2007.03.21 13:22

피싱사이트 구분 방법

피싱(Phishing)이란, 개인정보(private data)와 낚시(fishing)의 조합어로 개인 정보를 불법으로 도용하기 위한 속임수의 한 유형이다. 일반적으로 공신력 있는 기관을 사칭하여 사용자를 속이는 사회공학적 기법을 주로 사용하여 수집 대상(사용자)이 가지고 있는 정보의 자발적, 능동적 입력을 유도한다. 지금까지의 피싱은 주로 해외에서 발견, 보고되었으나 올해 초 국내 은행을 대상으로 한 피싱이 출현해 이에 대한 주의가 더욱 필요한 상황이다.

과거 피싱은 공신력 있는 업체의 유명 도메인과 유사한(철자 하나를 변경하는 등) 도메인을 등록한 후 홈페이지를 동일하게 구성해 인터넷 이용자들이 실수로 접속하여 개인 정보를 기입하기를 기다리는 수법을 사용했다.

하지만 최근에는 사용자 개인 정보 취득 목적의 위조된 홈페이지를 개설한 후 개인 정보 수정을 공식 요청하는 변조된 메일을 불특정 다수에게 전송한다. 메일 수신자는 피싱 메일에 속아 링크된 주소의 위조된 홈페이지에 접속해 개인 정보를 자발적으로 입력하게 된다.

과거에는 많은 지식이 필요하지 않았으나, 최근에는 사용자들이 인지하기 어렵게 교묘한 방법과 다양한 기술을 사용하고 있다. 피싱도 점점 진화하고 있는 셈이다.

 
피싱에 사용되는 주요 기술 7가지
 

피싱이 개인 정보를 낚기 위해 사용하는 방법이나 기술은 대략 일곱 가지가 있다.
● 사용자를 유도하기 위한 문구를 사용한다. 가령 “48시간 이내에 응답하지 않으면 계좌가 정지됩니다.” “패스워드 변경 안내” “고객님의 회원 정보 확인은 다음 링크를 클릭하십시오.” 등의 문구를 사용해 사용자들이 피싱 사이트로 접속하도록 유도한다.
● 의도적으로 URL 문자를 누락하거나 변형한다. 가령 한국은행의 인터넷 주소는 www.hankookbank.com인데 이를 www.hangookbank.com으로 변형하는 것이다. ● 팝업 창을 이용해 가짜 사이트 주소를 은폐한다. 이메일을 열었을 때 팝업창을 띄워서 연결된 사이트 주소를 은폐하는 데 사용한다.
● URL을 인코딩하거나 변경한다. 즉, 가짜 사이트의 링크 주소를 사용자가 알기 어렵도록 조작한다. http://7763631761/elogin.html 혹은 http://%77%77%77%77.3%65%653-%69%6c11%6c%693%6c%69%6c%6c.%6f%72%67 같은 형태를 띤다.
● URL의 데이터 필드를 조작해 공격자가 의도한 사이트로 유도하거나 심지어 웹 페이지에서 XSS(Cross-site Scripting) 공격 코드를 실행할 수 있다. (예) http://bank.com/ebanking?URL=http://victim.com/phishing/fakepage.html
● 인터넷 브라우저의 취약점을 이용해 사용자가 인지하기 어렵게 한다. 취약점의 한 예인 ‘IE URL Mishandling’의 경우 특정 캐릭터를 사용하면 이후 URL을 감출 수 있는데 이때 로그인 캐릭터 위치에 피싱 사이트를 삽입할 수 있다.
● DNS(Domain Name System), 호스트 파일 또는 프록시 서버의 주소를 직간접적으로 변조하는 파밍(Pharming) 기법이 있다. 위조된 이메일 또는 홈페이지를 이용하는 피싱과 달리 파밍은 사용자가 더 쉽게 속는다. 예를 들어, 윈도의 호스트 파일에 www.bank.com의 주소가 특정 사이트로 기록되어 있는 경우 원래의 www.bank.com이 아닌 곳으로 접속되어 사용자는 정상 사이트로 오인하기가 쉽다.

 
실제 피싱의 사례를 보면 위에서 언급한 것과 같이 단순한 방법에서부터 시작하여 기술적 방법의 동원까지 다양하게 존재하고 있는데, 다음 [그림 2]는 URL 변조와 정상 웹 사이트 이미지를 사용 한 방법이다. 정상 사이트의 소스태그, 이미지, 참조링크 등을 그대로 인용하여 사용했기 때문에 외형적인 면에서는 정상사이트와 차이가 없어 주의 깊게 살펴보지 않으면 정상 사이트로 오인하기 쉽다.
 
