피싱, 탄생에서 성장까지


 

피싱(Phishing)의 어원에 대한 설명은 다양하다. 가장 유력한 설은 '개인정보(private data)를 낚시(fishing)하듯 낚아챈다'는 뜻에서부터 유래됐다는 것.

'낚시와 전화'의 합성어가 변형된 것이라는 주장도 있다. 이 주장은 피싱이 처음 나왔을 당시 전화로 정보가 유출됐던 점에 착안한 것. 비밀번호 수집 낚시(password harvesting fishing)의 준말이라는 설도 있다.

또한 해커들이 'f'를 'Ph'로 대체해 쓰기를 즐겨하는 현상에서 '해커들이 하는 비밀번호 낚시질'이라는 의미도 담겨 있다.

이처럼 피싱의 어원에 대한 설명은 다양하다. 하지만 사기 메일이라는 '미끼'를 이용해 개인정보라는 '물고기'를 낚는다는 의미는 공통적으로 담고 있다.

이런 설명들을 종합해 보면 피싱이란 '유명한 금융기관이나 공신력있는 업체의 이름을 사칭한 메일을 보내 수신자들의 민감한 개인정보 및 금융정보를 요구하고 이를 이용, 범죄 수단으로 악용하는 행위' 정도로 정리될 수 있다. 이런 사기메일을 보내는 사람들을 피셔(phisher)라고 한다.

◆ AOL 계정 도둑에서 유래

네티즌이 만드는 온라인 백과사전 위키피디아(www.wikipedia.org)에 따르면 피싱은 1996년에 처음 등장했다. 당시 해커들이 아메리카온라인(AOL) 계정을 훔치려고 사용한 수법에서 유래됐다.

AOL 직원으로 가장한 해커가 불특정 다수의 AOL 회원에게 '계정 확인 절차나 결제 정보 확인이 필요하니 비밀번호를 알려달라'는 인스턴트 메시지를 보낸다. 해커들은 회원들이 별다른 의심없이 넘겨준 비밀번호로 다른 사람의 AOL 계정에 접근, 스팸 전송수단으로 사용했다는 것. 위키피디아는 여기서 '비밀번호 수집 낚시'라는 피싱의 어원이 생겼다고 말하고 있다.

안티피싱워킹그룹(APWG)은 피싱의 실제 유래를 해킹의 원시적 형태인 '전화 프리킹(phreaking)' 행위에서 찾고 있다.

전화 프리킹이란 사용자의 전화 스위치를 통제해 장거리 전화를 공짜로 쓰거나 전화요금을 다른 사람에게 전가하는 행위를 말한다.

프리킹은 존 드레이퍼라는 해커가 처음 시도했다. 존 드레이퍼는 1970년대 초반 전화 시스템을 해킹하는 데 쓰이는 블루박스를 만들어 프리킹을 한 사람으로 유명하다.

1996년 당시 해킹된 계정들은 모두 피시(phish)라고 불렸다. 또한 1997년 무렵에는 해커들 사이에는 피시가 일종의 현금처럼 거래되기도 했다. 예를 들면 활성화된 계정 10개를 주고 해킹 소프트웨어와 맞바꾸는 식이다. 최근의 게임 아이템 거래형태와 유사하다.

김지연기자 hiim29@inews24.com







포토뉴스