디지털 소매치기 '피싱' 기승…"한국도 안전지대 아니다"


 

인터넷 사용자의 '지갑'을 노리는 신종 온라인 금융사기 '피싱(Phishing)'이 올들어 부쩍 늘고 있다. 이런 가운데 한국이 피싱 사이트 호스팅 건수면에서 미국에 이어 세계 2위를 기록하고 있는 것으로 나타나 피싱추방 대책이 시급한 것으로 지적되고 있다.

개인정보(Private data)와 낚시(fishing)의 합성어인 피싱(Phishing)은 주로 위장 홈페이지를 만든 뒤 불특정 다수의 이메일 사용자에게 메일을 보내는 수법으로 수신자의 개인정보를 빼내 금융범죄에 악용하는 행위를 말한다.

지난해부터 조금씩 모습을 드러내던 피싱은 올들어 급속하게 늘어나고 있다. 보안업체인 맥아피 자료에 따르면 현재까지 피싱 공격중 92% 이상이 올해 발견됐다.

미국, 영국 등 주요 영어권 국가의 금융기관들은 '피싱과의 전쟁'을 선포하는 등 대응책 마련에 부심하고 있다. 마이크로소프트(MS), 야후 등 주요 정보기술(IT)업체들 역시 피싱 추방을 위해 손을 맞잡았다.

◆ 올들어 매달 50%씩 증가

개인 금융 정보를 겨냥한 피싱 공격은 지난해 하반기까지만 해도 눈에 띌 정도는 아니었다. 블래스터, 슬래머 등 지난해 악명을 떨친 웜은 대부분 시스템을 공격하는 것들이었다.

하지만 올들어 상황이 급변하고 있다. 피싱 추방 선봉장을 자처하고 있는 안티-피싱 워킹그룹(APWG) 자료에 따르면 피싱 메일 신고 건수는 올들어 매달 평균 50%씩 증가했다.

주 타깃은 역시 금융기관. 지난 7월 신고된 1천974건의 피싱중 금융기관을 겨냥한 것은 1천642건(83%)으로 절대 다수를 차지했다. 전자상거래 사이트가 258건(13%)으로 그 뒤를 이었다. 100건 중 96건 가량이 금융기관과 전자상거래 사이트 공격용으로 제작된 셈이다.

지난 7월 APWG에 신고된 피해건수는 시티뱅크(682건)가 가장 많았으며 US 뱅크(622건), 이베이(255건), 페이팔(147건), 아메리카온라인(AOL, 41건) 등이 그 뒤를 이었다.

가트너가 최근 발표한 자료에 따르면 미국에서 올해 피싱 관련 메일을 받은 사람은 약 5천700만명이며, 19%인 1천100만명이 위장 사이트에 접속한 것으로 나타났다. 이 중 178만명이 개인 금융 정보를 제공한 것으로 나타났다. 피싱 메일 수신자의 약 3% 가량이 피해를 입었다는 얘기다.

피싱 메일이 늘고 있는 것은 최근 바이러스의 트렌드가 바뀌고 있는 것과 무관하지 않다. 그동안 시스템 공략에 주력했던 해커들이 올해 들어 개인 금융정보 절취 쪽으로 눈을 돌리고 있는 것.

이같은 상황을 반영하듯 보안업체 시만텍은 지난달 '인터넷 보안 위협 보고서'를 통해 "2004년 상반기 해커들의 주공격 대상은 전자상거래 사이트였다"고 밝혔다. 전체 공격중 16%가 전자상거래 사이트를 타깃으로 했다는 내용이었다. 이같은 수치는 2003년 하반기보다 400% 증가한 것이다.

시만텍은 당시 자료를 통해 "전자상거래를 상대로 한 공격이 증가한 것은 공격의 동기가 금전적 이익을 취하기 위한 쪽으로 변화하고 있음을 암시한다"면서 "기밀정보를 빼내가는 '피싱'이나 '스파이웨어'가 증가한 사실이 이를 반증한다"고 설명했다.

류찬호 박사(KISA 인터넷침해사고 대응지원센터 대응협력팀장) 역시 "피싱은 스팸이 아니라 침해사고로 봐야 한다"면서 "그동안 방화벽 침입이 주류를 이뤘던 해킹이 최근 들어 개인PC를 직접 공격하는 쪽으로 트렌드가 바뀌고 있다. 피싱 역시 이런 트렌드 변화를 보여주는 것이다"고 덧붙였다.

◆ 해킹과 결합…수법 갈수록 교묘해져

피싱 메일은 보통 "당신의 은행계좌가 제3자에게 노출됐다"는 등의 내용을 담고 있다. 이처럼 급박한 상황을 강조하면서 개인 정보를 입력하라는 내용이 주류를 이루고 있다.

▲긴급보안통지 ▲메일의 요청을 무시할 경우 계좌가 잠정적으로 정지될 수 있음 ▲업그레이드 된 인터넷뱅킹 기능 사용위해 링크된 홈페이지로 즉시 접속할 것 ▲경품당첨, 계좌 잔액증가, 거래내역 변경 등을 앞세워 유인하는 경우도 많다. 물론 이 때 제시되는 홈페이지 링크는 가짜이다.

