미국연방수사국(FBI)이 이집트 경찰과 합동으로 사이버범죄자 국제 검거작전인 ‘피시 프라이(Phish Fry)’ 작전을 통해 남부 캘리포니아, 네바다, 노스캐롤라이나 지역과 이집트를 무대로 인터넷 피싱 사기행각을 벌여온 세계 최대 규모의 국제 피싱 사기단 일당 1백여 명을 일망타진했다고 시만텍 보안연구소가 밝혔다.

이들 피싱 사기단은 피해자들의 이메일로 가짜 은행 웹사이트 주소를 발송해 계좌번호를 제공하도록 요청하는 방식으로 개인정보를 빼내 범죄를 저질렀으며, 불법적으로 탈취한 돈 가운데 일부는 피해자들의 개인정보를 제공한 이집트의 피싱 업체로 보내진 것으로 파악됐다.

피싱(Phishing)은 스팸, 가짜 웹 사이트 등의 수단을 통해 인터넷 사용자들의 개인정보 및 금융정보를 빼내는 신종 사기로, 이들 가짜 웹 사이트는 평소 보던 화면과 거의 유사하지만 본인 확인을 위해 개인정보 및 은행계좌, 신용카드 번호와 같은 금융정보를 입력하라고 요구한다. 사용자가 무심코 이 같은 정보를 입력할 경우 곧바로 개인정보가 유출되거나 은행계좌에서 돈이 빠져나간다.

특히 최근의 피싱 공격은 합법적인 웹 사이트와 동일한 실제 그래픽, 언어 및 아이콘을 포함하고 있을 뿐만 아니라 사람의 심리적 허점을 파고드는 사회공학적 기법을 교묘히 이용하기 때문에 사용자가 인지하지 못하는 사이에 피해를 당할 수 있다. 최근에는 공격자들이 피싱 킷을 이용해 손쉽게 피싱 사이트를 구축할 수 있기 때문에 피싱 공격이 급증하는 추세다.

실제 시만텍은 ‘인터넷 보안 위협 보고서’ 제 14호를 통해 공격자들이 금전적 이익을 목적으로 사용자를 공격하는 경우가 과거 어느 때보다도 높은 수준을 차지하고 있으며, 2008년 한 해 동안 감지된 피싱 웹사이트 호스트만 55,389개로 2007년 33,428개와 비교해 66%나 증가했다고 경고한 바 있다.

시만텍은 이 같은 피싱 피해를 예방하기 위해서는 아무리 합법적으로 보이는 이메일 또는 인스턴트 메시지라도 개인정보나 금융정보를 요구할 경우 절대 주의해야 한다고 당부했다. 또한 공식 기관의 경우 주민등록번호나 신용카드 번호 등 개인 정보를 요구하지 않는 만큼 이런 종류의 이메일이 오면 무시하거나 삭제하는 것이 좋다고 조언한다. 이와 함께 의심스러운 메시지에 포함된 링크는 절대 직접 클릭하지 말고 필요시 직접 주소창에 URL을 타이핑할 것과, 안티피싱 기술을 지원하는 최신 인터넷 보안 솔루션을 설치, 사용할 것을 권장했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>