| 中 지난해 인터넷 피싱 수법 다양해져 | 2013.02.09 |
저가 미끼·쇼핑 웹페이지 변조·결제사이트 심의 취약점 악용 등 [보안뉴스 온기홍=중국 베이징] 중국에서 지난해 나타난 인터넷 피싱의 새로운 공격 수단들로는 크게 △중국판 트위터인 웨이보어(Weibo)와 유명 사용자를 ‘함정’으로 악용 △값싼 가격을 ‘미끼’로 한 거액 피싱 △인터넷쇼핑 웹 페이지 변조 △인터넷지불 사이트의 취약한 심의시스템 악용 △인터넷 뱅킹 비밀번호와 계정 절취 등이 꼽혔다. 中 인터넷 피싱의 새로운 수단 중국의 유명 정보보안 솔루션업체인 루이싱정보기술은 지난해 중국내 인터넷 피싱의 새로운 공격 수단으로 먼저 마이크로 블로그인 ‘웨이보어’가 피싱 사이트 함정의 새로운 공략 플랫폼이 됐다는 점을 꼽을 수 있다고 밝혔다. 웨이보어는 중국 젊은 층을 중심으로 정보 공유와 교류의 신형 소셜 플랫폼으로서 큰 관심을 받고 있는 동시에 불법세력이 악용해 사기를 치는 툴로도 떠올랐다. 실제 중국에서 수십 만에서 백 만 명의 팔로워를 보유한 일부 유명 웨이보어 사용자는 정보 발표자 역할을 하고 있으며 수 백 위안을 받고 한 건의 트윗을 발송하기도 한다. 이 같은 선전비용은 매우 저렴할 뿐 아니라 수신자인 대중들의 범위도 매우 넓다는 점에서 피싱 세력들이 관심을 보이고 있다. 루이싱은 “하지만 이들 일부 유명 웨이보어 사용자들이 발표한 정보의 진위 여부에 대해 대부분 심의가 이뤄지지 않고 있는데 불법세력은 이런 취약점을 악용해 허위의 피싱 정보를 문자·사진·영상 형식으로 퍼뜨린다”고 지적했다. 일부 보안 의식이 취약한 웨이보어 사용자들은 이를 사실로 받아 들여 사기꾼의 술책에 빠져 든다는 것이다. 둘째, 초저가를 내세운 미끼와 오프라인 거래, 거액의 피싱도 새롭게 등장한 피싱 공격 수단이다. 인터넷 사기 행위 중에는 허위 정보를 앞세운 사기가 가장 많은데 이는 인터넷 거래 중에서 가장 흔히 볼 수 있다.
이들 허위 사이트는 또 종종 오프라인 거래 방식을 취했다. 불법세력은 네티즌에게 자동차 구매 계약금이 필요 없으며 현금과 자동차 직거래 형식을 택한다고 광고했다. 이로써 많은 네티즌들의 경계를 누그러뜨렸다. 루이싱은 “하지만 불법세력은 각종 명의로 네티즌으로부터 은행 계좌로 돈을 받은 뒤 자동차를 건네지 않은 채 완전히 종적을 감췄다”고 설명했다. 셋째, 신형 피싱은 인터넷쇼핑 웹 페이지를 변조해 네티즌을 속이는 수법을 취하고 있다. 대다수 구매자들은 통상 구매 안전성을 위해 인터넷쇼핑 시 규모가 큰 정식 쇼핑몰에서 상품을 구매하는데 지난해 중국에서 발견된 신형 피싱 수단은 대형 정식 인터넷쇼핑 플랫폼을 중점 겨냥했다. 불법세력은 온라인 쇼핑몰 웹 페이지 내용을 바꾸고 사진을 이용해 허위 정보를 위조함으로써, 시각적인 면에서 구매자가 공식 웹사이트로 여기도록 유도했다. 루이싱은 “지난해 이 같은 기능을 가진 대량의 트로이목마 바이러스들을 탐지했는데 이 바이러스들은 상품설명 웹 페이지를 변조했다”며 “전자상거래 사이트와 온라인쇼핑 이용자 모두 이런 바이러스의 공격을 당할 수 있다”고 설명했다. 