-보이스 피싱 등 공격 계속될 전망 전자금융 이용자의 보안의식이 가장 중요 크래커들은 이제 공공연히 자신들이 노리는 것이 오로지 ‘돈’이란 것을 대외적으로 밝히고 있다. 일반적인 해커들 대부분이 정보보호를 위해 해킹을 공부하는 반면, 크래커들은 음지에서 배운 해킹 실력을 가지고 타인의 개인정보를 탈취해 게임 아이템을 빼내 이것을 현금화하는가 하면, 다수를 상대로 무작위 악성코드를 뿌려 악성코드에 감염된 한 이용자 PC를 원격에서 조정하면서 정보를 빼내는 수법을 사용하기도 한다. 이때 크래커들이 노리는 정보의 대부분은 금융정보들이다. 금융정보를 빼내 이용자 모르게 돈을 빼내가는 수법이다. 이렇게 해킹을 통해 금융정보를 빼내 돈을 갈취하는 방법도 있지만, 최근 크래커들은 피싱이나 파밍을 통해 너무도 자연스럽게 전자금융 이용자들의 돈을 실제로 빼내가고 있다. 얼마전 스팸메일 차단 솔루션 개발 업체 지란지교소프트에서는 스팸차단 솔루션 도입 업체들의 이메일 유통량을 조사한 결과, 지난 2월 7일 경부터 13일까지 약 일주일간 유통된 전체 이메일 2억1700만 통 중 약 80만 통이 두 외국계 은행 이름으로 발송된 은행 피싱 메일인 것으로 나타났다고 발표한바 있다. 이 수치가 스팸메일 차단 솔루션에 걸러진 메일 수치인 것을 감안하면 실제 피싱 사이트에서 발생하는 스팸의 양은 어마어마하다고 볼 수 있다. 이런 금융권을 사칭하는 피싱 메일들은 가짜 URL을 클릭하게 만들어 가짜 은행 사이트로 이동하게 하고 이용자들이 해당 사이트에 금융 정보를 입력하면 그 정보를 빼내가서 실제로 돈을 인출해 가는 것이다. 또 지난 1월 19일에는 대만해커들이 국내 유명 포털 사이트를 해킹해 악성코드를 유포해 감염된 PC로부터 공인인증서 정보를 유출하고 국민은행과 농협 사이트로 위장해 사용자들의 주민등록번호와 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호가 유출되는 대형사고가 발생했다. 금융보안연구원 관계자는 “KISA에서 신고 접수 후, 즉시 국내 ISP 등을 통해 대만에 위치한 피싱사이트로의 접속을 차단시켰고, 금융결제원과 코스콤 등에서 유출된 공인인증서에 대해 즉각 폐기 처분했기 때문에 대규모 금융사고를 막을 수 있었다”고 말했다. 자칫 대형사고로 이어질 뻔했던 이 사건에 대해 금보연 관계자는 “인터넷뱅킹 사용자들은 자신의 컴퓨터 호스트 파일에서 금융회사가 특정 IP 주소로 설정되어있을 경우 해당 설정 부분을 제거하고 보안패치를 수행해야만 한다. 그리고 금융거래 시 피싱 예방을 위해 사전에 계좌 확인 등 정당한 금융기관 사이트인지 확인 후 금융거래를 해야 한다. 자신의 PC가 악성코드에 감염되지 않도록 윈도우 보안패치를 자동화 설정하고, 최신 바이러스 백신을 사용해 PC를 주기적으로 점검해야 한다”고 강조했다. 한국정보보호진흥원에서는 앞으로 더욱 기승을 부릴 전자금융 공격의 피해를 최소화하기 위해 개인이용자들이 반드시 지켜야할 ‘전자금융 이용자 정보보호수칙 10가지’를 내놓았다. 이 열 가지 수칙에서도 ‘보안패치’ 설치는 가장 먼저 언급되고 있다. 전자금융거래를 위해 금융회사의 홈페이지에 접속하면 해당 금융회사에서 제공하는 보안프로그램이 자동적으로 설치된다. 이때, 임으로 중단하거나 설치된 보안프로그램의 실행을 중지시켜서는 안된다. 또한 자동적으로 설치가 되지 않을 경우에는 설치안내에 따라 수동으로 보안프로그램을 꼭 설치한 후에 전자금융거래를 실시해야 한다. 이렇게만 해도, 악성코드 유포로 인한 개인정보 유출은 상당수 차단할 수 있다. 또 전자금융 정보를 잘 보관해야 하고 이를 아무한테도 알려줘서는 안된다. 최근 기승을 부리던 보이스 피싱은 무작위로 전화를 해서 국세청에서 많이 납부한 세금 환급을 해준다고 나이든 어른들을 꼬드겨 이들의 돈을 빼내가는 수법이다. 이런 경우, 자신도 모르게 계좌번호와 비밀번호 등 금융정보를 알려주기 때문에 문제가 발생하는 것이다. 한편 비밀번호는 본인확인을 위한 수단이기 때문에, 생일, 전화번호 등과 같이 타인이 알기 쉬운 번호를 사용해서는 안된다. 또한, 가능한 범위내에서 비밀번호 자릿수를 최대한 늘리고, 영문자도 혼합사용해야 하며, 각각 다른 번호를 주기적으로 사용하고, 변경해 타인이 비밀번호를 예상하지 못하도록 해야 한다. 피싱을 막을 수 있는 방법도 있다. 스팸메일이나 게시판, 대출사이트 등에 링크되어 있는 URL을 그대로 클릭할 경우 개인정보나 금융정보를 빼내가려는 해당 기관의 사칭사이트로 연결될 수 있기 때문에, 금융거래 사이트는 주소창에 올바른 주소를 직접 입력하거나 즐겨찾기에 추가해 사용해야 한다. 또한 대부분의 은행에서는 자신이 사용한 전자금융거래 내역 등을 실시간으로 휴대폰 SMS나 메일을 통해 알려주는 서비스를 제공하고 있다. 이를 잘 활용해도 피해에 신속하게 대처할 수 있다. 이 외에도 금융 관련 정보들은 하드디스크에 보관하는 것보다 이동식 저장장치에 저장하는 것은 기본이며, PC방과 같이 여러 사람이 사용하는 공간에서는 인터넷 전자거래를 하지 않는 것이 가장 좋다. 또 상용백신이나 온라인 무료 백신을 상시로 활용해야 하고, 메신저나 메일을 통해 들어오는 첨부파일들은 신원이 확실한 경우가 아니고는 절대 열어봐서는 안된다. [전자금융 이용자 정보보호수칙 10가지]
길민권 기자 [보안뉴스 2007-03-05] http://kr.ahnlab.com/info/securityinfo/infoView.ahn?seq=9473&category=13&email_nm=securityletter166&target_page_nm=ab005 |
일반