연말연시, 피싱 주의보!

연말연시, 피싱 주의보! 안철수연구소 / 2011-12-08   어느새 12월이다. 다사다난했던 2011년도 이제 한 달이 채 남지 않았다. 백화점에는 거대한 크리스마스트리가 세워져 그 자태를 뽐내고 있고 거리에는 예쁜 조명들이 밤을 수놓고 있다. 사람들은 추운 날씨가 느껴지지 않는지 연인과 함께 밤거리를 걷는다. 연말연시, 한 해를 보내고 새해를 맞이하는 슬프지만 가장 아름다운 시간이 왔다.   크리스마스, 시청 앞, 보신각 종소리... 아름다운 사람과 추억이 가득한 이 때, 한쪽에서 이들을 냉정히 바라보는 눈동자가 있다.  사람들의 마음이 들떠있을 때를 결코 놓치지 않는 그들, 바로 피셔(Phisher)다.     피싱? 피셔?   피싱(Phishing)이란 개인정보(private data)와 낚시(fishing)의 합성어로 금융기관 등의 웹사이트나 거기서 보내온 메일로 위장하여 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기수법이다. 피셔는 바로 이 피싱을 이용해 불법적인 이익을 얻으려 하는 사람들을 말한다.   피셔들은 주로 많은 사람들이 관심을 갖는 사회적인 이슈를 악용한다. 이것을 사회공학적 기법이라 부르는데, 올해에도 일본 대지진, 스티브 잡스 사망 소식 등 굵직한 뉴스가 나올 때마다 악성코드를 이용한 피싱이 어김없이 발생했다. 연말연시에는 주로 '크리스마스 카드로 위장한 악성코드'나 '신년 축하 카드로 위장한 악성코드' 등이 매년 발견된다.   [그림 1] 스티브 잡스 사망을 악용하여 악성코드 유포를 시도하였던 메일   하지만 이런 피싱 시도들을 매년 있었던 일이라 치부하기에는 최근의 피싱 수법이 극히 악랄하고 지능적이다. 최근 이슈가 된 공공기관 사칭 보이스피싱이 바로 그것이다. 해외에서 발신번호를 조작하여 공공기관을 사칭해 피해자에게 전화한 피셔들은 사전에 만들어둔 가짜 홈페이지를 그들에게 보여주어 큰 의심없이 개인 정보를 기입하게 만든다. 이후 피해자 계좌에 있는 돈을 인출하거나 그들 명의로 카드를 발급받아 돈을 대출 받는다.   [그림 2] 단축 URL로 변환된 악성코드 유포 URL   최근에는 SNS 등이 발달하면서 피싱 수법 또한 점차 지능화되고 있다. 안철수연구소 ASEC 대응팀의 보고에 따르면 트위터와 같은 SNS의 단축 URL 서비스를 악용하거나 허위 클라우드 백신을 유포하여 금전 결제를 유도하는 피싱 수법이 증가하고 있다. 이후 피싱이란 걸 깨달은 피해자들이 신고를 하여도 피셔를 찾기도, 피해 보상을 받기도 힘든 것이 현실이다.      그럼 이런 피싱을 피하기 위해선 어떻게 해야 할 것인가?      피싱을 피하기 위해선?   결론은 의심하고 또 의심하는 것이다.  즉, 예방만이 최선이다.      다음 6가지 사항이 발견되는 사이트라면 위장 사이트가 아닌지 한 번쯤 의문을 품고 확인해봐야 한다.   1. 한 화면에서 개인정보를 동시에 여러 개 입력하게 한다. 2. 이체 거래를 수행할 때, 이용자가 직접 출금 계좌번호를 입력해야 한다. 3. 로그인 절차 없이 주소만 입력하면 바로 인터넷뱅킹 화면이 나타나서 금융거래를 수행할 수 있다. 4. 보안카드 비밀번호를 입력할 때, 별도로 뜨는 인증서 선택창이 없이 화면에서 보안카드 비밀번호를 입력하도록 유도한다. 5. 공인인증서 비밀번호를 입력할 때, 2회 이상 입력하도록 요구한다. 6. 평소 이용하던 은행의 인터넷뱅킹 사이트와 화면 구성이 차이가 난다.   이런 위장 사이트의 유통 경로로 이메일이 많이 이용되고 있다. 때문에 이메일을 사용할 때도 주의가 필요하다.   1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 않는다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용한다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하도록 한다. 4. 메일 본문에 포함된 URL은 가급적 접속을 하지 않도록 한다.     안전한 PC 사용과 차분한 전화 대처로 피싱을 피하는 것이 연말연시를 따뜻하게 보내는 하나의 방법이 될 것이다.