신종 온라인 사기수법으로 자리를 굳힌 피싱(Phishing). 특히 올해 초, 국민은행과 농협의 인터넷 뱅킹 이용자 5천명의 공인인증서가 피싱에 의해 유출되는 사고가 발생한 후 공인인증서만 있으면 피싱을 막을 수 있다는 안일한 사고에서 탈피하는 계기가 마련된 듯하다. 이젠 우리나라도 결코 피싱의 안전지대가 아님을 이 사고는 극명히 보여주고 있다. 더욱이 전 세계 피싱사이트 가운데 15%가 우리나라에서 만들어진 것이라는 점에서 충격을 던져주고 있다. 국내의 피싱 대응실태에 대해 점검해본다.
피싱은 개인정보(Private Data)와 낚시(Fishing)의 합성어로, 가짜 웹사이트나 이메일을 이용해 개인정보나 금융정보를 몰래 빼내는 것을 말한다. 그동안 우리나라는 공인인증서를 필수적으로 사용하면서 피싱에 대한 우려가 상대적으로 적었지만 올해 초 발생한 국민은행과 농협 인터넷 뱅킹 이용자에 대한 피싱 사고를 겪으면서 우리나라도 더 이상 피싱의 안전지대가 아님을 은행권 스스로 공감하는 분위기다.
이 사고를 계기로 은행들은 고객 보호를 위해 서둘러 안티피싱 솔루션 도입을 추진하고 나섰고, 수백만 명 이상의 온라인 사용자를 보유한 대형 포털사 등에서도 문제의 심각성을 인식, 불끄기에 나서고 있다. 더군다나 피싱은 갈수록 지능화되어 사용자의 도메인을 아예 빼앗거나 DNS(도메인 네임시스템) 또는 프록시 서버의 주소를 변조하는 파밍(Pharming)으로까지 진화하고 있어 대응책 마련이 시급한 실정이다.
피싱 피해, 꾸준히 증가 추세
시만텍의 ‘인터넷 보안위협 보고서’ 최근호에 따르면 올해 상반기 동안 23억 개 이상의 피싱 메시지를 차단했다. 이는 하루에 무려 1억 2500만 개의 피싱 이메일을 발견했다는 의미다. 이러한 수치는 지난해 하반기보다 무려 53%나 증가했다.
피싱이나 파밍, 이메일 스푸핑과 같은 불법 행위의 결과로 발생하는 도난이나 ID 도용 사건들을 방지하기 위해 세계 각국의 온라인 범죄 전문가 인터넷 및 금융 기업 사법 기관들로 구성된 비영리 민간 조직이자 국제피싱대응협의체인 안티피싱워킹그룹(APWG)은 매월 피싱 공격에 대한 현황과 경향을 발표하고 있는데, 지난 6월 한달 동안에 찾아낸 피싱 사이트만 3만2천개에 달했다. 이는 지난해 같은 달의 1만47개에 비해 216%나 급증한 수치.
안티피싱워킹그룹은 이 사이트들의 대부분(95.2%)이 은행과 같은 금융기관을 타깃으로 하고 있고, 우리나라는 미국과 중국에 이어 피싱 사이트(전 세계 피싱사이트의 14.88%)를 가장 많이 생성하는 나라 3위에 꼽혔다고 전했다. 한 국내 보안업체의 조사에 따르면, 국내의 경우 하루에 250개 정도의 피싱 사이트가 생겨나는 것으로 밝혀졌다.
안티피싱워킹그룹에 가입하기 위해서는 국내의 경우 인터넷침해사고대응지원센터의 검증 프로세스를 통해 가입할 수 있는데 국내에서는 지난해에 안철수연구소가 국내 업체로서는 최초로 이 조직에 가입한 바 있고, 최근 유비쿼터스 보안 전문업체 소프트포럼(대표 윤정수 www.softforum.co.kr)도 이 그룹에 가입해 피싱 관련 세계적 공조를 시작했다.
안티피싱워킹그룹을 중심으로 한 피싱 방지 노력에도 불구하고 국내에서 공개된 피싱 피해 사례는 빙산의 일각일지 모른다는 분석도 나오고 있다. 국내 은행의 인터넷뱅킹 홈페이지와 유사한 가짜 홈페이지로 접속을 유도, 접속자들의 공인인증서를 복사한 사례에 이어 국내 유명 포털사이트 게시판에 대출 광고를 한 뒤 위장 사이트로 접속하도록 해 예금잔액을 모두 인출해가는 사고가 발생하기도 했다.