하지만 피싱에 면역이 생기면서 사기메일 수법도 갈수록 교묘해지고 있다. 은행과 유사한 이름의 도메인명을 이용해 공격하는가 하면 정확한 URL을 포함한 메시지를 보내지만 메일을 받은 사람이 그래픽을 클릭할 경우 해킹 사이트로 전환시키는 방법도 사용되고 있다.

어떤 경우에는 사용자가 웹 브라우저의 주소창에서 해당 URL을 볼 수 없게끔 설정, 합법적인 은행 웹 사이트에 접속한 것처럼 착각하게 만들기도 한다. 현재 발신인 메일 주소나 이름을 위장하는 도메인 사기(domain spoofing) 수법이 전체 피싱 메일의 95%에 달하는 것으로 알려지고 있다.

류찬호 박사는 "향후 피싱은 사회공학적 기법과 결합돼 클라이언트를 집중 공격하게 될 것이다"고 주장했다. 사회공학적 기법이란 친근하거나 호기심을 끌만한 내용을 담은 이메일을 이용해 개인 정보를 얻어내는 해킹 수법을 말한다.

그는 "앞으로 메일 ID를 공개하는 것마저 조심해야 할 상황이 올 수도 있다. 나를 잘 알고 있는 것처럼 메일을 보내면 꼼짝없이 당할 수 있기 때문이다"고 강조했다.

APWG 자료에 따르면 피싱 사이트 수명은 평균 6.1일로 나타났다. 또 가장 오래 존속한 피싱 사이트는 31일간이었던 것으로 드러났다.

이처럼 피싱 사이트 존속 기간이 짧은 것은 은행 및 보안업체들이 해당 사이트 발견시 바로 폐쇄조치를 취하기 때문이다. 결국 해커들은 이처럼 짧은 기간 동안 최대한 많은 정보를 수집하기 위해 각종 첨단 해킹수법들을 총동원하고 있는 것이다.

◆ 국내 피해는 적어…서버 이용은 세계 2위

영어권 국가들을 중심으로 피싱이 급속 확산되고 있지만 한국은 아직까지 '피싱 무풍지대'로 남아있다. 비영어권 국가라는 점이 크게 작용한 덕분이다.

안철수사장(안철수연구소)은 "국내 피해사례가 없는 것은 대부분의 피싱 메일이 영문으로 돼있어 국내 사용자들이 무시하고 넘어가기 때문"이라고 설명했다. 한국정보보호진흥원(KISA) 역시 아직 이렇다할 국내 피해사례는 접수된 것이 없다고 밝혔다.

하지만 한국의 서버들이 피싱 범죄에 악용되는 사례가 적지 않은 것으로 알려져 대책 마련이 시급한 것으로 지적되고 있다.

APWG가 지난 7월 신고된 피싱을 분석한 결과 전체의 16%가 한국 서버를 이용한 것으로 나타났다. 이는 미국(35%)에 이어 세계 2위에 해당하는 수치. 중국(15%), 러시아(7.0%), 영국(5.5%) 등이 그 뒤를 잇고 있다.

이처럼 한국의 서버가 피싱 범죄에 악용되는 사례가 크게 늘면서 KISA는 신고메일-전화 모니터링을 대폭 강화하는 등 대책 마련을 위해 분주하게 움직이고 있다.

KISA는 10월말경 500여개 웹호스팅 관련업체들을 대상으로 한 보안관리 교육을 실시할 계획이다. 또 올해안에 보안 프로그래밍 가이드도 만든다는 방침이다.

류찬호 박사는 "국내 개발자들은 보안을 감안한 프로그래밍에 인색하다"면서 보안 담당자들의 각성을 촉구했다. 그는 또 "현재 피싱 공격은 금융권을 주로 겨냥하고 있지만 유료 사이트도 공격 대상이 될 수가 있다"고 강조했다.

국내 금융기관도 잇따라 '피싱 경보령'을 내리고 있다. 이미 삼성카드, LG카드를 비롯한 주요 카드사들과 국민은행 등 주요 금융기관은 고객들에게 '피싱 경보령'을 내린 상태. 정보통신부도 지난 6월 '피싱 주의보'를 발령, 각별한 주의를 촉구했다.

LG카드는 지난 9월말 자사 홈페이지에 `피싱을 조심하세요!'라는 안내문을 게재했다. 이 회사는 또 회원들에게 피싱 주의를 당부하는 e메일을 긴급 발송했다.

삼성카드도 지난달말 홈페이지에 `신종 인터넷 금융사기 피싱 주의'라는 안내문을 게재했다. 국민은행은 지난달 초부터 홈페이지의 안내문과 e-메일 등을 통해 은행과 KB카드 고객들에게 피싱 피해에 대한 주의를 당부하고 있다.

디지털 시대의 신종 소매치기 수법인 피싱. 인터넷 금융거래, 전자상거래가 활성화되면서 피싱 퇴치가 또 다른 과제로 떠오르고 있다. 디지털 소매치기를 퇴치하지 않고서는 믿고 살만한 인터넷 환경이 불가능하기 때문이다.

김익현기자 sini@inews24.com, 황치규기자 delight@inews24.com







포토뉴스