따라서 네티즌은 온라인 쇼핑 시 해커의 함정에 빠질 수 있을 뿐 아니라 프라이버시 유출, 인터넷뱅킹 금전 도난의 위험을 겪게 되고, 동시에 전자상거래 운영기업도 상업적 기밀 유출과 같은 큰 위협을 맞게 된다는 지적이다. 넷째, 제3자 인터넷 지불 플랫폼의 심의 시스템이 엄격하지 못해 ‘신용 보증’을 실행하기 어려운 점도 새로운 피싱 공격 수단으로 떠올랐다. 중국에서 최근 제3자 인터넷 지불 플랫폼은 ‘대리 접수와 대리 지불’과 ‘신용 보증’이라는 중간자 패턴으로서 광범위하게 응용되고 있다. 하지만 중국의 일부 인터넷 지불 플랫폼의 경우 진입 문턱이 낮고 서비스업체 등록 자금과 자격에 대한 엄격한 심의 기준이 없을 뿐 아니라 등록 계정의 임의 차용과 매매와 같은 현상이 존재하고 있다. 일부 불법세력은 이런 취약점을 이용해 온라인 사기 행위를 저지르고 있다. 이와 관련 루이싱은 “일부 인터넷 지불 플랫폼에서는 수 천 위안만 내면 타인 정보로 등록한 계좌 자료를 살 수 있을 뿐 아니라 수일 내 개통해 사용할 수 있다”며 “네티즌은 이런 허위 계좌의 보유자와 거래를 하게 되면 물건과 금전을 모두 잃게 되는 위험에 처할 가능성이 높다”고 지적했다. ▲ 중국의 불법세력이 한 인터넷쇼핑 웹 페이지를 변조해 판매량이 0건인 한 청바지 상품의 판매량을 580건으로 바꿔 구매자들을 속이는 웹 페이지 화면. 마지막으로 신형 피싱 공격은 인터넷 뱅킹의 동적 암호를 노리고 사용자의 계정을 절취한다. 최근 중국에서 인터넷 지불은 많은 네티즌이 자주 이용하는 지급 방식이 됐지만 일반 인터넷 뱅킹의 보안성은 상대적으로 낮다는 지적을 받고 있다. 이 때문에 대형 은행들은 잇달아 동적 암호와 USB 보안 토큰 등 보안 조치를 내놓았다. 하지만 루이싱은 “최근 중국 대륙에서 탐지한 한 인터넷 뱅킹 공격 방식은 사용자의 인터넷 뱅킹 계좌와 비밀번호뿐 아니라 동적 암호까지도 훔칠 수 있는 것으로 드러났다”고 설명했다. 루이싱은 또 “해커는 인터넷 뱅킹 관련 동적 암호의 취약점을 겨냥해 미리 인터넷에 대량의 피싱 사이트를 투입한다”며 “사용자가 이 피싱 사이트의 인터넷 뱅킹 페이지에 등록하면, 계좌와 비밀번호는 곧바로 해커가 지정한 서버로 발송된다”고 덧붙였다. 이와 관련, 사용자가 인터넷 뱅킹 페이지에 등록함과 동시에 브라우저는 대기 페이지로 넘어가게 된다. 이 웹페이지는 시스템 업그레이드를 이유로 사용자에게 60초 동안 기다리게 한다. 해커는 이 시간차를 이용해 사용자의 진짜 인터넷 계좌에 등록하고, 수시로 피싱 사이트 상에서 사용자가 입력한 동적 암호를 받게 된다. 해커는 이어 사용자 계정으로 등록하고 금전을 훔쳐간다. 루이싱은 “동적 암호 같은 보안 수단은 많은 은행에서 사용하고 있기 때문에 해커는 각 은행의 인터넷 뱅킹에 상응하는 피싱 웹 페이지를 제작하기만 하면 언제든 유관 사용자 무리들을 공격할 수 있다”며 “이 때문에 이러한 신형 인터넷 뱅킹 공격 방식은 많은 사용자에게 큰 해를 끼친다”고 강조했다. [중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]
|
|
 |
