| 전자결제 시스템 사칭한 피싱 공격 증가세 | 2014.04.07 |
카스퍼스키랩 연구 보고서 ‘사이버 금융 위협’ 발표 “피싱 공격의 1/3은 돈을 훔치는 것이 목표”
피싱은 사이버 범죄자들이 가짜 웹 페이지를 이용해 사용자들의 비밀 데이터를 빼내는 불법 및 부정 행위이다. 이런 피싱 공격은 특정 운영 시스템을 대상으로 개발된 악성 소프트웨어와 달리 웹 페이지에 접속할 수 있는 모든 기기와 장치에 위협을 초래한다. 사기 범죄자들 사이에 피싱 공격이 ‘인기’를 끌고 있는 이유가 여기에 있다. 2013년 한해만 해도 카스퍼스키랩은 3,960만 명에 달하는 사용자를 이런 사이버 위협으로부터 보호했다. 사용자의 금융 정보를 훔치는 피싱 사이트는 일반적으로 유명한 온라인 상점과 전자 결제 시스템, 온라인 금융 시스템의 브랜드 명을 도용한다. 2013년 가장 많이 도용된 표적은 은행으로, 전체 금융 피싱의 70.6%를 차지했다. 은행권 피싱 공격 비율이 단지 52%에 불과했던 2012년에 비하면 이는 상당히 증가한 수치다. 전반적으로 2013년 가짜 은행 웹사이트를 이용한 피싱 공격은 (22.2%로) 두 배가 증가했다. 사기 범죄자들은 범죄를 통해 큰 이득을 얻기 위해 방대한 고객 데이터베이스를 보유한 유수 기업들의 브랜드명을 도용했다. 예를 들어, 가짜 은행 웹 페이지를 이용한 피싱 공격 가운데 약 65%가 도용한 금융 기관의 명칭은 단 25개에 불과했다. 전자 결제 시스템에서는 이런 ‘집중화’ 현상이 더 두드러진다. 전자 결제 시스템을 표적으로 삼은 피싱 공격 중 88.3%가 국제적 브랜드인 페이팔(PayPal), 아메리칸 익스프레스(American Express), 마스터 카드(Master Card), 비자(Visa) 중에서 하나를 도용했다. 최근 몇 년간, 피싱 공격에서 가장 많이 도용된 온라인 상점은 아마존닷컴(Amazon.com)이다. 온라인 상점을 도용한 피싱 공격의 61.1%에서 아마존닷컴이 도용됐다. 다음으로는 애플(Apple)과 이베이(eBay)가 가장 많이 도용됐지만, 아마존에는 크게 못 미친다. 카스퍼스키랩의 가정용 및 중소기업용 보안 솔루션은 온라인 금융이나 결제 동안 사용자 데이터를 확실하게 보호하는 세이프 머니(Safe Money) 기술로 표준 안티피싱 메카니즘을 보완하고 있다. AV-TEST, MRG Effitas, Matousec 등 카스퍼스키랩과 관계가 없는 제3의 테스트 기관들이 실시한 테스트에서도 이 기술의 효과가 입증됐다. 기업 평판과 고객을 사이버 범죄로부터 보호하려는 기업들은 카스퍼스키 랩의 Kaspersky Fraud Prevention 플랫폼을 도입하면 큰 도움을 받을 수 있다. 온라인 금융 거래를 여러 단계(계층)에 걸쳐 철저히 보안 처리할 수 있도록 개발된 기술이다. 이는 고객이 사용하는 프로그램, 인터넷 거래를 검사하는 서버 솔루션, 모바일 애플리케이션 보호용 기술들로 구성되어 있다. 피싱 범죄자들은 금융 기관의 웹 사이트만 도용하지 않는다. 소셜 네트워킹 사이트를 매개체로 삼아 공격을 하는 사례도 잦다. 2013년 한 해 페이스북과 다른 소셜 네트워킹 사이트를 도용한 가짜 웹 페이지 피싱 공격은 6.8% 포인트 증가해 전체의 35.4%를 차지했다. 카스퍼스키랩이 발표한 ‘2013년 사이버 금융 위협’ 보고서는 카스퍼스키 보안 네크워크(Kaspersky Security Network)에 참여하고 있는 사람들이 자발적으로 제공한 데이터를 사용하고 있다. 카스퍼스키 보안 네크워크(Kaspersky Security Network)는 카스퍼스키 랩 제품 사용자가 직면한 위협에 관한 객관적인 데이터를 신속하게 처리할 수 있도록 설계된 글로벌 분산형 클라우드 기반 인프라스트럭처이다. 카스퍼스키랩의 웹 안티피싱 감지를 토대로 피싱 공격에 대한 통계를 수집할 수 있다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
