|
피싱보다 무서운 '파밍 경계령' * AhnLab / * 2013-02-28
# 사례 1 유모씨(인천·30대 후반)는 지난해 11월 초 아이의 학원비를 이체하기 위해 은행 사이트를 방문했다. 포털 사이트에 'A은행'이라는 단어를 검색해 해당 은행 사이트에 접속했다. 이체를 위해 계좌번호, 계좌 비밀번호, 보안카드 번호 등을 입력했는데 나흘 뒤 유씨의 A은행 계좌에서 1,763만 원이 빠져나갔다.
# 사례 2 김모씨(경기도·40대 후반)는 지난해 11월 인터넷뱅킹을 하기 위해 컴퓨터 즐겨찾기에 등록해 놓은 B은행 사이트에 접속했다. 팝업창이 나타나 계좌번호, 계좌 비밀번호, 보안카드 번호 입력을 요구했다. 며칠 뒤 김씨의 B은행 계좌에서 총 5회에 걸쳐 1,039만 원이 사기범의 계좌로 이체됐다.
위는 최근 금융감독원이 밝힌 인터넷 금융 사기 피해 사례를 모은 것이다. 두 사람은 평소대로 포털 사이트에 특정 은행을 검색하거나, 사용자 PC의 즐겨찾기를 이용해 은행 사이트에 접속했다. 그리고 사이트가 요구하는 대로 정보를 입력하고 인터넷뱅킹을 시도했다. 그런데 금융 사기라니! 무엇이 문제였을까?
이들은 신종 금융사기인 '파밍(Pharming)'을 당한 것이다. 파밍이란, 사용자의 컴퓨터에 악성코드를 감염시켜 은행 사이트에 접속할 경우 가짜 사이트로 연결되도록 조작해 금융정보를 빼내는 신종 사기 수법이다. 파밍은 비교적 널리 알려진 피싱(Phishing)에 비해 알려지지 않은 데다 일반인이 알아채기 어려울 정도로 교묘하게 이뤄지고 있어 그 피해가 점차 늘고 있다. 보안에 신경을 쓰지 않는다면 누구든 파밍의 피해자가 될 수 있다는 말이다.
파밍, 진화된 피싱…정상 접속해도 가짜 사이트로
피싱과 파밍은 어떤 차이가 있을까? 피싱은 가짜 홈페이지를 만들어 놓고 불특정 다수에게 메일이나 문자 등의 미끼를 던져 해당 사이트에 접속하도록 유인한 뒤 개인의 금융정보를 빼내 불법적으로 이용하는 사기 수법이다.
반면 파밍은 가짜 홈페이지를 이용하는 것은 피싱과 같지만, 시스템 기법을 이용해 진짜 사이트 주소를 입력해도 가짜 사이트에 접속된다는 점에서 피싱의 진화된 형태로 볼 수 있다. 파밍은 대개 파일 공유 사이트 등에 접속한 이용자의 PC에 트로이목마와 같은 악성코드를 유포한 뒤 호스트(host) 파일 변조, 도메인 네임 시스템(DNS) 변조, 프록시(Proxy) 서버 주소 변조 등의 방법으로 사용자가 정상 금융회사 홈페이지에 접속해도 가짜 사이트가 접속되도록 한다.
파밍은 화면에 보여지는 가짜 웹 사이트의 주소가 진짜 사이트 주소와 같은 데다, 사이트 구성도 실제 은행 웹 사이트와 매우 유사하기 때문에 사용자는 파밍 사이트임을 알아채기가 쉽지 않다. 또한 사용자의 의심을 피하기 위해 "보안 승급이 필요합니다", "개인정보가 유출됐습니다" 등의 문구로 금융정보를 요구한다.
보안카드 번호 전체 요구는 100% 파밍 사기
그렇다면 파밍을 피할 수 있는 방법은 없을까? 일단 무리한 개인정보를 요구하는 것은 피싱과 파밍의 위험이 있을 수 있기 때문에 일단 의심해야 한다. 사이트에서 계좌번호, 계좌 비밀번호, 보안카드 번호 전체(일련번호, 코드번호)를 요구한다면 파밍 사기라고 보면 된다.
일반적인 인터넷뱅킹은 공인인증서로 로그인하기 때문에 별도로 계좌번호를 묻지 않으며, 보안카드 번호도 코드번호 2자리(ex. 33 앞 2자리, 15 뒤 2자리)만을 요구한다.
은행은 개인정보 유출 등의 긴급한 사항을 사이트를 통해 공지하지 않으며, 절대 보안 강화를 이유로 개인의 금융정보와 보안카드 정보를 요구하지 않는다.
[그림 1] 금융정보 강화를 이유로 개인정보를 요구하는 피싱 사이트 팝업창
[그림 2] 금융보안 강화를 이유로 개인정보를 요구하는 피싱 사이트 팝업창
파밍을 위한 악성코드에 감염됐다 하더라도 계좌번호, 계좌 비밀번호, 보안카드 비밀번호를 입력하지 않았다면 일단 금융 사기 피해는 막을 수 있다. 하지만 이미 사용자의 컴퓨터가 악성코드에 장악된 상태이므로 V3 정밀 검사로 악성코드를 치료해야 한다.
