[부사리]지능화 되는「3세대 피싱」주목하라

By | 2009년 1월 14일
Print Friendly, PDF & Email

피싱(Phishing)은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 낚시 수법으로 개인정보 빼내간다는 의미의 합성어다. 은행과 같은 유명기관을 사칭해 개인에게 이메일을 보낸 뒤 사람들이 이메일을 통해 위장 홈페이지에 접속, 개인정보를 입력하도록 유도하고 이를 몰래 빼내가는 것이 일반적이다.

피싱은 공격 이후의 의도에 가장 큰 특징이 있다. 대부분의 바이러스, 웜 및 기타 악성 프로그램 제작자들은 사용자의 컴퓨터나 파일에 손상을 입히거나 이를 무차별적으로 확산시킴으로써 명성을 얻고 싶어한다. 반면 피싱은 이러한 하드웨어 및 소프트웨어의 손상이나 명성보다는 보안 감시망 하에서의 금융 사기를 통해 금전적인 이득을 취하는 데 그 주목적이 있다. 피싱 공격자들이 수집한 정보는 은행계좌에서 돈을 훔치거나 게임머니 등을 갈취하는데 이용, 실질적인 금전적 피해를 끼친다.

공식적으로 보고된 은행을 대상으로 하는 최초의 피싱사례는, 2003년 9월 21일, 호주의 Westpac 은행 사건이었다. Westpac 은행의 고객센터로 가장한 이메일이 호주의 불특정 다수에게 전송, “보안서버 업데이트 (Security Server Update)”라는 제목 하에 은행 사이트로의 접속이 유도되었다. 보안서버가 업데이트 되어 기술적인 이유로 사용자의 계정을 다시 등록하라는 내용의 이메일이 안내하는 사이트는 Westpac 은행 사이트인 http://www.westpac.com.au/이 아니라 이와 유사한 http://www.westpac.com/index.html 이었다.

이 피싱공격은 사용자의 온라인 계정을 갈취하는 것이 그 목적이었다. 실제 피해 사례가 보고 되지는 않았지만, 피싱의 특성 상 사용자가 속은지도 모르는 경우가 많다는 점을 감안한다면 개인정보 갈취 사례가 다수 존재했다고 예상된다.

우리나라에서도 2005년 7월, 최초로 국내 시중은행의 가짜 사이트로 개인정보를 유출하는 사건이 발생했다. 모 은행을 위장한 가짜 사이트를 만들어 개인정보를 빼낼 수 있는 해킹 프로그램을 연결시킨 해커는 이어 접속자가 많은 인터넷 게임 사이트 게시판에 ‘실명인증 프로그램을 설치해야 한다’는 글을 올리고 가짜 은행 사이트에서 해킹 프로그램을 내려받아 설치하도록 유도했다. “실명인증 프로그램 설치해야 한다” 속여 해킹 프로그램 내려받도록 유도하는 방법이었다. 게임 이용자들의 컴퓨터가 4백회 이상 해킹당하고 이를 통해 80명에 가까운 개인정보가 유출되었다. 정보를 확보한 피셔는 해당 정보를 활용, 90여 만원의 인터넷 게임 아이템을 팔아 치웠다.

올해 초에도 국내 유명 은행의 인터넷뱅킹 사이트를 모방한 가짜 홈페이지에 접속한 이용자 5,000여 명이 개인정보와 보안카드 비밀번호를 의심없이 입력하였으며 이들의 공인인증서가 고스란히 해킹당했다. 이들 피싱 사이트는 중국에 주소를 둔 서버임이 밝혀졌다. 또 국내의 한 외국계 은행 사이트에서도 온라인 신용카드 결제대행시스템 해킹을 막지 못해 이용자 정보가 유출되었으며 이중 20여 명의 계좌에서 5,000여 만원이 무단 결제되는 사상 초유의 사태가 발생, 피싱의 피해에 대한 관심을 불러일으켰다.

다양한 피싱 사기 방법 주의할 것

피싱 사기의 상당수는 위장사이트로 접속을 유도하는 URL이 담긴 이메일이나 게시판 메시지를 통해 사용자가 위장 사이트로 접속, 개인정보를 입력하게 만드는 방법이다. APWG에 따르면 기존에 많이 사용되었던 피싱 방법은 다음과 같다.

□ 명백한 피싱 URL 표시 ? 가장 쉽게 그 위조 여부를 식별할 수 있는 기술. 이 경우, 피셔들은 실제 피싱 URL을 숨기려고 노력하지 않기 때문에 피싱 URL이 주소 표시줄에 명백하게 표시된다. 일부의 경우, 합법적 도메인과 유사한 도메인 이름을 사용하기도 한다.

□ 주소 표시줄 스푸핑 ? 합법적 주소를 표시하기 위해 브라우저의 주소 표시줄을 바꾼다. 전체적인 효과는 피싱 URL위에 하얀색 배경의 텍스트로 합법적 은행 주소를 나타낸다는 것이다. 그러나 웹 페이지의 등록정보를 확인하면 가짜 사이트의 실제 주소가 나타난다.

