페이팔(Paypal)이 지난 달 발표한 보고서는 웹 사이트의 유효성을 표시하지 않는 웹 브라우저 사용자에게서 손을 떼려는 온라인 지불 프로세서의 의도를 나타냈다. 마이클 배렛(Michael Barrett)과 리스크 관리 선임 책임자 댄 레비(Dan Levy)는 이 보고서에서 피싱에 대응하기 위한 페이팔의 전략의 윤곽을 그렸다. 페이팔과 그 파트너사 이베이(eBay)는 인터넷에서 피셔(phisher)들에게 공격받는 가장 대표적인 브랜드들이다.

브라우저들에 대한 접근을 거부한다는 이 같은 결정은 EV SSL(extended validation SSL)인증을 지원하지 않는 인터넷 익스플로러나 파이어폭스와 같은 다른 유명 브라우저들의 구 버전을 사용하는 사용자들에게 영향을 끼친다. EV SSL은 안전한 사이트에 대해 그린 URL 주소 라인을, 의심스러운 사이트에 대해서는 황색과 적색 URL 주소 라인을 내보인다. 한편, IE 7과 파이어폭스 3은 EV SSL을 지원한다.

맥과 아이폰(iPhone)에 디폴트로 설정되어있는 애플(Apple)의 사파리(Safari) 브라우저는 안티피싱 메커니즘을 갖고 있지 않지만 이에 관해 페이팔은 사파리나 그 외의 현 브라우저들을 금지하지는 않을 것이라고 밝혔다.

배렛과 레비는 페이팔이 홀로 나아갈 수는 없다며 합법적인 메시지들을 인가하고 잠재적인 악성 메시지들을 제거하기 위한 도메인 키와 SPF와 같은 이메일 인증을 인식하고 시행하기 위해 ISP의 도움을 청했다.

그들은 또한 강력하게 피셔들을 기소하고 기업들이 그들의 브랜드 통합을 보호하는 것을 돕기 위한 법률 시행을 요구했다.

패스워드 쯤이야?

별 볼일 없는 상품으로 사람들이 그들의 컴퓨터 패스워드를 양도하도록 부추겨보는 인포시큐리티 유럽(Infosecurity Europe)의 연례행사는 올해 성(性)적으로 편향된 결과를 나타냈다. 45% 대 10%의 매우 현저한 차이로 여성들이 남성들에 비해 자신들의 패스워드를 줘버리는 경향을 보였다. 조사 참여자들에게는 초콜릿이 보상으로 제공되었다. 전반적으로 조사 참여자의 21%는 상품을 포기했는데, 이것은 지난 해 64%에 비해 훨씬 나아진 수치다. 그러나 사람들이 실제 패스워드를 양도했다는 증거는 없다.

알림 : 오후 2시 스팸 예정

최근의 스팸 급증에는 새롭고 교활한 정크 메일의 변종이 포함되어있다. 미팅 초대로 가장한 메시지 등이 그 예다.

이 메시지는 사용자의 메일박스에 도착해 경우에 따라 사용자가 확실하게 그 초대를 거절하지 않는 한 자동적으로 수신자의 일정표에 추가될 수 있다.

이 현상에 대한 웹센스(Websense) 연구자들의 연구에 따르면 구글 캘린더(Google Calendar)와 통합된 지메일(Gmail)을 이용하는 사용자들의 경우 사용자가 이메일을 열어보지 않아도 캘린더에 가짜 약속이 나타나 사용자가 설정해 놓은 디폴트 알림(default reminder)을 모두 실행시킬 것이다.

사용자가 수동으로 해당 미팅을 캘린더에서 삭제하지 않는 한 사용자가 해당 메일을 삭제하더라도 그 이벤트는 구글 캘린더에 계속 남게 될 것이다. 아웃룩의 경우, 사용자가 이러한 메시지 중 하나를 열자마자 해당 시간은 캘린더에서 “알 수 없음”으로 차단되지만, 사용자가 그 메일을 삭제하지 않는 한 그곳에 계속 남게 될 것이다.

<글·데니스 피셔(Dennis Fisher)>

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 96호(info@boannews.com)]