계속 진화된 악성코드가 등장한다는 점에서 백신 프로그램 자동 업데이트는 인터넷뱅킹 피해를 막는 가장 쉬우면서도 효과적인 방법이다. 공인인증서 등의 개인정보가 유출됐다면 즉시 은행에 연락해 관련 인증서를 전부 폐기하고 재발급 받아야 한다.@
<안전한 인터넷뱅킹을 위한 사용자 가이드>
온라인뱅킹 악성코드 감염 예방법
□ 백신 프로그램의 자동 업데이트를 설정한다. □ 잘 모르는 웹사이트는 가급적 접속하지 않는다. □ 정품 소프트웨어를 사용한다. □ 출처가 불분명한 파일은 다운로드하지 않는다. □ 이메일의 첨부파일을 열기 전, 온라인뱅킹을 이용하기 전에는 V3 검사를 한다. □ 이메일 등을 통해 전달된 링크는 직접 클릭해 접속하기 보다는 주소창에 직접 입력해서 확인한다.
온라인 금융 사기 방지법
□ 금융회사는 절대 보안 승급을 요청하지 않는다. 계좌번호, 계좌 비밀번호, 보안카드 번호 전체를 요구하면 바로 금융기관에 신고한다. □ 서비스 이용 시 의심스러운 부분이 있으면 해당 금융기관에 확인해본다. □ 만약 개인 금융정보가 유출됐다면 즉시 경찰청 112센터나 금융회사에 신고해 지급정지를 요청한다.
주민등록번호까지 확인하는 변종 파밍 사이트 발견! * AhnLab / * 2013-03-14
신종 금융사기인 '파밍(Pharming)'으로 인한 피해가 계속됨에 따라 금융감독원·금융위원회·경찰청이 합동 경보를 발령한 가운데, 최근 사용자의 이름과 주민등록번호까지 확인하는 변종 악성코드가 발견됐다. 파밍 수법이 점차 고도화되고 있다는 증거라는 점에서 사용자들의 각별한 주의가 필요하다.
파밍이란, 사용자의 컴퓨터가 악성코드에 감염되어 정상적인 방법으로 금융기관 사이트에 접속해도 가짜 뱅킹 사이트로 연결되어 보안카드 번호, 계좌 비밀번호 등의 금융정보를 사용자 스스로 악성코드 제작자에게 제공하는 형태의 보안 위협이다. 지난해 말부터 파밍으로 인한 피해가 급증하면서 사회적인 문제로 대두되고 있다.
이번에 발견된 변종은 악성 스크립트가 삽입된 취약한 웹사이트를 통해 감염됐다. 유포지와 [9090.exe] 다운로더에 의해 생성된 파일은 [그림 1]과 같다.
[그림 1] 뱅키 변종의 유포지와 생성된 파일
다운로드된 [26.exe], [23.exe] 악성파일에 의해 hosts 파일이 변조되는데, 이 때문에 정상적인 뱅킹 사이트에 접근해도 가짜 사이트에 접속된다. 이 가짜 사이트는 정상 사이트와 구분이 어려울 정도로 비슷한 구성을 하고 있기 때문에 사용자는 피싱 사이트임을 눈치채기 어렵다.
[그림 2]는 악성코드에 감염된 PC에서 뱅킹 사이트에 접속한 모습이다. 주소창에 직접 은행 주소를 입력하거나, 포털 사이트에서 은행 이름을 검색하는 등의 정상적인 방법으로 접속했지만 공격자가 의도한 피싱 사이트로 연결됐다. 이들 피싱 사이트는 하나같이 보안 관련 인증 절차를 요구하며 사용자로 하여금 금융정보를 입력하도록 유도한다.
[그림 2] 피싱 사이트들
이번에 발견된 변종의 특징은 사용자의 개인정보가 정상적으로 입력됐는지 확인하는 기능이 추가됐다는 점이다. 기존에는 임의의 문자와 랜덤한 숫자를 입력해도 다음 단계로 넘어갈 수 있었는데, 이 변종은 정확한 개인정보 탈취를 위해 사용자의 이름과 주민등록번호를 다시 한 번 확인했다.
[그림 3] 이름과 주민등록번호를 확인하는 소스 부분
이러한 파밍에 의한 피해를 막기 위해서는 사용자들의 주의가 무엇보다 중요하다. 무리한 개인정보를 요구할 경우 일단 의심을 해야 한다. 무엇보다 보안카드 번호 전체를 요구한다면 100% 파밍 사기라고 보는 것이 좋다. 최신 엔진 버전의 백신 프로그램으로 시스템을 주기적으로 정밀 검사하고, 인터넷 뱅킹을 할 때는 백신 검사를 먼저 실행한 뒤 이용하는 습관을 길러 이로 인한 피해를 예방해야 한다. 해당 악성코드는 V3 제품에서 진단 및 치료가 가능하다. |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 이메일에 '은밀히' 숨어 정보 빼내는 악성코드 (0) | 2013.03.28 |
|---|---|
| 파밍 악성코드에 감염된 내 컴퓨터, 이렇게 치료하세요! (0) | 2013.03.22 |
| 최신 보안 용어, 따라 잡기! (0) | 2012.11.16 |
| 스마트폰에 대한 정보 (0) | 2012.09.25 |
| 내 컴퓨터에 암호 설정하기 <심화 편> (0) | 2012.09.23 |
