피싱
피싱(phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사회 공학의 한 종류이다.
개요[편집]
피싱은 개인의 중요한 정보를 부정하게 얻으려는 공격 시도를 말한다. 개인 정보를 낚으려는(fishing)의 의도가 반영되어 있는 단어에서도 알 수 있듯이, 일반적으로 피싱 공격자는 전자메일이나 메신저와 같은 전달 수단을 통해 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장된 메시지를 공격 대상자에게 보낸다. 그리고 이를 통해 미리 공격자가 만들어 놓은 위장된 사이트로 들어온 공격 대상자의 주민등록번호, 비밀번호, 그리고 금융 정보와 같은 기밀이 요구되는 개인 정보를 얻으려고 하는 것이다. 피싱은 메일 및 메신저와 같은 웹 기술을 이용하기 때문에 전통적인 방식의 사기와는 다르다. 따라서 피싱 사기에 대한 기술적 대응이 필요하다. 최근에는 도메인 네임 시스템 하이재킹(Hijacking) 등을 이용해 사용자를 위장 웹사이트로 유인하여 개인 정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다.[1]
방법[편집]
- 사회공학적 방법
- 피싱은 공격 대상을 속이기 위해 전산기술과 더불어 사회공학적인 방법을 사용한다. 피싱 메일을 보내는 공격자는 보다 합법적인 메시지로 보이도록 실제 웹사이트의 로고를 사용하여 전자메일 메시지를 만들어 보낸다. 그리고 공격 대상자에게 금전적인 보상을 약속하거나 즉각적인 반응을 하지 않으면 계정을 삭제한다는 위협을 하여 신중한 판단을 할 수 없도록 유도한다. 현혹된 공격 대상자가 여기에 반응하면 공격자가 만들어 놓은 함정에 빠져 개인 정보 침해나 금전적인 피해와 같은 공격을 당하게 되는 것이다.
- 링크 조작 방법
- 링크 조작 방법은 피싱 공격자가 흔히 사용하는 기술적인 방법이다. 이 방법은 유명 사이트 주소를 비슷하게 보이는 다른 주소로 변경하거나, 관련 없는 도메인 주소의 하위 도메인을 이용하여 조작된 링크를 연결하는 방법이다. 예를 들면 공격 대상자가 접근하려는 올바른 URL 주소 대신에 조작된 URL 링크를 연결해 놓는 것이다. 하이퍼텍스트의 링크 문자열 주소와 실체 링크의 주소가 다르게 조작할 수도 있다. 이 밖에도 문자를 포함한 URL 주소를 이용하거나, 국제화된 도메인 이름을 이용하여 비슷하게 보이지만 실제로는 다른 링크를 사용하여 공격할 수 있다.
- 웹사이트 위조방법
- 웹사이트 위조 방법은 피싱 공격자들이 브라우저의 주소창과 속성 창의 내용을 교묘하게 가려 웹브라우저가 사용자에게 제공하는 정보를 속이는 것이다. 팝업창을 사용하거나, 미리 정교하게 조작된 주소창을 이용하여 브라우저의 주소창 부분을 덮는 방법들이 사용된다. 주소창에 나타나는 정보를 공격 대상자에게 알려주지 않기 위해서 공격자가 미리 만들어 놓은 가짜 웹사이트를 통해 사용자에게 전달되는 사이트 정보를 차단한다.
- 중간자 공격방법
- 중간자 공격 방법은 공격 대상자와 웹서버의 연결을 공격자가 가로채서 웹서버에게는 공격 대상자의 패킷을 릴레이하고, 공격 대상자에게는 웹서버의 패킷을 릴레이 하면서 이루어지는 공격 방법이다. 중간자 공격이 성공하면 공격 대상자와 웹서버 사이의 모든 메시지를 공격자가 가로채어 중요한 정보를 조작할 수도 있다. 이러한 공격은 공격 대상자의 네트워크를 스니핑하거나 에이알피 스푸핑 기술과 같은 방법들을 이용해서 이루어진다.
대응[편집]
기술적 대응[편집]
- 브라우저 경고
- 브라우저 경고는 웹브라우저들이 현재 접속하려는 사이트의 피싱 여부를 알려주는 방법이다. 특정 단체 혹은 웹 사용자들에 의해 수집된 피싱 사이트 정보를 기반으로 피싱 여부를 판단하여 사용자에게 알려준다. 인터넷 익스플로러 7(Explorer 7)에서는 피싱 필터를 제공하여 이에 대한 설정을 자동으로 해놓으면 알려진 피싱 웹사이트에 접근할 때 주소창이 붉게 변하면서 피싱 사이트임을 알려준다. 파이어폭스 2(Firefox 2)에서도 피싱 의심 사이트에 접근하면 주소창에 정지 표시를 나타내며 풍선 알림을 경고 문구를 보여준다.
