은행 위조한 '피싱' 이렇게 대처하세요

2007. 1. 26. 09:12정보 얻어가는 즐거움

최근 국내 대형 시중 은행이 피싱의 대상이 된 사건이 발생했다.
이번 피싱 사건은 '트로이목마와 피싱의 결합'이라는 측면에서 지금까지 국내에서 발견되었던 피싱 사건과 차별점을 가지고 있다. 실제 강력한 보안 위협으로 등장한 피싱이란 무엇이며, 피싱에 어떻게 대처해야 하는지 알아보자.

피싱의 정의 및 수법

피싱(Phishing)이란 개인정보(Private data)와 낚시(Fishing)의 합성어. 인터넷 이용자들에게 유명 회사를 사칭하는 이메일을 보내고, 위장된 홈페이지에 접속 하여 계좌번호, 주민등록번호, 로그인비밀번호, 인증서암호 등의 개인정보를 입력하도록 유도하여 이들 정보를 이용해 금융사기를 일으키는 신종 사기수법을 말한다.
초기 피싱 수법은 특정 금융기관과 비슷한 도메인을 등록하고 메인 화면 역시 유사하게 제작한 후 사용자가 URL 입력과정에서 발생할 수 있는 실수를 악용하는 방법을 사용하였다. 이후에는 좀더 지능적인 방법으로 스팸메일과 결합한 형태로 나타났다. 거래 은행명의 '개인정보를 수정하라'는 메일을 받거나, 인터넷 쇼핑몰로부터 '이벤트 당첨' 등의 메일을 받은 고객들이 메일내용에 포함된 링크를 클릭하면 피싱사이트로 접속하게 된다. 이렇게 접속한 후 고객들이 아이디와 패스워드를 입력하게 되면 해커가 이들의 개인정보를 탈취해 이를 악용하게 되는 것이다.

피싱과 트로이목마의 결합

이번에 발생한 국내 대형 은행 피싱 사건의 경우 피싱과 트로이목마의 결합이라는 최첨단 수법이 사용되었다. 특히, 기존에는 트로이목마들이 '사이버 머니' 탈취를 목적으로 제작되었었으나, 이번에는 '실제 머니'를 탈취할 목적으로 제작되었다는 점에 주목해야 한다.
이번 사건에서 해커는 모 포털 사이트를 해킹했고, 여기에 접속한 PC가 해킹툴을 자동으로 내려받게 했다. 이 PC에서 특정 은행 웹 사이트 주소를 입력하면 해당 은행 웹 사이트로 위장한 가짜 웹사이트가 열린다. 이 사이트에 자신의 개인정보를 입력하면 해커에게 정보가 전송되는 것이다.
이번 피싱에 이용된 트로이목마는 뱅키.101376(Win-Trojan/Banki.101376)뱅키.61440(Win-Trojan/Banki.61440)에 의해 설치된다. 이 트로이목마가 설치되면 인터넷 주소를 저장하는 파일인 호스트 파일의 기존 정보를 삭제한 후 다른 정보를 저장함으로써 가짜 웹사이트에 접속하게 한다. 이 외에도 특정 온라인 게임 로그인 계정(ID, 패스워드)이나 인터넷 뱅킹용 인증서 관련 파일을 가로채 특정 인터넷 주소로 빼내는 기능을 갖고 있다. 안철수연구소에서는 V3 제품군에서 이 트로이목마의 진단/삭제 기능을 지원하고 있으며, V3 미사용자들도 사용할 수 있는 전용백신을 제공하고 있다.

피싱 사이트 식별 및 대응 요령

그럼, 피싱 사이트에 피해를 입지 않으려면 어떻게 해야 하는 것인가.

금융결제원은 이번 피싱사이트가 정상 사이트와 다른 특징을 6가지로 발표했다.
- 한 화면에서 여러 개인정보 동시 입력
- 이체 거래시 이용자가 직접 출금 계좌번호 입력
- 로그인 절차 없이 주소만 치면 바로 인터넷뱅킹 화면 나타남
- 보안카드 비밀번호 입력시 별도의 인증서 선택창 없이 화면에서 직접 입력
- 공인인증서 비밀번호 입력시 2자리 및 2회 이상 입력 요구
- 평소 본인이 거래하는 은행의 인터넷뱅킹 사이트와 화면구성이 상이

또한 이용자들이 인터넷뱅킹 사고를 예방하기 위해서는 다음과 같은 안전수칙을 준수해야 한다.

- 윈도 보안 패치 및 바이러스 백신 프로그램의 정기 업데이트틀 통한 최신 버전 유지
- 의심스러운 이메일 열람 금지
- PC방 등 공공장소에서 금융거래 자제
- P2P 등 공개 소프트웨어 설치 자제
- 공인인증서 별도 저장 매체에 저장 사용

이처럼 점차 교묘해지는 피싱 수법에 대응하기 위해서는 인터넷 사용자 각자가 보안 준수 사항을 철저히 지키는 것이 가장 최선의 방법이다. 평소 인터넷 뱅킹 이용시와 다른 점이 발견된다면 즉시 해당 은행에 문의해야 사실 확인을 하는 것이 중요하다. 더불어 안철수연구소를 비롯한 보안 업체, 피싱 신고 접수 사이트(www.krcert.or.kr)에 신고하는 것이 좋다.

[출처 : 안철수연구소]