| 연말정산 시즌! 스미싱·피싱·파밍에 안전한가? | 2015.01.12 | ||||||
서비스 이용시 주민번호 뒤자리 입력시 숫자 노출되면 파밍 의심
‘국세청 연말정산간소화 서비스’ 홈피, 자물쇠·녹색표시창 없어 [보안뉴스 김경애] 13월의 월급이라는 연말정산 시즌이 돌아오면서 이를 악용한 스미싱, 피싱, 파밍사이트 등에 의한 피해가 우려되고 있다.
▲국세청 연말정산 간소화 서비스 공인인증서 로그인 웹페이지 피싱(Phishing)은 국세청 연말정산간소화 서비스 웹주소와 유사한 사이트로 연결시키는 것이 특징이며, 파밍(Pharming)은 호스트 변조를 통해 이용자가 정상 사이트를 입력해도 가짜 사이트로 연결된다는 점에서 피싱과 차이가 있다. ‘국세청 연말정산간소화 서비스’ 파밍 주의 오는 15일부터 제공될 예정인 ‘국세청 연말정산간소화 서비스’는 소득공제내역 조회 및 출력, 소득공제자료 제공동의 절차 안내, 부양가족 동의 신청현황 확인 등의 정보를 제공하고 있다. 이로 인해 1월 중순부터는 이용자들이 폭증할 것으로 보이며, 그중에서도 연말정산관련 자료 조회나 출력을 위한 조회/출력 서비스 이용이 가장 많을 것으로 예상된다. 그러나 자료 조회나 출력을 위해서는 납세자코너 카테고리->자료 조회/출력->주민번호 입력->공인인증서 로그인 순서를 거쳐야 하는데, 이 과정에서 공격자가 파밍 사이트로 연결시킬 수 있어 주의가 요구된다. 따라서 이용자는 주민번호 등록시 파밍 사이트인지 아닌지 좀더 꼼꼼해 체크해야할 필요가 있다. 이를테면 현재 ‘국세청 연말정산 간소화 서비스’의 경우 ‘자료 조회/출력’ 클릭 후 주민번호 입력시 주민번호 앞자리는 그대로 화면상에 보이지만 주민번호 뒷자리는 입력될 때 해당 숫자가 직접적으로 노출되지 않고, ●●●●●●●로 표기된다. 그러나 파밍 사이트의 경우는 그렇지 않다. 이와 관련해서 ‘미래CEO쭈’ 블로그 운영자는 “주민번호 뒷자리 입력 시 숫자가 그대로 노출되면 파밍 사이트로 의심해야 한다”며 “이용자는 주민번호 입력시 이 부분에 각별히 주의할 것”을 당부했다. 또한, 이용자는 웹사이트 주소창을 반드시 확인해야 한다며 파밍 사이트의 경우 보통 처음 접속한 주소와 다르게 변환되어 있는 경우가 대부분이라고 덧붙였다. KISA, 호스트 변조 주의
▲보호나라 호스트 변조 사례-1
이어 박 팀장은 “지난해에는 IP 주소를 변경해 백신을 우회하거나 공유기 관리자 페이지의 비번을 탈취해 가짜 사이트로 연결하는 등 공격범위가 확대되고 지능화되고 있다”며 “관리자 페이지의 비밀번호를 주기적으로 변경할 것”을 당부했다. 국세청 정보보안 예산 부족, 파밍 구분 어려워 게다가 현재 ‘국세청 연말정산 간소화 서비스’ 주소표시 줄에는 기존에 금융 사이트 등이 사용하는 자물쇠 아이콘이나 신뢰할 수 있는 녹색표시창이 없다. 그렇기 때문에 이용자 입장에서는 파밍 사이트인지 정상 사이트인지 확인하기가 쉽지 않다. 이와 관련 국세청 관계자는 “현재 ‘국세청 연말정산 간소화 서비스’ 웹사이트에서 이용자가 육안으로 쉽게 파밍 사이트 여부를 알아보기는 쉽지 않다”며 “직접적으로 확인할 수 있는 녹색표시창이나 자물쇠 아이콘 등은 지원되지 못하고 있는 실정”이라고 말했다. 그 이유는 무엇일까? 이에 대해 그는 “정보보안 예산의 경우 올해는 지난해에 비해 오히려 줄어들어 현실적으로 투자가 쉽지 않다”고 말했다. 다만 향후 대민사이트 전체가 차세대 시스템으로 바뀔 예정이기 때문에 그때 적용될 수도 있다는 것. 