피싱·파밍 극성…신용카드 사용 기본수칙 지켜야

충북 청주시에 사는 변모 씨는 최근 모 신용카드사 채권관리팀이라고 밝힌 한 남성에게서 전화를 받았다. 남성은 변 씨의 카드대금이 연체됐으며, 카드대금을 즉시

입금하지 않으면 법적조치가 취해질 것이라고 말했다. 당황한 변씨는 남성이 요구하는 대로 주민등록번호를 알려주고, 남성이 시키는 대로 카드대금을 입금하기 위해 현금지급기 앞으로 갔다. 현금지급기 앞에서 변 씨는 통화 내용이 수상하다고 여겨 전화를 끊고 해당 카드사에 확인한 결과, 카드대금을 연체한 사실이 없다는 것을 알게 되었다.

신용카드사와 금융기관을 사칭하며 신용카드 회원에게 개인정보를 요구하거나 현금지급기로 유인해 특정 계좌로 입금을 요구하는 보이스 피싱(Voice Phishing)이 좀처럼 줄어들지 않고 있다.

진짜 사이트 주소를 입력해도 가짜 사이트로 접속되는 파밍(Pharming)이나 금융기관을 사칭한 e메일에 가짜 인터넷 주소를 링크해 금융정보를 빼내는 피싱(Phishing)도 여전히 극성을 부리고 있다.

피싱과 파밍을 이용한 공격은 이메일이나 전화 등을 이용해 경품당첨이나 범죄연루, 신용카드 대금 연체 등을 통보하며 직접 현금 입금을 강요하거나 개인 주민등록번호나 인증번호, 신용카드 번호, 계좌정보 등을 빼내 다른 범죄에 악용하고 있다.

그동안 언론 등을 통해 피싱과 파밍에 대한 피해사례가 알려지면서 각 기관이 피해를 막기 위한 수칙을 당부하고 있지만, 공격자들의 수법이 날이 갈수록 교묘해 져서 피해를 사전에 막지 못하고 있는 실정이다.

여신협회 “SMS 이용해 금융사기 막아야”

여신금융협회(회장유석렬, www.crefia.or.kr)는 13일 피싱과 파밍 피해를 막기 위한 10가지 수칙을 발표하고 “의심스러운 전화를 받았을 경우에는 주민등록번호를 포함한 개인정보를 말하기 전에 반드시 해당 카드사에 확인전화 할 것”을 당부했다.

여신협회는 “어떠한 경우에도 카드사가 회원에게 주민등록번호를 요구하거나, 현금지급기를 통하여 카드대금을 입금토록 하는 경우는 없다”며 “또한, 지나친 경품제공에 현혹되어 개인정보나 금융정보를 알려주어서는 안된다”고 강조했다.

여신협회가 발표한 수칙에 따르면 피싱으로 의심될 때는 카드 개인정보를 변경하거나 협회에서 운영하고 있는 카드발급 중지 서비스를 이용하고, 카드사에서 제공하는 SMS 서비스를 이용하는 것이 좋다.

피싱은 링크된 주소를 바로 열지 않고 인터넷 주소창에 직접 해당기관의 주소를 입력하면 피해를 예방할 수 있지만, 파밍은 인터넷 주소를 관할하는 시스템을 공격하기 때문에 정확한 금융기관 주소를 입력하더라도 가짜 홈페이지로 이동된다.

이를 방지하기 위해서 링크된 홈페이지는 방문하지 말고, 보안프로그램 설치, 바이러스 백신, 스파이웨어 제거프로그램을 이용하고, 최신 윈도우보안패치 적용해야 한다.

금융사기는 해외 교민이나 유학생의 개인정보를 도용해 신용카드를 발급하거나, 해외에서 부정사용되는 경우도 발생하고 있으므로, 신용카드의 출국 여부 확인시스템 서비스를 신청하는 것이 좋다.

신용카드 뒷면에 반드시 본인 서명을 하고, 배우자나 가족을 포함한 다른 사람에게 신용카드를 빌려주거나 맡겨서는 안되며, 카드를 잃어버리거나 도난당한 경우 즉시 카드사에 알리는 등 신용카드 사용 기본수칙을 지켜야 한다.

스푸핑 이용해 네트워크 트래픽 탈취

파밍 기법은 날이 갈수록 더욱 교묘하고 지능적으로 발달해 악성코드를 시스템 내의 눈에 띄지 않는 곳에 삽입, 숨겨두면서 방문자의 PC에 악성프로그램을 설치하고 구동시켜 피해를 확산시키고 있다.

최근에는 사용자의 시스템 권한을 얻은 뒤 정보를 탈취하는 스푸핑(Spoofing) 기법이 발달하면서 네트워크의 트래픽을 탈취, 변조하는 공격기법도 나타나고 있다.

스푸핑은 공격자가 임의로 웹사이트를 구성, 사용자들의 방문을 유도한 뒤 인터넷 프로토콜 TCP/IP의 구조적 결함을 이용해 사용자의 시스템 권한을 획득한 뒤 정보를 탈취하는 해킹 기법이다.

한국정보보호진흥원(KISA) 인터넷침해사고대응센터가 최근 발간한 ‘2007년 2월 인터넷침해사고동향 및 분석월보’에 따르면, 악성코드 삽입 및 웹 변조 침해사고가 한단계 진화한 ARP 스푸핑 기법으로 발전한 것으로 나타나고 있다.

ARP 스푸핑 기법은 대상 웹 서버에 침투하지 않고 동일한 서브 네트워크의 취약 시스템을 악용할 수 있어 네트워크 내 동적 ARP 캐시를 운용하고 있는 모든 서버의 트래픽 변조가 가능해 침해사고를 분석할 때 서버단위에서 네트워크 단위로 분석 범위를 확장해야 한다.

인터넷침해사고대응지원센터는 “각 기업과 기관 관리자들이 보안관리 수칙을 철저히 점검하고 이행해야 한다”며 “사용자들도 의심스러운 사이트는 방문하지 않도록 한다”며 주의를 당부했다.

이메일에 보관한 공인인증서 유출

피싱·파밍 등 공격기법이 개인정보 유출과 금융피해로 이어지면서 시중은행 역시 소비자들에게 주의를 촉구하고 나섰다.

국민은행은 일부 인터넷 포털 사이트의 이메일 계정이 해킹돼 보관 중이던 공인인증서가 유출되는 사례가 발생했다며 고객들에게 인증서 관리에 주의를 기울여줄 것을 당부한 바 있다.

국민은행에 따르면 최근 한 해커가 포털 사이트의 이메일 계정을 해킹한 뒤 메일에 보관돼 있던 공인인증서를 복사해 불법으로 2000만 원을 결제하는 사건이 발생했다.

국민은행은 “이메일 계정 등 정보가 쉽게 노출될 수 있는 곳에 공인인증서를 보관해서는 안돼며 USB등 본인이 관리할 수 있는 별도의 장치에 보관해야 한다”며 “공인인증서 비밀번호와 이메일 비밀번호를 비밀번호와 같도록 설정하지 않도록 해야 한다”고 강조했다.

[김선애 기자(boan1@boannews.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>