이러한 피싱으로 인한 피해는 과거 금융권에만 한정되어 왔던 것이 최근에는 호텔, 항공, 자동차 렌탈, 온라인 게임 등으로 확산 속도가 넓어지고 있다는 게 더 문제다. 보안 업계의 한 관계자는 “직접적인 돈이 아니더라도 가치가 있는 아이템을 거래하고 있는 온라인 사이트라면 피싱에 의한 피해를 입을 가능성이 많다”고 지적했다. 특히 신규로 생성되는 온라인 거래 사이트들은 보안에 취약점이 많아 피싱의 표적이 될 가능성이 더 높다.
가장 문제가 되고 있는 것은 피싱을 넘어 더 지능화된 기법들이 속속 등장하고 있다는 것이다. 올해 초에 발생한 피싱 사고의 경우 진보된 피싱 기법인 파밍을 이용한 것이라 더 충격을 주었다. 즉 악성코드를 이용해 사용자의 PC를 미리 해킹함으로써 이용자가 올바른 은행 사이트 주소를 입력하더라도 가짜 사이트에 접속하도록 하는 기법을 사용했다는 점이다. 또 최근에는 피싱사이트를 쉽게 만들 수 있는 피싱 전문 툴킷까지 등장했다. 이러한 피싱 전문 툴킷은 실제 웹사이트로 위장한 피싱사이트를 만들 수 있는 스크립트를 제공하는데, 피싱 메일 생성도 지원한다.
진보된 피싱 기법인 파밍은 URL 주소나 웹페이지 모두 기존의 사이트와 똑같기 때문에 전문적인 소스분석을 하지 않으면 진위 여부를 알아차리기 힘들다. 게다가 최근 안티피싱 솔루션들이 속속 출시되고 있지만 블랙리스트 방식의 안티피싱으로는 신규 피싱을 잡아내는 데 한계가 있다. 소프트런의 황태현 사장은 “피싱사이트들은 하루나 이틀, 혹은 몇 시간 동안만 나타나 이용자에게 피해를 입히고 사라지는 특성을 가지고 있어 블랙리스트 방식으로는 피싱사이트를 완벽하게 차단하지 못한다”고 주장했다. 블랙리스트에 오른 URL을 철저하게 차단하는 것 외에도 URL을 분석해 기존 사이트와 유사한 방식으로 생성된 URL을 차단하고 웹페이지 소스코드를 분석해 개인정보 유출 등 이용자에게 피해를 입힐 가능성이 있는 것을 찾아내야 한다는 것이 황 사장의 주장이다.
안티피싱 기술도 진화 거듭해
피싱 피해가 갈수록 속출하자 이를 막기 위한 안티피싱 솔루션들도 속속 선보이고 있다. 시장조사 전문기관인 라디카디그룹의 보고서에 의하면 안티피싱 솔루션 시장은 올해 120억 원 규모를 형성할 것으로 예측되고, 내년에는 두 배로 시장규모가 커질 것으로 내다봤다.
대부분의 보안 업체들이 PC보안 제품에 안티피싱 기능을 포함시켜 출시하고 있지만 안티피싱만을 전문적으로 취급하고 있는 업체는 몇 개 되지 않는다. 아직 시장이 성숙치 않았기 때문으로 풀이된다. 소프트런과 소프트포럼이 안티피싱의 대표적인 업체로 꼽힌다.
현재 금융권을 중심으로 안티피싱 솔루션 공급이 활발히 이루어지고 있는데, 신한은행이 가장 먼저 안티피싱 서비스를 시작한 이후 국민은행, 경남은행, 광주은행, 우리은행 등이 솔루션을 구축한 상태이며, 농협, 하나은행, 기업은행, 외환은행 등도 솔루션 도입을 통해 피싱방지 서비스를 제공할 예정이다. 하지만 실제 안티피싱 서비스를 하고 있는 곳은 신한은행과 경남은행 두 곳 뿐이다.
안티피싱 솔루션은 피싱사이트나 의심사이트에 접속하거나 개인정보를 전송하고자 할 때 경고를 알리고 차단해준다. 또 지능적인 파밍을 감시하고 이를 방지하는 기능을 제공하기도 한다. 블랙리스트의 단점을 보완하기 위해 HTML 및 콘텐츠 분석, 유사 도메인 검출, 브라우저 변조 검출 등 다양하고 지능적인 기술을 도입해 수시로 변하는 피싱 기법에 대처하고 있다.
국내에 안티피싱 시장을 개척한 소프트런은 ‘노피싱’이라는 솔루션을 신한은행에 공급, 지난 4월부터 국내 최초로 안티피싱 상용 서비스를 개시했다. 이 제품은 자체분석엔진(APAE)을 이용해 유사 도메인과 의심스러운 웹페이지의 키워드를 분석, 사기사이트를 차단하는 기술 특허를 획득한 제품. 소프트런은 노피싱의 1년 이상의 준비기간을 거쳐 제품을 개발했다고. 소프트런은 금융권을 비롯해 대기업, 포털사이트 등 안티피싱 도입이 필수적인 주요 시장을 공략해 안티피싱 시장을 선점해 나간다는 전략이다.