 
한편 주로 해외에서만 발생했던 피싱이 올해 1월 국내 은행권을 대상으로 본격 등장해 우리 나라도 더 이상 안전 지대가 아님을 보여주었다. 특히 이번 피싱은 트로이목마와 결합한 지능적인 형태여서 주목을 받았다. 이번 국내 피싱 사건의 주범인 뱅키.101376 트로이목마는 뱅키.61440 트로이목마에 의해 설치된다. 뱅키.101376이 설치된 PC에서 특정 은행 웹사이트 주소를 입력하면 해당 은행 웹사이트로 위장한 가짜 웹사이트가 열린다. 여기에 주민등록번호, 이름, 통장비밀번호, 인증서비밀번호, 보안카드비밀번호 등 금융 거래를 위한 여러 가지 개인 정보를 입력하도록 유도한다.

뱅키.101376 트로이목마는 크게 세 가지 악의적인 기능을 갖고 있다. 첫째, 특정 게임 사용자의 ID 와 패스워드를 유출한다. 사용자의 키보드, 마우스 입력을 후킹하여 수집한 정보를 특정 사이트로 전송한다. 둘째, 호스트 파일을 변경한다. 인터넷 뱅킹 사용자의 ID와 패스워드를 유출하기 위해 사용자 시스템의 호스트 파일을 변경해 특정 피싱 사이트로 접속을 유도한다. 이렇게 사용한 기법을 더욱 작게 나눠보면 ‘파밍’으로 분류할 수도 있다. 셋째, 인터넷 뱅킹 관련 인증서 파일들을 압축하여 특정 사이트로 유출을 시도한다.

 
피싱 사이트, 이렇게 가려내라
 

그렇다면 어떻게 피싱 사이트와 정상적인 인터넷 뱅킹 사이트를 구분할 수 있을까?

첫째, 공인인증서 비밀번호, 계좌비밀번호, 보안카드 비밀번호 등 개인 정보를 여러 창에 걸쳐 입력하게 돼 있지만, 피싱 사이트는 한 화면에서 동시에 입력하도록 돼 있다. 둘째, 이체 거래 때 정상 사이트는 화면 상에 자신의 출금계좌번호를 선택하게 돼 있지만, 피싱 사이트는 이용자가 직접 입력하도록 돼 있다.

셋째, 정상 사이트는 로그인 절차(ID, 패스워드 또는 공인인증서 입력)를 거쳐야 인터넷 뱅킹 화면이 나타나는 반면, 피싱 사이트는 화면 상의 주소 창에 은행 주소만 치면 바로 화면이 나타난다. 넷째, 정상 사이트는 보안카드 비밀번호 2자리를 2회만 입력하도록 요구하나, 피싱 사이트는 그 이상의 자릿수 및 횟수를 입력하도록 요구한다. 다섯째, 정상 사이트는 공인인증서 비밀번호 입력 시 별도의 인증서 선택 창이 뜨지만, 피싱 사이트는 화면에서 직접 입력하게 돼 있다.

한편 피싱 사기에 걸려들지 않으려면 다음과 같은 방법을 사용한다.
- 최신 윈도우 보안 패치 및 바이러스 백신 프로그램의 주기적 업데이트
- 피싱 사이트 차단 툴바 및 소프트웨어의 사용
- 출처가 불분명한 이메일이나 첨부 파일은 열람 금지
- PC방과 같은 공공 장소의 컴퓨터에서 인터넷 금융 거래 자제
- 믿을 수 없는 사이트는 방문하지 않기

또한 대다수의 기업은 전자 메일을 통해 암호, 로그인 이름, 주민 등록 번호 또는 기타 개인 정보를 요구하지 않는 것이 일반적이므로, 이와 같은 메일을 받은 경우에는 우선 경계해야 한다.