- 브라우저 확장 툴바
- 브라우저에서 자체적으로 피싱 차단 기능을 제공하지 않는 경우에도 넷크래프트(Netcraft) 툴바와 같이 안티 피싱 툴바를 설치하면 피싱 사이트의 접근을 막을 수 있다. 브라우저 확장 툴바를 사용하면 접근하고 있는 웹사이트의 지리적 위치나 처음 사이트가 공개된 날짜 등을 포함한 사이트 관련 정보도 확인할 수 있다.
- EV 인증서
- EV(Extended Validation) SSL(Secure Sockets Layer) 인증서는 이전의 인증서보다 시각적으로 표현하고 발급 조건을 더욱 엄격히 심사하여 피싱과 같은 인터넷 사기를 방지하기 위해 만들어진 인증서이다. EV 인증서는 최신 버전의 주요 웹브라우저를 사용해서 EV SSL 인증서를 사용하는 웹사이트에 접근할 경우, 주소 표시줄이 녹색으로 바뀌고 웹사이트에 대한 추가 정보를 시각적인 인터페이스로 보여준다.
- 개인 정보 관리 프로그램
- 개인 정보 관리 프로그램을 이용하여 피싱 사이트가 개인의 정보를 무단으로 획득하고 이를 악용하는 것을 방지할 수 있다. 개인 정보를 전송하기 이전에 현재 접속 중인 사이트의 피싱 여부를 체크하여 사용자에게 알려줌으로써 피싱 피해를 막는 방법이다. 사용자의 컴퓨터에 악의적으로 설치된 키로거에 의해서 정보가 수집되는 것을 막기 위해 키보드를 이용해 직접 입력하지 않고 미리 관리된 데이터를 사용하여 개인 정보를 입력하는 방법도 있다.
- 강화된 비밀번호 로그인
- 강화된 비밀번호 로그인 기능은 쿠키를 이용한다. 쿠키를 이용한 강화된 로그인 기능은 사용자 컴퓨터에 저장되는 쿠키 안에 사용자만의 고유한 메시지나 이미지를 설정해 놓는데, 이 쿠키 정보는 해당 사이트에 접속했을 때만 접근할 수 있다. 기존에 사용자가 설정해 놓은 메시지나 이미지는 모방할 수 없기 때문에, 이를 통해 사용자는 접근한 사이트가 피싱 사이트인지를 파악할 수 있는 것이다.
사회·문화적 대응[편집]
피싱에 대한 사회·문화적 대응은 피싱의 인식 제고 활동, 피싱 대응 실천문화 확산, 피싱 정보의 공유 및 신속한 대응을 통해 이루어진다. 피싱 위협을 감소시키기 위해 전자상거래 업체나 정보보호 관련 기관들이 기업 메일이나 웹사이트에서 발생한 피싱의 일반적인 정보를 고객에게 제공하는 등 다양한 인식 제고 활동이 필요하다. 피싱 대응 실천문화 확산은 피싱 위협 및 피해를 감소시키기 위한 기업의 최상의 실천 정책 수립 및 전파를 통해 수행하는 것이다. 기업은 이메일에 대한 일관성 있는 기업 정책을 수립하여 이용자에게 전파한다.
법·제도적 대응[편집]
미국은 2005년 2월 피싱 방지 법안(The Anti-Phishing Act of 2005)을 하원에 제안했다. 그리고 캘리포니아주 하원은 피싱 방지 법안을 통과시켜 법으로 채택했다. 일본 경제산업성은 2005년 4월 금융기관, 보안업체 등이 참여하는 피싱 대책 협의회를 설립했다. 피싱 대책 협의회는 피싱에 관한 정보 수집 및 제공, 피싱 동향 분석, 기술 및 제도적 대응, 해외 기관과의 제휴 등을 수행한다. 영국 정부는 피싱 관련 절도에 대해 10년 이하의 징역을 판결할 수 있도록 기존 절도 법 개정안을 제안했다. 절도 법안 개정안은 피싱과 같이 허위 표현, 금전적 이익을 위한 정보 유출, 지위의 남용 행위를 범죄로 규정한다.
각주[편집]
참고자료[편집]
- 〈피싱〉, 《위키백과》
- 〈피싱〉, 《사이버경찰청》
- 〈피싱〉, 《네이버 지식백과》
- 〈피싱이란?〉, 《akamai》
- 이상우 기자, 〈해커의 낚시, 피싱(Phishing)〉, 《아이티동아》, 2017-11-03
같이 보기[편집]
|