You cannot see this page without javascript.

메뉴 건너뛰기

cmd_xedition_search_close

1409 Architects

나눔터 FREE BOARD


자유게시판 [740호] - [보안정보]정보 낚는 피싱, 그 위험한 진화를 유의하라!

큰발까락 2007.10.19 09:26 조회 수 : 1642

  [보안정보]정보 낚는 피싱, 그 위험한 진화를 유의하라!
740
 호   2007. 10. 4
[보안정보]정보 낚는 피싱, 그 위험한 진화를 유의하라!

본 호에는 안전한 컴퓨터 사용에 도움이 될수있는 피싱에 대한 정보에 대해 보내 드립니다.
회원분들께 유용한 정보가 되시기를 바랍니다. 

정보 낚는 피싱, 그 위험한 진화를 유의하라!

IT 인프라는 눈부시게 발전을 거듭하고 있다. 인프라가 첨단화할수록 그 인프라를 타고 역기능도 진화를 하게 마련이다. 개인 정보를 낚시질하는 피싱도 예외가 아니어서 유명 회사 웹사이트로 위장하는 수준에서 인터넷 주소를 변조하거나, 트로이목마와 결합되는 형태로 악성화하고 있다. 현재 어떤 기법들이 있고 이로 인한 피해를 막을 수 있는 방법은 무엇인지 알아본다.

피싱(Phishing)이란, 개인정보(private data)와 낚시(fishing)의 조합어로 개인 정보를 불법으로 도용하기 위한 속임수의 한 유형이다. 일반적으로 공신력 있는 기관을 사칭하여 사용자를 속이는 사회공학적 기법을 주로 사용하여 수집 대상(사용자)이 가지고 있는 정보의 자발적, 능동적 입력을 유도한다. 지금까지의 피싱은 주로 해외에서 발견, 보고되었으나 올해 초 국내 은행을 대상으로 한 피싱이 출현해 이에 대한 주의가 더욱 필요한 상황이다.
과거 피싱은 공신력 있는 업체의 유명 도메인과 유사한(철자 하나를 변경하는 등) 도메인을 등록한 후 홈페이지를 동일하게 구성해 인터넷 이용자들이 실수로 접속하여 개인 정보를 기입하기를 기다리는 수법을 사용했다.

하지만 최근에는 사용자 개인 정보 취득 목적의 위조된 홈페이지를 개설한 후 개인 정보 수정을 공식 요청하는 변조된 메일을 불특정 다수에게 전송한다. 메일 수신자는 피싱 메일에 속아 링크된 주소의 위조된 홈페이지에 접속해 개인 정보를 자발적으로 입력하게 된다.

과거에는 많은 지식이 필요하지 않았으나, 최근에는 사용자들이 인지하기 어렵게 교묘한 방법과 다양한 기술을 사용하고 있다. 피싱도 점점 진화하고 있는 셈이다.

피싱에 사용되는 주요 기술 7가지

피싱이 개인 정보를 낚기 위해 사용하는 방법이나 기술은 대략 일곱 가지가 있다.
  • 사용자를 유도하기 위한 문구를 사용한다. 가령 “48시간 이내에 응답하지 않으면 계좌가 정지됩니다.” “패스워드 변경 안내” “고객님의 회원 정보 확인은 다음 링크를 클릭하십시오.” 등의 문구를 사용해 사용자들이 피싱 사이트로 접속하도록 유도한다.
  • 의도적으로 URL 문자를 누락하거나 변형한다. 가령 한국은행의 인터넷 주소는 www.hankookbank.com인데 이를 www.hangookbank.com으로 변형하는 것이다.
  • 팝업 창을 이용해 가짜 사이트 주소를 은폐한다. 이메일을 열었을 때 팝업창을 띄워서 연결된 사이트 주소를 은폐하는 데 사용한다.
  • URL을 인코딩하거나 변경한다. 즉, 가짜 사이트의 링크 주소를 사용자가 알기 어렵도록 조작한다. http://7763631761/elogin.html 혹은 http://%77%77%77%77.3%65%653-%69%6c11%6c%693%6c%69%6c%6c.%6f%72%67 같은 형태를 띤다.
  • URL의 데이터 필드를 조작해 공격자가 의도한 사이트로 유도하거나 심지어 웹 페이지에서 XSS(Cross-site Scripting) 공격 코드를 실행할 수 있다. (예) http://bank.com/ebanking?URL=http://victim.com/phishing/fakepage.html
  • 인터넷 브라우저의 취약점을 이용해 사용자가 인지하기 어렵게 한다. 취약점의 한 예인 ‘IE URL Mishandling’의 경우 특정 캐릭터를 사용하면 이후 URL을 감출 수 있는데 이때 로그인 캐릭터 위치에 피싱 사이트를 삽입할 수 있다.
  • DNS(Domain Name System), 호스트 파일 또는 프록시 서버의 주소를 직간접적으로 변조하는 파밍(Pharming) 기법이 있다. 위조된 이메일 또는 홈페이지를 이용하는 피싱과 달리 파밍은 사용자가 더 쉽게 속는다. 예를 들어, 윈도의 호스트 파일에 www.bank.com의 주소가 특정 사이트로 기록되어 있는 경우 원래의 www.bank.com이 아닌 곳으로 접속되어 사용자는 정상 사이트로 오인하기가 쉽다.



