피싱사이트 구분 방법

피싱(Phishing)이란, 개인정보(private data)와 낚시(fishing)의 조합어로 개인 정보를 불법으로 도용하기 위한 속임수의 한 유형이다. 일반적으로 공신력 있는 기관을 사칭하여 사용자를 속이는 사회공학적 기법을 주로 사용하여 수집 대상(사용자)이 가지고 있는 정보의 자발적, 능동적 입력을 유도한다. 지금까지의 피싱은 주로 해외에서 발견, 보고되었으나 올해 초 국내 은행을 대상으로 한 피싱이 출현해 이에 대한 주의가 더욱 필요한 상황이다. 과거 피싱은 공신력 있는 업체의 유명 도메인과 유사한(철자 하나를 변경하는 등) 도메인을 등록한 후 홈페이지를 동일하게 구성해 인터넷 이용자들이 실수로 접속하여 개인 정보를 기입하기를 기다리는 수법을 사용했다. 하지만 최근에는 사용자 개인 정보 취득 목적의 위조된 홈페이지를 개설한 후 개인 정보 수정을 공식 요청하는 변조된 메일을 불특정 다수에게 전송한다. 메일 수신자는 피싱 메일에 속아 링크된 주소의 위조된 홈페이지에 접속해 개인 정보를 자발적으로 입력하게 된다. 과거에는 많은 지식이 필요하지 않았으나, 최근에는 사용자들이 인지하기 어렵게 교묘한 방법과 다양한 기술을 사용하고 있다. 피싱도 점점 진화하고 있는 셈이다.

피싱에 사용되는 주요 기술 7가지

피싱이 개인 정보를 낚기 위해 사용하는 방법이나 기술은 대략 일곱 가지가 있다. ● 사용자를 유도하기 위한 문구를 사용한다. 가령 “48시간 이내에 응답하지 않으면 계좌가 정지됩니다.” “패스워드 변경 안내” “고객님의 회원 정보 확인은 다음 링크를 클릭하십시오.” 등의 문구를 사용해 사용자들이 피싱 사이트로 접속하도록 유도한다. ● 의도적으로 URL 문자를 누락하거나 변형한다. 가령 한국은행의 인터넷 주소는 www.hankookbank.com인데 이를 www.hangookbank.com으로 변형하는 것이다. ● 팝업 창을 이용해 가짜 사이트 주소를 은폐한다. 이메일을 열었을 때 팝업창을 띄워서 연결된 사이트 주소를 은폐하는 데 사용한다. ● URL을 인코딩하거나 변경한다. 즉, 가짜 사이트의 링크 주소를 사용자가 알기 어렵도록 조작한다. http://7763631761/elogin.html 혹은 http://%77%77%77%77.3%65%653-%69%6c11%6c%693%6c%69%6c%6c.%6f%72%67 같은 형태를 띤다. ● URL의 데이터 필드를 조작해 공격자가 의도한 사이트로 유도하거나 심지어 웹 페이지에서 XSS(Cross-site Scripting) 공격 코드를 실행할 수 있다. (예) http://bank.com/ebanking?URL=http://victim.com/phishing/fakepage.html ● 인터넷 브라우저의 취약점을 이용해 사용자가 인지하기 어렵게 한다. 취약점의 한 예인 ‘IE URL Mishandling’의 경우 특정 캐릭터를 사용하면 이후 URL을 감출 수 있는데 이때 로그인 캐릭터 위치에 피싱 사이트를 삽입할 수 있다. ● DNS(Domain Name System), 호스트 파일 또는 프록시 서버의 주소를 직간접적으로 변조하는 파밍(Pharming) 기법이 있다. 위조된 이메일 또는 홈페이지를 이용하는 피싱과 달리 파밍은 사용자가 더 쉽게 속는다. 예를 들어, 윈도의 호스트 파일에 www.bank.com의 주소가 특정 사이트로 기록되어 있는 경우 원래의 www.bank.com이 아닌 곳으로 접속되어 사용자는 정상 사이트로 오인하기가 쉽다.

실제 피싱의 사례를 보면 위에서 언급한 것과 같이 단순한 방법에서부터 시작하여 기술적 방법의 동원까지 다양하게 존재하고 있는데, 다음 [그림 2]는 URL 변조와 정상 웹 사이트 이미지를 사용 한 방법이다. 정상 사이트의 소스태그, 이미지, 참조링크 등을 그대로 인용하여 사용했기 때문에 외형적인 면에서는 정상사이트와 차이가 없어 주의 깊게 살펴보지 않으면 정상 사이트로 오인하기 쉽다.