피싱 메일은 제작 기술이 어렵지 않고 간단해 앞으로도 증가할 것으로 예측된다. 이것은 악성코드가 과거 제작자들의 실력을 과시하거나 단순히 감염시키려는 것과 달리 최근에 금전적 이익과 연계되는 추세와도 관련이 있다. 이번 국내 은행을 겨냥한 피싱 사건과 같이 트로이목마와 피싱의 결합은 앞으로도 유사한 형태의 출현을 예고하고 있다. 이제 피싱은 단순히 사회공학적 기법만을 이용해 사용자를 속이는 데서 그치지 않고 최근의 흐름과 같이 다양한 방법을 동원해 사용자 정보를 유출해 심각한 사회 문제를 야기할 것이다. ‘개인정보’ 이슈는 사회 기반이 첨단 정보화할수록 해결해야 할 큰 과제로 대두할 것이다.

http://sabo.ahnlab.com/200703/ahn_03_01.shtml?email_nm=securityletter167&target_page_nm=ab005

신고
Trackback 0 Comment 0
2007.03.13 09:12

전자금융 거래시, 지켜야할 안전수칙

피싱-파밍-보이스 피싱 등 공격 계속될 전망
전자금융 이용자의 보안의식이 가장 중요


크래커들은 이제 공공연히 자신들이 노리는 것이 오로지 ‘돈’이란 것을 대외적으로 밝히고 있다. 일반적인 해커들 대부분이 정보보호를 위해 해킹을 공부하는 반면, 크래커들은 음지에서 배운 해킹 실력을 가지고 타인의 개인정보를 탈취해 게임 아이템을 빼내 이것을 현금화하는가 하면, 다수를 상대로 무작위 악성코드를 뿌려 악성코드에 감염된 한 이용자 PC를 원격에서 조정하면서 정보를 빼내는 수법을 사용하기도 한다.

이때 크래커들이 노리는 정보의 대부분은 금융정보들이다. 금융정보를 빼내 이용자 모르게 돈을 빼내가는 수법이다.

이렇게 해킹을 통해 금융정보를 빼내 돈을 갈취하는 방법도 있지만, 최근 크래커들은 피싱이나 파밍을 통해 너무도 자연스럽게 전자금융 이용자들의 돈을 실제로 빼내가고 있다.

얼마전 스팸메일 차단 솔루션 개발 업체 지란지교소프트에서는 스팸차단 솔루션 도입 업체들의 이메일 유통량을 조사한 결과, 지난 2월 7일 경부터 13일까지 약 일주일간 유통된 전체 이메일 2억1700만 통 중 약 80만 통이 두 외국계 은행 이름으로 발송된 은행 피싱 메일인 것으로 나타났다고 발표한바 있다.

이 수치가 스팸메일 차단 솔루션에 걸러진 메일 수치인 것을 감안하면 실제 피싱 사이트에서 발생하는 스팸의 양은 어마어마하다고 볼 수 있다. 이런 금융권을 사칭하는 피싱 메일들은 가짜 URL을 클릭하게 만들어 가짜 은행 사이트로 이동하게 하고 이용자들이 해당 사이트에 금융 정보를 입력하면 그 정보를 빼내가서 실제로 돈을 인출해 가는 것이다.

또 지난 1월 19일에는 대만해커들이 국내 유명 포털 사이트를 해킹해 악성코드를 유포해 감염된 PC로부터 공인인증서 정보를 유출하고 국민은행과 농협 사이트로 위장해 사용자들의 주민등록번호와 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호가 유출되는 대형사고가 발생했다.

금융보안연구원 관계자는 “KISA에서 신고 접수 후, 즉시 국내 ISP 등을 통해 대만에 위치한 피싱사이트로의 접속을 차단시켰고, 금융결제원과 코스콤 등에서 유출된 공인인증서에 대해 즉각 폐기 처분했기 때문에 대규모 금융사고를 막을 수 있었다”고 말했다. 자칫 대형사고로 이어질 뻔했던 이 사건에 대해 금보연 관계자는 “인터넷뱅킹 사용자들은 자신의 컴퓨터 호스트 파일에서 금융회사가 특정 IP 주소로 설정되어있을 경우 해당 설정 부분을 제거하고 보안패치를 수행해야만 한다.

그리고 금융거래 시 피싱 예방을 위해 사전에 계좌 확인 등 정당한 금융기관 사이트인지 확인 후 금융거래를 해야 한다. 자신의 PC가 악성코드에 감염되지 않도록 윈도우 보안패치를 자동화 설정하고, 최신 바이러스 백신을 사용해 PC를 주기적으로 점검해야 한다”고 강조했다.

한국정보보호진흥원에서는 앞으로 더욱 기승을 부릴 전자금융 공격의 피해를 최소화하기 위해 개인이용자들이 반드시 지켜야할 ‘전자금융 이용자 정보보호수칙 10가지’를 내놓았다.