실제 피싱의 사례를 보면 위에서 언급한 것과 같이 단순한 방법에서부터 시작하여 기술적 방법의 동원까지 다양하게 존재하고 있는데, 다음 [그림 2]는 URL 변조와 정상 웹 사이트 이미지를 사용 한 방법이다. 정상 사이트의 소스태그, 이미지, 참조링크 등을 그대로 인용하여 사용했기 때문에 외형적인 면에서는 정상사이트와 차이가 없어 주의 깊게 살펴보지 않으면 정상 사이트로 오인하기 쉽다.



한편 주로 해외에서만 발생했던 피싱이 올해 1월 국내 은행권을 대상으로 본격 등장해 우리 나라도 더 이상 안전 지대가 아님을 보여주었다. 특히 이번 피싱은 트로이목마와 결합한 지능적인 형태여서 주목을 받았다. 이번 국내 피싱 사건의 주범인 뱅키.101376 트로이목마는 뱅키.61440 트로이목마에 의해 설치된다. 뱅키.101376이 설치된 PC에서 특정 은행 웹사이트 주소를 입력하면 해당 은행 웹사이트로 위장한 가짜 웹사이트가 열린다. 여기에 주민등록번호, 이름, 통장비밀번호, 인증서비밀번호, 보안카드비밀번호 등 금융 거래를 위한 여러 가지 개인 정보를 입력하도록 유도한다.

뱅키.101376 트로이목마는 크게 세 가지 악의적인 기능을 갖고 있다. 첫째, 특정 게임 사용자의 ID 와 패스워드를 유출한다. 사용자의 키보드, 마우스 입력을 후킹하여 수집한 정보를 특정 사이트로 전송한다. 둘째, 호스트 파일을 변경한다. 인터넷 뱅킹 사용자의 ID와 패스워드를 유출하기 위해 사용자 시스템의 호스트 파일을 변경해 특정 피싱 사이트로 접속을 유도한다. 이렇게 사용한 기법을 더욱 작게 나눠보면 ‘파밍’으로 분류할 수도 있다. 셋째, 인터넷 뱅킹 관련 인증서 파일들을 압축하여 특정 사이트로 유출을 시도한다.

피싱 사이트, 이렇게 가려내라

그렇다면 어떻게 피싱 사이트와 정상적인 인터넷 뱅킹 사이트를 구분할 수 있을까?

첫째, 공인인증서 비밀번호, 계좌비밀번호, 보안카드 비밀번호 등 개인 정보를 여러 창에 걸쳐 입력하게 돼 있지만, 피싱 사이트는 한 화면에서 동시에 입력하도록 돼 있다. 둘째, 이체 거래 때 정상 사이트는 화면 상에 자신의 출금계좌번호를 선택하게 돼 있지만, 피싱 사이트는 이용자가 직접 입력하도록 돼 있다.

셋째, 정상 사이트는 로그인 절차(ID, 패스워드 또는 공인인증서 입력)를 거쳐야 인터넷 뱅킹 화면이 나타나는 반면, 피싱 사이트는 화면 상의 주소 창에 은행 주소만 치면 바로 화면이 나타난다. 넷째, 정상 사이트는 보안카드 비밀번호 2자리를 2회만 입력하도록 요구하나, 피싱 사이트는 그 이상의 자릿수 및 횟수를 입력하도록 요구한다. 다섯째, 정상 사이트는 공인인증서 비밀번호 입력 시 별도의 인증서 선택 창이 뜨지만, 피싱 사이트는 화면에서 직접 입력하게 돼 있다.

