HTTP 리퍼러, 허니데이터 이용한 대책 발표

[보안뉴스 오병민] 이성욱 금융보안연구원은 17일 제15회 해킹방지워크샵에서 정부기관이나 금융회사를 사칭하는 피싱사이트에 대해 살펴보고 이에 대한 대책을 제시했다.

2011년 1분기동안 신고 된 피싱사이트는 125건으로, △경찰청 46건, △검찰청 34건, △농협 등 금융기관 25건, △KISA(개인정보침해신고센터) 20건이 접수됐다. 이런 피싱사이트는 ‘.com’과 ‘.net’ 및 무료 도메인(.gd, .co1.kr 등)을 사용하고 있으며 하루 약 5~10개의 도메인 추가 생성되는 것으로 파악되고 있다.

그는 최근 유행하는 신종 피싱수법에 대해 세 가지를 예로 들었다. 우선 첫 번째로 금융기관 피싱의 경우, 휴대폰 문자메시지나 메일을 통해 정부기관이나 금융기관의 홈페이지를 그대로 복사한 가짜 사이트 방문하게 만든 다음, 보안승급을 해준다는 명목으로 이름과 주민번호 계좌비밀번호 보안카드번호 등을 입력하게 만들어 주요 금융정보를 빼낸다.

두 번째 검찰청이나 경찰청 피싱은 보이스피싱이나 휴대폰 문자메시지를 통해 공격자가 만든 가짜 검찰청이나 경찰청 웹사이트를 방문하게 만든다. 해당 사이트들은 실제사이트의 거의 대부분 소스를 복제하기 때문에 실제 사이트처럼 키보드보안, 개인방화벽 등 보안프로그램 설치/실행까지 가능하도록 만들어 육안으로는 거의 구분이 힘들다는 특징을 가지고 있다.

이 연구원은 “이런 사이트에서 설치되는 보안프로그램은 향후 악성코드로 바꿔치기할 위험성까지 내포하고 있다”고 덧붙인다. 

세 번째 금융감독원(금융민원센터) 피싱사이트의 경우, e-금융민원센터 홈페이지를 사칭하고 ┖인증확인┖ 코드 입력 요구한다. 이로 인해 무분별한 데이터 입력 방지하는 것. 게다가  피해자에게는 전화통화 등을 통해 인증확인 코드를 알려주는 것으로 추정된다고 밝혔다. 현재(2011년 10월 28일)까지 감독원 사칭 도메인은 약 30여개로 파악되고 있다.

그는 이 같은 신종 피싱공격을 막기 위해서는 일단 피싱사이트를 차단 및 삭제하는 것이 중요하다고 밝힌다. 이를 위해, 국내 ISP와 공동 대응해, 국내 ISP에서 피싱 사이트 IP 차단 및 DNS 쿼리 차단하고 해외에서 접속 가능한 도메인을 차단하기 위해 해외 유관기관과 공조가 필요하다고 말한다.

또한 HTTP 리퍼러(Referer) 분석을 이용하는 방안도 제시했다. 이 분석방법을 이용하면 피싱 사이트를 조기에 탐지할 수 있으며, 소스 IP와 피싱사이트 접속자 IP를 비교해 피해자 규모를 유추할 수 있고 피싱사이트 URL과 공격자 IP를 탐지할 수 있다. 그러나 원시사이트 링크가 없는 피싱 사이트는 탐지가 불가하다는 단점이 있다.

허니 데이터(Honey data)를 이용하는 방법도 있다고 설명한다. 타겟 금융회사와 공조해 미끼 계정정보 준비(honey data)하고 피싱사이트에 피해자인 것처럼 미끼 데이터를 입력해 공격자가 입력한 미끼 데이터를 금융회사 홈페이지에 입력하도록 유도한다. 이렇게 접속한 공격자의 식별자(사용자 ID) 등을 통해 공격자 IP 등 정보획득 획득해 수사하는 방법이다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>