피싱(Phishing)은 낚시(Fishing)와 몇 가지 공통점을 갖고 있다. 낚싯줄을 던지는 것은 피싱을 배포하는 자가 이메일이나 웹 주소를 찾는 것에 비교될 수 있고, 물고기가 미끼를 무는 것은 사용자들이 피싱으로 피해를 입는 것에 비교될 수 있느니 이런 걸 보면 영어로 낚시라는 단어와 비슷한 발음으로 이름 붙인 것은 참 잘한 일이다.

초기의 피싱은 일반적으로 이메일을 통해서 이루어졌다. 피싱 이메일은 사용자들이 흔히 신뢰할 수 있는 웹 사이트에서 발송된 것과 같이 위조되어 유입됐다. 만약 신뢰하는 웹 사이트에서 발송한 것과 같은 위조된 공지 메일을 본다면, 사용자들은 아무런 의심 없이 신용카드번호, 계좌번호, 비밀번호, 주민등록번호 등 그들의 중요 개인 정보를 입력하는 누를 범하게 된다.

이메일을 통한 피싱 공격보다 보다 지능화 된 것이 웹 기반이다. 이메일을 통한 피싱이 유행처럼 번지자, 관련 보안 업체는 부랴부랴 안티스팸메일 기능을 강화하였다. 하지만 이 역시도 웹 기반의 피싱 공격에 대해서는 무용지물이다. 웹 기반의 피싱 공격은 바로 사용자의 조그마한 실수에서 비롯된다. 바로 인터넷 사용자들이 은행, 포털, 온라인 쇼핑 사이트 주소와 같이 대중적인 사이트의 주소를 실수로 잘못 입력할 때를 주로 노린다. 가령 www.paypal.com을 www.paypol.com로 잘못 입력했을 때와 같은 경우이다.

당연히 웹 기반 피싱 공격자들은 많은 방문자 수를 갖고 있는 사이트를 메인 타겟으로 할 때, 공격률을 높일 수 있다는 것을 잘 알고 있다. 그렇기에 인기 사이트의 주소를 주소창에 입력하면서 철자를 잘 못 입력할 때를 노린 공격과 대중적인 사이트의 해킹에 집중하는 공격자들이 늘어나는 것은 당연한 일이다. 여기서 필자를 이와 같은 실수를 범하지 않기 위해서라도 ‘즐겨찾기’를 권장하고 싶다.

이렇듯 피싱은 모든 인터넷 사용자가 믿을 만한고, 잘 알려진 사이트를 이용해 고객의 정보를 유출해 내는 것이 주 목적이다. 시간이 지남에 따라, 인터넷 사용자들은 이와 같은 속임수나 공격에 대해 쉽게 속지 않게 됐으나, 서로 공격과 방어를 거듭하는 동안 이미 인터넷 사용자들은 많은 대가를 치러야만 했다.

관련 업계에 따르면, 피싱으로 인해 입는 손해는 사고당 약 300만원 정도라고 한다. 피싱으로 인한 전체 피해 금액으로 확장하면, 그 피해액은 약 1조에 달한다고 한다. 은행과 아마존, 이베이, 페이팔 같은 쇼핑 사이트들은 피싱 공격자들이 합법 사이트로 위장하는 데에 사용하는 가장 인기 있는 사이트라고 할 수 있다. 마이스페이스나 페이스북 같은 소셜 네트워킹 사이트 역시 “소셜 피싱”의 주요 타겟이다. 어떤 테스트에서는 소셜 네트워크를 통한 피싱 공격의 약 70%가 효과를 봤다고 한다.

생각해보라. 우리가 얼마나 쉽게 소셜 네트워킹 사이트에 개인 정보를 열람하고, 공유하는지를. 이제 많은 피싱 공격자들은 SSL 암호화를 사용하는 안티피싱 솔루션을 우회하는 방법을 개발하려고 할 것이다.

이에 관련 업체들은 안티피싱 보호 기능을 보다 강화함으로써, 날로 지능화되는 피싱 공격을 차단하기 위해 골머리를 쌓고 있다. 가령 블루코트의 경우, 웹필터(WebFilter)와 다이내믹 실시간 등급 서비스(DRTR)를 통해 실시간으로 안티피싱 보호 기능을 제공하고 있다. 또한 블루코트 웹필터는 기존의 프록시SG 어플라이언스와 다이내믹 실시간 등급 서비스를 이용, 꾸준히 바뀌고 생성되는 피싱 사이트를 업데이트 하여 사용자들에게 제공하고 있다. 다이내믹 실시간 등급 지정 서비스는 사용자가 요청한 새롭거나 데이터베이스에 없는 웹 사이트 들을 순식간에 분류 및 등급을 지정, 결과에 따라 사용자에게 접근을 차단하거나 허용할 수 있고, 이를 기관이나 사용자의 정책에 반영하는 것도 가능하다.

만일 페이지가 안티피싱 솔루션에서 제공하는 데이터베이스에서 발견되지 않는다면, 이는 실시간으로 분석할 필요성이 있다. 왜냐하면 이러한 피싱 웹 사이트들은 짧게는 몇 분에서 몇 시간까지 단시간 동안 존재하는 경우가 많기에, 많은 종류의 안티피싱 데이터베이스 조차도 이를 탐지 못하는 경우가 많다. 그러기에 URL을 순식간에 분류해내고 정의할 수 있는 기능을 갖는 것은 필수 불가결한 요소라 할 수 있다. 만일 웹 페이지가 피싱 사이트로 분류된다면, 웹 페이지로의 접속을 차단하고, 사용자에게 이 사실을 알려 주어야 한다. 블루코트의 경우, 이 전체 과정을 완료하는데 걸리는 시간은 불과 1000분의 250초에서 1000분의 750초 사이이다.

그럼 이로써 피싱에 관한 문제는 모두 해결되었을까? 아직 속단하기에는 이르다. 피싱 사이트는 지금 이 순간에도 번창하고 있고, 초창기의 피싱 방식도 아직까지 통하고 있다. 새로운 피싱 전술들을 보면 가시성, 위험성, 반환 비율을 낮춤으로써 더욱 더 많은 이윤을 창출하고 있다. 일반적인 비즈니스와 같이 피싱 역시 시간과 노력을 들여야만 이윤을 얻을 수 있다. 바꿔 말해, 안티피싱 기술도 실시간으로 시간과 노력을 투자해야만 한다는 것이다.

피싱 공격은 그들의 호스트나 도메인을 필터로부터 숨기기 위해 짧은 시간에 공격하고 사라지는 경우도 많기 때문에 실시간 분석만이 인터넷 사용자들을 효율적으로 보호할 수 있다. 피싱은 아직까지 심각하게 고려되어야 할 위협임에 분명하고, 이는 실시간 분석을 통해 대부분 차단할 수 있다.

[글·블루코트 코리아 최종현 부장(alex.choi@bluecoat.com)]

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>