□ 팝업 창 사용 – 이 기술은 백그라운드에서 합법적 웹 사이트를 여는 스크립트를 사용한다. 이 가짜 팝업 창은 대부분 합법적 웹 사이트와 동일하며 포그라운드에서 바로 열린다. 사용자로 하여금 팝업 창이 공식 페이지와 직접 연관되었다는 생각이 들도록 유도한다. 팝업 창이 합법적 웹 사이트의 일부만 차지하는 경우도 있다.

□ 피싱 이메일의 형식 사용 ? 이 경우 피싱 이메일은 HTML 형식으로 전송되며, 여기에는 사용자로부터 개인/계정 정보를 수집하는데 사용되는 임베디드 형식이 이미 포함되어 있다. 도용된 세부 정보는 지정된 이메일 주소로 전송되거나 특정 웹 사이트에 게시된다.

□ 웹 사이트 스푸핑 ? 합법적이고 믿을 수 있는 사이트를 그대로 복제하는 어려운 작업이다. 위조 웹 사이트는 실제 사이트와 마지막 세부적인 사항까지 완전히 일치한다. 위조 사이트에 나타나는 모든 링크들은 하나의 피싱 도메인으로 연결된다.

점점 고도화되고 있는 신종 피싱 증가

피싱의 초기 형태는 사회공학적 방법을 이용한 사용자의 ID와 패스워드를 탈취하는 수준이었다. 그러나 시간이 지날수록 ID와 패스워드는 물론 계정정보까지 도용하여 금융정보에 불법적으로 접근하고 파밍 사이트와 같은 사기 사이트를 활용하여 인터넷 이용자들을 유인하였다.

최근에는 악성코드를 활용하여 사용자 컴퓨터를 공격하는 수법들이 등장하였다. 트로이목마를 통한 정보 수집, 웜이나 바이러스를 통한 호스트파일 변경하고 전송 경로를 재설정하여 사이트 접속 시 피싱사이트로 접속되도록 유도하는 방법, 키로거 등의 스파이웨어를 통한 ID, 패스워드 수집 등 사용자가 아무리 주의하여도 어쩔 수 없이 걸려들게 되는 신종 피싱 수법이 발견되고 있다.

사이트 주소창에 정확한 주소를 입력하여도 사용자 자신도 모르게 해커의 서버로 접속되는 방식으로 호스트파일을 변조하는 방법이다. 호스트파일이란 특정 IP 주소에 대한 DNS 주소 변환에 대한 설정을 저장해 두는 곳으로, 특정 사이트를 임의의 IP로 설정해 두면, 해당 사이트 입력 시 설정된 IP로 접속하게 되는 것이다. 이러한 방식은 최근의 모 은행 인터넷뱅킹의 피싱사이트에 이용된 방법이기도 하다.

호스트파일 변조 외에도, DNS변조, 시스템변조 등 주의가 많은 사용자를 “피싱”할 수 있는 다양한 방법들이 존재한다. DNS변조는 사용자가 주소입력줄에 입력한 DNS정보가 실제 IP주소로 해석되는 과정에서 DNS정보가 잘못 해석되는 것을 말한다. 실제 DNS서버에 IP정보가 확인 되기전에 사용자 PC내의 기존에 존재하던 여러 서버에 대한 DNS정보가 변조되면, 사용자는 자신도 모르게 피싱사이트로 연결되게 된다. 이 외에도 피셔들은 사용자
에게 피싱유도모듈을 설치하도록 유인한 후, 이 모듈을 통해 시스템을 변조시켜 버린다. 이 경우에도 사용자는 자신의 의지 또는 주의와는 상관 없이 가짜 사이트에 접근하게 되고, 피싱당하게 된다.

3세대 피싱 공격 예측돼…

향후에는 기존의 사회공학기법을 통한 방법과 함께 지능화된 악성코드를 침투하는 기술적 은닉 기법이 합세한 3세대 피싱 공격이 지속될 것으로 예측된다. 보안에 취약한 불특정 다수의 개인 PC를 공략하는 해킹의 트렌드 변화와 온라인을 통해 수많은 콘텐츠를 올리고 내려받는 UCC의 열풍 등은 피셔들에게 악성코드를 보다 쉽게 심을 수 있는 환경까지 제공해 주고 있다.

미국에 이어 두 번째로 많은 피싱사이트 보유국이며 전세계 어디보다 인터넷접근이 쉽고 이용률이 높은 우리나라의 피싱보안에 대한 최근의 관심은 고무적이다. 누구나 피셔의 공격 대상이 될 수 있으며, 그 결과로 이어지는 금전적인 피해를 막기 위해서는 전자상거래가 발생하는 관련 업체는 물론 개인과 관련 정부 모두의 피싱에 대한 주의와 관심이 전제되어야 하겠다. 또 관련 업계의 변화하는 피싱 패턴에 대한 빠른 인지와 대응 기술의 개발이 필수적일 것이다. @

이순형 상무(소프트포럼)

[ZDNet Korea 2007-06-20]

댓글 남기기

이메일은 공개되지 않습니다.

This site uses Akismet to reduce spam. Learn how your comment data is processed.