그러면서 그는 “지난 2013년에도 연말정산과 관련해 파밍 이슈가 발생한 바 있어 경찰청에 협조를 요청한 이후 파밍 예방 프로그램인 파밍캅 서비스를 통해 URL점검이 이뤄지고 있고, 현재 연말정산 사이트를 비롯해 홈텍스 등에 적용하고 있다”고 설명했다. 또한, 현재 SSL 서버인증과 구간 암호화는 되어 있으며, 파밍 사이트 대응체계는 한국인터넷진흥원과 방송통신위원회, 경찰청과의 협조 아래 이루어지고 있다고 덧붙였다. ‘연말정산 사용내역’ 스미싱 사칭 주의 파밍 사이트 만큼이나 주의해야 할 것이 바로 스미싱이다. ‘연말정산’을 사칭한 스미싱은 이미 지난해 이맘때쯤 기승을 부린 바 있기 때문이다. 이와 관련 본지는 지난해 12월 16일 ‘신용카드 소득공제용 사용내역입니다’ 문구의 스미싱에 대해 보도하며 주의를 당부한 바 있다. 이러한 유형은 연말정산 시즌이라는 점을 악용한 사회공학적 수법이라고 할 수 있다. 이에 따라 이용자는 다음과 같은 파밍 신고방법, 파밍사기 예방법, 스미싱 예방법 등을 참고해서 피해예방에 주의를 기울여야 한다.
<파밍 신고방법> 파밍사이트 신고를 위해 ‘hosts’ 파일 또는 ‘hosts’ 파일 내용을 캡처해 보호나라(www.boho.or.kr)에 신고하기를 통해 접수하면 된다. <파밍사기 예방법> ① 어떠한 경우에도 보안카드의 전체 정보입력을 요구하지 않는다. ② 공인인증서는 PC가 아닌 별도 매체에 보관한다. ③ 보안카드는 이메일, 웹 폴더, 스마트폰 등에 저장하지 않는다. ④ 문자메시지, 이메일 등에 포함된 사이트 접속을 주의한다. ⑤ 피싱 메일, 사기성 이벤트 등에 현혹되어 개인 정보를 제공하지 않는다. ⑥ 출처가 불분명한 파일이나 이메일은 읽어보지 않고 즉시 삭제한다. ⑦ 무료/불법 다운로드 사이트 이용을 자제한다. ⑧ 잘 알지 못하는 파일은 실행하거나 설치하지 않는다. ⑨ 윈도우즈와 백신프로그램의 업데이트로 최신 버전을 유지한다. ⑩ 전자금융사기 예방서비스에 가입하고 보안카드 대신 보다 안전한 OTP(일회용 비밀번호)를 이용한다. <파밍사기 피해 발생 시 대응방법> ① 금융회사 콜센터나 경찰청에 신고하고, 즉시 지급정지를 신청한다. ② 피싱 관련 기관으로 즉시 신고한다(금융감독원전자민원창구(02)1332 등) (금융보안연구원) <스미싱 예방 7가지 보안수칙> ① 스미싱 문자 안에 포함된 인터넷주소 URL을 클릭하지 않도록 각별히 주의해야 한다. ② 스마트폰 보안설정 강화를 위해 ‘환경설정>보안>디바이스 관리>알 수 없는 출처’에 V체크를 해제해 알 수 없는 출처의 앱 설치를 제한한다. ③ 백신프로그램을 설치하고, 항상 최신 버전으로 업데이트하고 실시간 감시상태를 유지한다. ④ 고객센터(114)로 전화해 소액결제 금액을 제한하거나 소액결제를 차단한다. ⑤ 금융정보 입력 제한을 위해 스마트폰 등 정보 저장장치에 보안카드나 비밀번호 등 중요정보를 사진으로 찍어 저장하지 말고, 보안승급 명목으로 보안카드번호를 요구하는 경우 입력하지 않도록 주의해야 한다. ⑥ 공인인증서 PC지정 등 전자금융사기 예방서비스에 가입한다. ⑦ 만약 URL을 클릭했을 경우, 스마트폰을 초기화하거나 한국인터넷진흥원(118), 금융감독원(1332), 경찰청 사이버안전국(112)를 통해 신고 또는 문의하면 된다. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||
 |
