• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

발전하는 피싱 공격, “나 아직 죽지 않았다” 2014.08.05

소셜 네트워크와 인터넷 환경의 발전으로 피싱 공격도 발전

현재로서는 의심하고 꼼꼼하고 살피는 것만이 대응 방법


[보안뉴스 문가용] 시만텍에서 지난 4월 2014년 인터넷 보안 위협 보고서를 발표했다. 2013년 한 해 동안 일어났던 위협들을 그 전에 일어났던 것들과 비교하여 되짚어보는 내용으로 구성했으며, 이를 바탕으로 올해의 현상들과 미래에 대한 예측까지도 곁들였다. 시만텍 웹 사이트에 가면 누구나 다운로드 받아볼 수 있긴 하지만 적지 않은 분량이다.

 

 ▲ 고인돌은 ‘괸 돌’이지 ‘고인(古人)돌’이 아니다. 적어도 피싱에게는.


보고서에 들어가 있는 수많은 내용 중 가장 흥미로웠던 것 중 하나는 공격 방식도 유행처럼 돌고 돈다는 부분이었다. 바로 피싱을 지칭하는 말이었다. 피싱이란 것의 유통기한이 지난지 이미 오래된 것처럼 보인다. 더 이상 아무도 피싱에 당하지 않을뿐더러 오히려 피싱 전화가 오면 반갑게 화답하면서 가지고 놀았다는 경험담도 등장할 정도다.


시만텍 역시 피싱은 최소 10년 전에도 존재했던 공격 방법이라는 점을 짚어준다. 빠르게 변하는 IT 분야에서 10년이면 이미 화석과 같은 존재다. 하지만 시만텍의 조사에 따르면 그 화석은 아직 굳건히 살아있는 듯 하다. 2012년에 비해 2013년에 이메일 피싱 공격이 5%나 늘어났기 때문이다.


원래 예전부터 피싱은 은행에서 온 알림 메일과 같은 형태를 띠었다. 은행에서 온 것처럼 보이는 메일을 열고 링크를 클릭하면 해당 은행의 공식 웹 사이트와 똑같이 생긴 사이트로 연결이 됐다. 그리고 거기서 필요한 정보를 아무런 의심 없이 입력함으로써 해커들에게 귀한 정보를 고스란히 넘기는 방식이었다. 보통 이에는 금융 정보가 많았다.


그런데 이 방식이 높은 성공률을 갖지는 못했다. 이메일을 받은 사용자가 피싱 메일이 위장한 은행에 계좌를 가지고 있을 확률이 낮았기 때문이다. 게다가 사용자들이 금융 정보를 다룸에 있어서 생각보다 훨씬 조심스러웠다. 그렇기 때문에 피싱이라고 하면 아무도 실제 ‘위협적’이라고 여기지 않았다. 이 부분에 대한 시만텍의 의견을 첨부한다.


“시간이 지나면서 피싱도 진화했습니다. 예전엔 은행 등 금융 관련 기관인 것처럼 위장해 사용자들을 꾀어냈다면 요즘엔 다양한 업체나 조직인 것처럼 굽니다. 여기엔 소셜 엔지니어링의 발전이 일조했습니다. 그래서 에너지 산업, 로열티 카드 프로그램 등 개개인이 열어볼 법한 기업이나 단체에서 온 것과 같은 맞춤 피싱 메일을 보냅니다. 게다가 사람들이 점점 인터넷으로 돈을 지급하거나 고지서를 처리하기 때문에 이 또한 좋은 먹잇감이 됩니다. 이런 고지서나 청구서를 악용해 엉뚱한 사람의 이름으로 은행에 계좌를 만들어 돈 세탁을 하는 게 가능하기도 합니다.”


피싱은 화석이 되기는커녕 오히려 더 젊어지고 생생해진 것이다. 여기엔 소셜 네트워크의 발전과 온라인 지불 시스템의 발전이 한몫했다. 시만텍은 이에 대해 다음과 같이 설명한다.


“인기 높은 소셜 네트워크의 로그인 페이지와 똑같이 생긴 사이트로 사용자들을 유혹하는 방식의 피싱 공격이 많아졌습니다. 그냥 똑같이 생긴 게 아니라 진짜 소셜 네트워크에서 메인 페이지에 내걸법한 최신 트렌드나 인기 있는 열쇳말도 등장시킵니다. 이런 식으로 유명인들의 블로그, 인기가 급상승 중인 커뮤니티들도 좋은 미끼처럼 활용하는 게 가능합니다.”


또 하나, 끝을 모르게 확산하고 있는 기부 문화를 악용하는 사례도 늘어나고 있다. 재난이 일어난 곳에 대한 지원을 호소하는 이메일 혹은 비영리 봉사 단체가 보낸 것처럼 보이는 이메일을 통해 페이팔 계정 정보 등 의외로 많은 금융 정보가 넘어간다. 그뿐 아니라 사용자의 컴퓨터에 멀웨어를 뿌리는 것도 가능하다.


이렇게 범죄는 새롭게 개발될 뿐 아니라 죽었던 것도 다시 살아나는 판국인데, 우리는 뭘 어떻게 해야 할까? 먼저는 클릭부터 하는 습관을 고쳐야 한다. 그리고 링크된 곳의 주소가 가고자 하는 사이트의 정식 주소와 똑같은지 두 번 세 번 확인해야 한다. 또한 정식 금융 기관이나 정부 기관은 애초에 메일 발송을 잘 하지 않는다는 사실을 기억해야 한다. 무엇보다 이메일 작성에 사용된 문구가 매끄럽지 않으면 높은 확률로 피싱 메일이니 꼼꼼하게 읽어보는 것이 중요하다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>