한편 피싱 사기에 걸려들지 않으려면 다음과 같은 방법을 사용한다.
- 최신 윈도우 보안 패치 및 바이러스 백신 프로그램의 주기적 업데이트
- 피싱 사이트 차단 툴바 및 소프트웨어의 사용
- 출처가 불분명한 이메일이나 첨부 파일은 열람 금지
- PC방과 같은 공공 장소의 컴퓨터에서 인터넷 금융 거래 자제
- 믿을 수 없는 사이트는 방문하지 않기

또한 대다수의 기업은 전자 메일을 통해 암호, 로그인 이름, 주민 등록 번호 또는 기타 개인 정보를 요구하지 않는 것이 일반적이므로, 이와 같은 메일을 받은 경우에는 우선 경계해야 한다.
피싱 메일은 제작 기술이 어렵지 않고 간단해 앞으로도 증가할 것으로 예측된다. 이것은 악성코드가 과거 제작자들의 실력을 과시하거나 단순히 감염시키려는 것과 달리 최근에 금전적 이익과 연계되는 추세와도 관련이 있다. 이번 국내 은행을 겨냥한 피싱 사건과 같이 트로이목마와 피싱의 결합은 앞으로도 유사한 형태의 출현을 예고하고 있다. 이제 피싱은 단순히 사회공학적 기법만을 이용해 사용자를 속이는 데서 그치지 않고 최근의 흐름과 같이 다양한 방법을 동원해 사용자 정보를 유출해 심각한 사회 문제를 야기할 것이다. ‘개인정보’ 이슈는 사회 기반이 첨단 정보화할수록 해결해야 할 큰 과제로 대두할 것이다. @

[저자] 안철수연구소 ASEC 정관진 선임연구원
 
 * 출처 :  안철수 연구소 (http://www.ahnlab.com)

  -건설연구정보센터 기술지원부 연구원 박종모

 

이 게시물을
이 글의 추천인 목록 게시글 수정 내역 목록
날짜 제목
2007.09.21 [736호] - 건축공사 이야기 - 외벽의 백화(白花)를 막을 방법이 없는가?
2007.10.01 [737호] - [종합소식] 택지개발업무처리지침 개정 등
2007.10.04 [738호] - 대한국토·도시계획학회 논문집 2007년 8월호
2007.10.04 [739호] - [건축물정보] 철원종합문화복지센터
2007.10.08 [741호] - 건축공사 이야기 - 철골의 발견 - 초고층 건축물의 등장
2007.10.08 [742호] - [종합소식] 장애물 없는 생활환경 인증제 본격시행 등
2007.10.09 [743호] - 한국실내디자인학회 논문집 2007년 8월호
2007.10.12 [744호] - 해외부동산 시장
2007.10.12 [745호] - [웹디렉토리] 무료 파일 호스팅 서비스 - 미디어파이어
2007.10.17 [747호] - [종합소식] 공공공사의 설계도면 작성방법 변경 등
2007.10.17 [748호] - 대한건축학회 논문집 2007년 9월호
2007.10.19 [740호] - [보안정보]정보 낚는 피싱, 그 위험한 진화를 유의하라!
2007.10.19 [749호] - [건축물정보] 수원 제2청사( THE 2ND SUWON CITY HALL )
2007.10.19 [750호] - 2007년도 국토의 계획 및 이용에 관한 연차보고서
2007.10.19 [751호] - 건축공사 이야기 - 화재에 취약한 철골구조-내화피복으로 보완한다
2007.10.22 [752호] - [종합소식] 리모델링, 가변형 구조기준 마련 등
2007.10.23 [753호] - 한국도시행정학회 논문집 2007년 8월호
2007.10.29 [754호] - 병원 리모델링
2007.10.29 [755호] - [보안정보]악성코드가 들어오는 길을 막자
2007.10.29 [756호] - 건축공사 이야기 - 결로(結露)현상으로부터의 탈출
쓰기 태그
위로