소프트포럼도 독자 기술로 개발한 안티피싱 솔루션인 ‘클라이언트키퍼 피싱프로’를 출시하며, 시장 개척에 나서고 있다. 후발주자임에도 지난 9월 경남은행을 시작으로 광주은행 등에 안티피싱 솔루션을 공급하며 두각을 드러냈다. 클라이언트키퍼 피싱프로는 콘텐츠분석엔진(CVE)을 이용한 콘텐츠 필터링 기능으로 피싱 시도는 물론 피싱패턴 차단, 경유공격 차단 기능을 제공하며 파밍공격으로부터 보호해준다. 한편, 소프트포럼은 도메인 필터링 데이터베이스를 범용화한 기능을 추가한 ‘피싱프로 2.0’ 버전을 연내에 출시할 예정이다.
소프트런과 소프트포럼 외에 최근 잉카인터넷이 클라이언트 설치 방식의 ‘피싱트레이서’를 개발하는 등 다른 보안업체들의 발걸음도 분주해졌다. 금융보안연구원 역시 최근 KFCERT(Korea Financial CERT)를 구축하고 피싱신고센터(www.fsa.or.kr)를 개설하는 등 본격적인 금융권 해킹사고와 피싱사고 대응에 나섰다. 성재모 금융보안연구원 해킹대응팀 팀장은 “본격적인 피싱사고 대응을 위해 피싱신고센터를 개설하고 금융기관을 사칭한 이메일 및 사이트에 대한 신고접수를 시작했으며, 국제피싱대응협의체인 APWG에도 가입해 해외 피싱 대응 기술, 사고사례 등의 정보를 국내 금융기관에 신속하게 제공할 예정”이라고 밝혔다.@
피싱 예방을 위한 사용자 가이드 PC보안 프로그램이나 안티피싱 제품이 피싱 예방의 충분조건이 될 수는 없다. 보안제품에 적용되기 전인 신종 공격기법을 이용한 피싱사고를 대비하려면, 개인 사용자들 스스로도 최소한의 원칙을 생활화하는 것이 필요하다. 1. 신뢰할 수 없는 메일이나 전화에 현혹되어 개인/금융정보를 제공하지 않도록 주의해야 한다.
- 메일이나 게시판에 링크된 사이트에서 바로 정보를 입력하지 말고 직접 공식홈페이지를 방문하거나 대표고객센터 등을 이용해야 한다.
- 무분별한 인터넷이벤트 참여는 정보유출의 지름길이다. 신뢰할 수 있는 이벤트만 공식홈페이지를 통해 참여해야 한다.
- 로그인하기 전에 한 화면에 여러 정보를 한꺼번에 입력하도록 요구하는 경우는 일단 의심해야 한다.
- 중요 정보를 가지는 사이트(은행, 쇼핑몰, 게임사이트 등)와 일반 정보수집용 사이트의 계정과 비밀번호는 다르게 생성하여 사용하고 주기적으로 비밀번호를 변경해야 한다.
2. PC단의 파밍이나 악성코드에 의한 정보유출을 막으려면 자기 PC보안 관리를 철저히 해야 한다.
- 윈도 보안 패치 자동 업데이트를 꾸준하게 설치해야 한다. 보호나라홈페이지(http://www.boho.or.kr)에서 제공하는 ‘PC 자동보안 업데이트’ 프로그램을 이용하면, 보다 편리하게 보안패치를 설치할 수 있다.
- 백신 프로그램을 실시간으로 구동하고 주기적으로 점검해야 한다.
- 신뢰할 수 있는 사이트에서 제공하는 프로그램만 설치해야 한다.
3. 마지막으로, 피싱인지 궁금하거나 의심될 때는 정보를 제공하기 전에 관계기관으로 확인 또는 신고해야 한다. 지난 1월이 국민은행/농협 피싱사고 건도 평소 사용하던 인터넷뱅킹 화면과 다르다며 자신의 PC가 이상한 것이 아니냐는 상담전화가 접수되면서 해당 PC의 분석을 통해 이용된 취약점 및 악성코드, 중계사이트 정보 등 다양한 정보를 파악할 수 있었고 신속하게 피싱 사이트 차단함으로써 추가적인 피해를 막을 수 있었다.
- 의심스러운 메일이나 게시글을 접했을 경우 잘 알 것 같은 친구나 동료에게 물어 보거나, 인터넷에서 검색하는 방법으로 조사해 볼 수도 있다.
- 자신이 없거나 확인결과 위험성이 있어 보일 경우에는 관련기관으로 문의해야 한다.
김완선 기자
[출처] 경영과컴퓨터 2007년 11월호
| |
