• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

최근 사이버사기 4가지 유형과 대처법 2014.04.29

피싱·스미싱 2012년에 비해 크게 증가...스미싱 피해 57억원


[보안뉴스 김태형] 최근 사이버사기의 대표적 유형은 피싱(Phishing), 파밍(Pharming), 스미싱(Smishing), 보이스피싱(Voice Phishing)이다.


피싱은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 전화 또는 이메일을 통해 가짜 사이트로 이용자의 접속을 유도해 금융정보 등을 탈취하는 수법이다.


또 피싱의 한 유형인 파밍은 피싱보다 진화한 형태로 이용자 PC를 악성코드에 감염시켜 정상적인 사이트를 입력해도 가짜 사이트로 접속되어 금융정보 등을 탈취해가는 수법이다.


지난 2012년 처음 발생해 최근 기승을 부리고 있는 스미싱은 악성 앱 주소가 포함된 휴대폰 문자를 대량으로 전송한 후, 이용자가 악성 앱을 설치하도록 유도해 금융정보 등을 탈취해 소액결제 피해를 입히는 신종 사기 수법이다.


이와 함께 보이스피싱은 전화로 수사기관, 정부기관, 금융기관 등을 사칭해 돈을 송금하게 하거나 개인정보, 금융정보 등을 탈취하는 수법이다.


이와 관련 전인경 KISA 침해대응기획팀 팀장은 “피싱은 KISA에서 매년 5~6천건의 피싱사이트를 찾아서 차단하고 있다. 이러한 피싱사이트는 지속적으로 증가하고 있으며 대부분 글로벌 도메인을 사용하고 있다. 특히 닷컴, 닷넷을 많이 사용하고 청와대, 검찰, 경찰, 은행 등을 주로 사칭하고 있다”라고 설명했다.


또한 그는 “파밍은 사용자가 정상 사이트를 입력해도 가짜 사이트로 연결되며 일반적으로 이용자 PC의 호스트 파일을 변조하는 악성코드에 감염되어 발생하는 것이다. 정상적인 은행사이트로 보이지만 거래를 진행하려면 보안 승급 등을 이유로 보안카드 번호 등과 같은 금융정보를 입력하도록 유도해 피해를 입힌다. 2013년 파밍 피해 규모는 164억원을 넘는다”라고 말했다.


그리고 보이스피싱은 건수가 많지는 않지만 건당 피해규모가 커서 지난해에는 약 560억원 가량의 피해가 발생한 것으로 조사됐다. 특히 보이스피싱은 개인정보를 안 상태에서 전화로 금융기관을 사칭하기 때문에 피해가 크다. 설날이나 추석 등의 명절 전후 이러한 사이버사기가 급증하고 있으며 평일 업무시간에 많이 걸려온다는 특징이 있다.


전 팀장은 “2012년에 스미싱이 처음 발생해 약 2천여 건에 지나지 않았으나 2013년에는 10배 이상 증가한 약 2만 9천여 건으로 피해 금액도 57억원이 넘는다. 스미싱은 이용자들에게 스마트폰 URL이 포함된 문자를 보내 문자에 포함된 인터넷 주소를 클릭하도록 유도한다”면서 “이러한 문자 자체가 신뢰할 수 있는 공공기관, 지인, 상품 쿠폰 등을 사칭해 이용자들의 스마트폰에 악성 앱을 설치하고 스마트폰 문자를 가로채거나 저장된 사진이나 주소록을 탈취한다”고 설명했다.


이러한 스미싱은 과거 유명 브랜드의 쿠폰을 사칭한 스미싱이 많았고 지인을 사칭하거나 택배 등으로 진화·발전했다. 그러다가 최근에는 사회적 관심사항에 대한 문구를 활용해 다양한 스미싱이 발생하고 있다.


파밍과 스미싱은 2012년에 비해 2013년에 크게 증가한 사기 수법이다. 특히 스미싱 피해를 입지 않기 위해서는 출처가 불분명한 문자를 클릭하지 말아야 하고 휴대폰 소액결제 사용 제한 기능을 설정해야 한다.


또한 스마트폰에 알 수 없는 앱 설치를 원천 차단하는 보안기능이 있어 이를 설정을 해두어야 한다. 그래도 피해를 입었을 경우에는 즉시 경찰서에 신고해 ‘사건사고 사실확인원’을 발급 받아 해당 이통사에 제공한 후, 이러한 사실이 확인되면 전액 보상을 받을 수 있다.


전 팀장은 “이러한 스미싱 차단을 위해서 지난해 8월부터는 스마트폰 출고 시 백신 앱을 기본 탑재하도록 했고 향후에는 휴대폰 출고 시 스미싱 차단 앱의 기본 탑재를 추진할 계획”이라면서 “그리고 지난해 11월부터는 이통사와 협조해 스미싱 정보 제공을 위한 웹발송 문자 식별제도를 시범 실시하고 있다. 향후에는 이 웹 발송 문자 식별제도를 이통3사로 확대해 나갈 계획이다. 또한 수신 문자에 대한 스미싱 확인 서비스도 올해 10월부터 실시할 예정”이라고 말했다.


아울러 스미싱 문자 탐지·분석을 통한 스미싱 문자 차단 및 악성앱 유포 서버를 차단하고 있으며 향후에는 분석 자동화 등, 스미싱 대응 시스템을 고도화해 나갈 계획이다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>