"피싱은 해킹이다"...류찬호 KISA 팀장


 

"피싱은 스팸메일이 아니라 해킹이다. 또 한국도 더 이상 피싱 안전지대가 아니다."

전세계적으로 피해가 확산되고 있는 피싱(Phishing)에 대해 국내 전문 보안 기관인 한국정보보호진흥원(KISA)이 내린 결론이다.

KISA 인터넷침해사고대응센터의 류찬호 협력팀장은 "피싱은 기술적으로 보면 과거 해킹 기법과 큰 차이가 없다"면서 "하지만 방화벽안에 있는 기업 내부 시스템 대신 클라이언트를 직접 공격한다는 점에서 새로운 해킹 기법중 하나다"라고 평가했다.

류 팀장이 '피싱=해킹'이란 공식을 강조하는 이유는 간단하다. 피싱을 하려면 기본적으로 특정 웹사이트에 대한 해킹이 선행돼야 하기 때문이다.

류 팀장은 "피싱을 하려면 특정 웹사이트 IP주소를 도용, 위조 사이트를 만들거나, 해커가 특정 웹사이트에 들어가 관리자 몰래 별도 웹페이지를 만들게 되는데, 이 모두가 해킹이다"고 잘라 말했다.

◆ "인터넷 상에 빈 구멍 너무 많다"

해킹 공격 기법은 기본적으로 '빈구멍'을 이용한다. 피싱 역시 마찬가지다. 류찬호 팀장은 "웹사이트를 100% 인증할 수 있는 안전장치가 없다는 것이 가장 심각한 빈구멍이다"고 설명한다. 따라서 죽지 않는 웹 서버 환경을 갖추는 것이 중요하다고 류 팀장은 강조한다.

예를 들어보자.

A라는 기업이 홈페이지를 운영한다고 하자. 현재 떠 있는 사이트가 그 회사 홈페이지라는 것을 100% 검증할 수 있는 장치는 없다는 게 류 팀장의 주장이다. 도메인을 보고 그 회사 홈페이지라고 판단하지만 '100% 신뢰'와는 거리가 있다는 것.

이런 상황에서 A사 웹서버가 잠시 죽어버린 틈을 타 같은 도메인으로 위조 사이트를 만들어 띄운다면? 류찬호 팀장은 "이런 상황이라면 속아넘어갈 가능성이 높다"면서 "이를 감안하면 죽지 않은 웹서버 환경을 갖추는 것이 갈수록 중요해질 것"이라고 말했다.

물론 아직까지 국내에서는 피싱 피해 사례가 보고된 적이 없다. 비영어권 국가이기 때문에 상대적으로 무풍지대에 놓여 있었다. 하지만 언제든지 당할 수 있다는 게 류 팀장의 주장이다. 게다가 한국은 피싱 경유지로 이미 악명을 떨치고 있다.

류찬호 팀장은 "한국 웹사이트들이 각국에서 일어나는 피싱의 경유지로 활용되는 사례가 늘고 있다"면서 "한국의 경우 인프라가 발달돼 있는 반면 보안이 취약한 웹사이트가 많아 피싱 경유지로 악용될 가능성도 그만큼 높은 상황이다"고 말했다.

이 대목에서 류 팀장의 발언은 계속됐다.

그는 "영세 업체들이 운영하는 웹사이트의 경우 보안 관리가 엉망인 경우가 많다"며 "최근에는 웹호스팅 서비스를 이용하는 웹사이트들이 경유지로 활용되고 있다"고 지적했다.

특히 보안에 취약한 웹호스팅 서비스의 경우 서버 하나가 무너지면, 수십개 웹사이트가 동시에 무너지기 때문에 심각한 문제로 떠오르고 있다는게 류 팀장 설명이다.

류 팀장 발언을 듣다보면, 보안 사고 발생시 주범으로 꼽히는 익숙한 고질병 하나와 만나게 된다. 허술한 보안 관리 마인드가 바로 그것. 결국 한국이 피싱 경유지로 전락한 데는 부실한 보안 관리가 똬리를 틀고 있다.

KISA는 이같은 상황을 타개하기 위해 대대적인 교육을 준비하고 있다. 류 팀장은 "10월말경 웹사이트를 운영하는 중소기업 500여개를 초청, 보안 관련 교육을 진행할 계획"이라고 말했다.

◆ "사회공학적 기법과 결합 땐 심각"

최근 들어 해킹 트렌드는 급속하게 변화하고 있다. 방화벽을 뚫고 들어가 기밀 정보를 가져오는 일반적인 패턴에서 직접 클라이언트를 겨냥하는 쪽으로 무게중심이 옮겨가고 있다.

대표적인 것이 지난 6월 국가기관에 유입된 변종 '피프'(Peep). '피프'는 당시 클라이언트를 직접 노린다는 점에서 보안 관계자들의 눈길을 끌었다.

피싱 역시 방법상 차이가 있을 뿐 목적은 '피프'와 유사하다는게 류 팀장의 설명이다. 바야흐로 클라이언트를 대상으로하는 해킹 전성시대를 눈앞에 두고 있는 셈이다.

물론 아직까지는 피싱 기법이 초보적인 수준에 머물러 있다. 웬만큼 주의를 기울이면 피해갈 수 있다. 하지만 앞으로 정교한 해킹 기술과 결합될 경우에는 사정이 달라질 것으로 전망된다. 자칫하면 피싱 공격에 무방비 상태로 노출될 수도 있다.

류 팀장은 "향후 피싱은 사회공학적 기법과 결합돼, 클라이언트를 계속해서 공격하게 될 것"이라며 "불특정 다수가 아닌 특정인을 겨냥한 최첨단 피싱이 등장할 가능성도 존재한다"고 말했다.

황치규기자 delight@inews24.com







포토뉴스