한편 주로 해외에서만 발생했던 피싱이 올해 1월 국내 은행권을 대상으로 본격 등장해 우리 나라도 더 이상 안전 지대가 아님을 보여주었다. 특히 이번 피싱은 트로이목마와 결합한 지능적인 형태여서 주목을 받았다. 이번 국내 피싱 사건의 주범인 뱅키.101376 트로이목마는 뱅키.61440 트로이목마에 의해 설치된다. 뱅키.101376이 설치된 PC에서 특정 은행 웹사이트 주소를 입력하면 해당 은행 웹사이트로 위장한 가짜 웹사이트가 열린다. 여기에 주민등록번호, 이름, 통장비밀번호, 인증서비밀번호, 보안카드비밀번호 등 금융 거래를 위한 여러 가지 개인 정보를 입력하도록 유도한다. 뱅키.101376 트로이목마는 크게 세 가지 악의적인 기능을 갖고 있다. 첫째, 특정 게임 사용자의 ID 와 패스워드를 유출한다. 사용자의 키보드, 마우스 입력을 후킹하여 수집한 정보를 특정 사이트로 전송한다. 둘째, 호스트 파일을 변경한다. 인터넷 뱅킹 사용자의 ID와 패스워드를 유출하기 위해 사용자 시스템의 호스트 파일을 변경해 특정 피싱 사이트로 접속을 유도한다. 이렇게 사용한 기법을 더욱 작게 나눠보면 ‘파밍’으로 분류할 수도 있다. 셋째, 인터넷 뱅킹 관련 인증서 파일들을 압축하여 특정 사이트로 유출을 시도한다.

피싱 사이트, 이렇게 가려내라

그렇다면 어떻게 피싱 사이트와 정상적인 인터넷 뱅킹 사이트를 구분할 수 있을까? 첫째, 공인인증서 비밀번호, 계좌비밀번호, 보안카드 비밀번호 등 개인 정보를 여러 창에 걸쳐 입력하게 돼 있지만, 피싱 사이트는 한 화면에서 동시에 입력하도록 돼 있다. 둘째, 이체 거래 때 정상 사이트는 화면 상에 자신의 출금계좌번호를 선택하게 돼 있지만, 피싱 사이트는 이용자가 직접 입력하도록 돼 있다. 셋째, 정상 사이트는 로그인 절차(ID, 패스워드 또는 공인인증서 입력)를 거쳐야 인터넷 뱅킹 화면이 나타나는 반면, 피싱 사이트는 화면 상의 주소 창에 은행 주소만 치면 바로 화면이 나타난다. 넷째, 정상 사이트는 보안카드 비밀번호 2자리를 2회만 입력하도록 요구하나, 피싱 사이트는 그 이상의 자릿수 및 횟수를 입력하도록 요구한다. 다섯째, 정상 사이트는 공인인증서 비밀번호 입력 시 별도의 인증서 선택 창이 뜨지만, 피싱 사이트는 화면에서 직접 입력하게 돼 있다. 한편 피싱 사기에 걸려들지 않으려면 다음과 같은 방법을 사용한다. - 최신 윈도우 보안 패치 및 바이러스 백신 프로그램의 주기적 업데이트 - 피싱 사이트 차단 툴바 및 소프트웨어의 사용 - 출처가 불분명한 이메일이나 첨부 파일은 열람 금지 - PC방과 같은 공공 장소의 컴퓨터에서 인터넷 금융 거래 자제 - 믿을 수 없는 사이트는 방문하지 않기 또한 대다수의 기업은 전자 메일을 통해 암호, 로그인 이름, 주민 등록 번호 또는 기타 개인 정보를 요구하지 않는 것이 일반적이므로, 이와 같은 메일을 받은 경우에는 우선 경계해야 한다. 피싱 메일은 제작 기술이 어렵지 않고 간단해 앞으로도 증가할 것으로 예측된다. 이것은 악성코드가 과거 제작자들의 실력을 과시하거나 단순히 감염시키려는 것과 달리 최근에 금전적 이익과 연계되는 추세와도 관련이 있다. 이번 국내 은행을 겨냥한 피싱 사건과 같이 트로이목마와 피싱의 결합은 앞으로도 유사한 형태의 출현을 예고하고 있다. 이제 피싱은 단순히 사회공학적 기법만을 이용해 사용자를 속이는 데서 그치지 않고 최근의 흐름과 같이 다양한 방법을 동원해 사용자 정보를 유출해 심각한 사회 문제를 야기할 것이다. ‘개인정보’ 이슈는 사회 기반이 첨단 정보화할수록 해결해야 할 큰 과제로 대두할 것이다. http://sabo.ahnlab.com/200703/ahn_03_01.shtml?email_nm=securityletter167&target_page_nm=ab005