정상 사이트 식별위해 개인 아바타 설정

휴대폰 인증 도입으로 최종 인출 시도 무력화 

금융권, 피싱ㆍ파밍 공격에 신경 곤두세우고 있다

 

금융감독위원회와 금융보안연구원 주최 제1차 금융 정보보호 기술세미나가 5일 금융감독원 대강당에서 개최됐다.

이날 세미나에는 금융권 정보보호 담당자들과 IT보안 기업 담당자들이 참석한 가운데 금융감독위원회 전자금융 감독정책발표와 전자금융 해킹ㆍ피싱사고 대응방법 등이 소개됐고 실제 피싱시연도 선보여 참가자들의 많은 관심을 끌었다.

이 자리에서 김인식 금융감독원 IT감독팀장은 “최근 전자금융의 안전성을 위협하는 해킹ㆍ피싱 등의 공격이 발생하고 있으며 전자금융 이용자를 공격하는 방법이 점차 지능화 되는 추세”라며 “해킹ㆍ피싱사고시 신속하고 효과적인 대응을 위한 대응절차 및 유형별 담당기관의 역할정립이 필요하다”고 강조했다.

또 김 팀장은 “금융기관 피싱예방 및 대응을 위한 솔루션을 적극 도입하고 금융권 공동대응을 위한 솔루션 검토 및 개발도 적극 참여할 필요가 있다”고 밝히고 “이용자 PC 보안강화를 위해 보안패치를 자동으로 해 주는 금융보안패치시스템 운영에 적극 참여할 것”이라고 말했다.

 

 

최근 피싱의 주요 특징과 이를 예방할 수 있는 구체적인 방안들에 대해서도 다양한 의견들을 내 놓았다.

성재모 금융보안연구원 해킹대응팀장은 “과거에는 이메일을 통해 위장 사이트로 유인해 개인정보를 획득하는 단순한 피싱이 주를 이루었지만, 최근에는 악성코드 유포, 파밍 기법과 결합된 피싱 출현으로 금융 사기가 점차 복잡화ㆍ지능화되고 있는 추세”라고 말했다.

피싱사고와 관련해 대부분의 강연자들이 지적한 문제점을 살펴보면 해킹ㆍ피싱 등 복합적인 공격기술의 진화에 따른 즉각적인 대응기술 확보가 부족하고 보안패치 설치가 미적용된 PC가 많아 악성코드 감염위험 노출이 많다는 것을 지적했다. 또 공인인증서 유출방지를 위한 대책 부족과 해킹ㆍ피싱 등에 대한 이용자들의 보안 의식 부족이 주를 이루었다.

이에 피싱 사고 방지를 위한 관련 기관들의 노력도 소개됐다.

우선 최근 금융감독원은 피싱에 대한 체계적인 예방 및 신속한 대응을 위한 ‘전자금융부문 해킹ㆍ피싱 사고 대응 절차’를 마련했고, 지난 1월부터는 피싱 사고접수 및 정보공유를 위한 피싱 전용 홈페이지(www.fsa.or.kr)를 구축ㆍ운영중이다. 또 신종 피싱사고에 대한 해외동향 파악을 위한 국제 공조체계 구축 및 협력을 강화하고 있다고 한다.

또한 금융보안연구원에서는 금융보안 패치시스템을 운영중에 있으며, 금융피싱 차단리스트(PBL)도 구축해 운영중이다. 또 피싱에 악용될 수 있는 유사 도메인의 상시적인 감시를 위한 도메인 등록정보 모니터링 서비스를 개발ㆍ운영하고 있으며 금융기관별 피싱대응 솔루션 적용을 적극 추진중에 있다고 전했다.

한편 잉카인터넷 관계자는 발표에서 “피싱에 적극적으로 대처해야 한다”며 “각 사이트에 인증코드를 삽입하거나 사전 등록된 사이트만 정상 접속이 되도록 해야 한다”고 강조했다.

또 그는 “금융기관 사이트 모든 화면에 사용자 본인이 직접 등록한 아바타 형식의 이미지 및 코멘트가 뜨도록 한다면 피싱을 차단할 수 있다”며 “더 나아가 정보가 유출돼 피싱에 성공했다 하더라도 최종 인출단계에서 고객이 등록한 휴대폰 인증을 한번 더 받도록 한다면 피싱공격을 무력화 시킬 수 있다”고 설명했다.

금융 사이트 개인 아바타 설정도입과 휴대폰 최종 인증도입은 조만간 일부 대형 은행 위주로 시범서비스 될 예정에 있다. 

마지막으로 피싱공격 시연을 맡은 이형관 숭실대학교 정보보호동아리 ACK 회원은 “피싱이 주요 공격기법이 되는 이유는 쉽게 만들 수 있고 효과도 크기 때문”이라며 “특히 피싱이 금융권 사이트에 집중돼 있고 지난 2005년과 2006년 사이에 5배가 증가했다”고 말했다.

그는 또 “네이버와 같은 포털 사이트를 만드는데는 불과 2~3분이면 똑같은 사이트를 만들 수 있다. 하지만 금융 사이트는 조금 시간이 더 걸리지만 그리 많은 시간을 투자하지 않아도 간단하게 위조 사이트를 만들어낼 수 있다”고 밝혔다.    

 

 

<김인석 금융감독원 IT감독팀장이 전하는 피싱 대응법>

 

1. 메일이나 게시판에 연결된 사이트에 개인정보 입력 주의

2. 금융거래 사이트는 주소창에서 직접 입력하거나 즐겨찾기로 사용하기

3. 금융회사에서 제공하는 보안프로그램을 반드시 설치하기

4. 바이러스 백신, 스파이웨어 제거프로그램을 설치하고 최신 윈도 보안패치를 적용하기

5. 정기적으로 PC보안상태 점검하기

6. 의심되는 이메일이나 게시판의 글을 열어보지 말고, 첨부 파일은 열람 또는 저장하기

    전에 백신으로 검사하기

7. 신뢰할 수 있는 사이트에서만 파일 다운로드하기

8. 금융계좌, 금융공인증서 등 각종 비밀번호를 서로 다르게 설정하고 주기적으로 변경하기

9. 전자금융에 필요한 정보는 수첩, 지갑 등 타인에게 손쉽게 노출될 수 있는 매체에

    기록하지 않고 타인(금융회사 직원 포함)에게 알려주지 않기   

10. 인터넷상에서 개인정보 및 금융정보 유출 주의

11. 공인인증서는 USB, 스마트카드 등 이동식 저장장치에 보관하기

12. PC방 등 공용장소에서는 인터넷 금융거래 자제하기

13. 무분별한 인터넷 이벤트 참여 자제하기

14. 전자금융거래 이용내역을 본인에게 즉시 알려주는 휴대폰 서비스 등을 적극 활용하기

15. 전자금융거래 1회 이체한도 및 1일 이체한도를 적절히 설정하기

16. 선수금 입금 요구, 상식수준 이상의 대출 조건을 제시하는 경우 해당 금융회사에

     해당 대출 취급여부를 직접 확인하기

17. 피싱 사고시 신고하기(금융감독원: 1332/ KISA 118, phishing@krcert.or.kr)

 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>