이 열 가지 수칙에서도 ‘보안패치’ 설치는 가장 먼저 언급되고 있다. 전자금융거래를 위해 금융회사의 홈페이지에 접속하면 해당 금융회사에서 제공하는 보안프로그램이 자동적으로 설치된다. 이때, 임으로 중단하거나 설치된 보안프로그램의 실행을 중지시켜서는 안된다.

또한 자동적으로 설치가 되지 않을 경우에는 설치안내에 따라 수동으로 보안프로그램을 꼭 설치한 후에 전자금융거래를 실시해야 한다. 이렇게만 해도, 악성코드 유포로 인한 개인정보 유출은 상당수 차단할 수 있다.

또 전자금융 정보를 잘 보관해야 하고 이를 아무한테도 알려줘서는 안된다. 최근 기승을 부리던 보이스 피싱은 무작위로 전화를 해서 국세청에서 많이 납부한 세금 환급을 해준다고 나이든 어른들을 꼬드겨 이들의 돈을 빼내가는 수법이다. 이런 경우, 자신도 모르게 계좌번호와 비밀번호 등 금융정보를 알려주기 때문에 문제가 발생하는 것이다.

한편 비밀번호는 본인확인을 위한 수단이기 때문에, 생일, 전화번호 등과 같이 타인이 알기 쉬운 번호를 사용해서는 안된다. 또한, 가능한 범위내에서 비밀번호 자릿수를 최대한 늘리고, 영문자도 혼합사용해야 하며, 각각 다른 번호를 주기적으로 사용하고, 변경해 타인이 비밀번호를 예상하지 못하도록 해야 한다.

피싱을 막을 수 있는 방법도 있다. 스팸메일이나 게시판, 대출사이트 등에 링크되어 있는 URL을 그대로 클릭할 경우 개인정보나 금융정보를 빼내가려는 해당 기관의 사칭사이트로 연결될 수 있기 때문에, 금융거래 사이트는 주소창에 올바른 주소를 직접 입력하거나 즐겨찾기에 추가해 사용해야 한다. 또한 대부분의 은행에서는 자신이 사용한 전자금융거래 내역 등을 실시간으로 휴대폰 SMS나 메일을 통해 알려주는 서비스를 제공하고 있다. 이를 잘 활용해도 피해에 신속하게 대처할 수 있다.

이 외에도 금융 관련 정보들은 하드디스크에 보관하는 것보다 이동식 저장장치에 저장하는 것은 기본이며, PC방과 같이 여러 사람이 사용하는 공간에서는 인터넷 전자거래를 하지 않는 것이 가장 좋다. 또 상용백신이나 온라인 무료 백신을 상시로 활용해야 하고, 메신저나 메일을 통해 들어오는 첨부파일들은 신원이 확실한 경우가 아니고는 절대 열어봐서는 안된다.

[전자금융 이용자 정보보호수칙 10가지]
  1. 금융회사에서 제공하는 보안프로그램을 반드시 설치
  2. 전자금융에 필요한 정보는 수첩, 지갑 등 타인에게 쉽게 노출될 수 있는 매체에 기록하지 않고, 타인에게(금융회사 직원을 포함) 알려 주지 않기
  3. 금융 계좌, 공인인증서 등 각종 비밀번호는 서로 다르게 설정하고 주기적으로 변경
  4. 금융거래 사이트는 주소창에 직접 입력하거나 즐겨찾기로 사용
  5. 전자금융거래 이용내역을 본인에게 즉시 알려주는 휴대폰 서비스 등을 적극 이용
  6. 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관
  7. PC방 등 공용 장소에서는 인터넷 금융거래를 자제
  8. 바이러스 백신, 스파이웨어 제거프로그램을 이용하고 최신 윈도우보안패치를 적용
  9. 의심되는 이메일이나 게시판의 글은 열어보지 말고, 첨부파일을 열람 또는 저장하기 전에 백신으로 검사
  10. 선수금 입금 요구, 상식수준 이상의 대출 조건을 제시하는 경우 해당 금융회사에 동 대출 취급여부를 직접 확인

길민권 기자

[보안뉴스 2007-03-05]

http://kr.ahnlab.com/info/securityinfo/infoView.ahn?seq=9473&category=13&email_nm=securityletter166&target_page_nm=ab005
신고
Trackback 0 Comment 0


티스토리 툴바