피싱

컴퓨팅에서 피싱(phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 소셜 엔지니어링(social engineering)의 한 종류이다. ‘피싱’(phishing)이란 용어는 fishing에서 유래하였으며 프라이빗 데이터(private data)와 피싱(fishing)의 합성어이다.^[1] (phreaking에서 영향을 받았을 것으로 추정)^[2][3] 즉 점점 더 복잡한 미끼들을 사용해서 사용자의 금융 정보와 패스워드를 ‘낚는’다는 데서 유래되었다.

피싱 사고에 대한 신고가 늘어감에 따라, 피싱을 막으려는 방법들이 필요하게 되었다. 이런 방법들에는 법, 사용자 교육, 그리고 기술적인 도구들이 있다. 최근에는 컴퓨터를 이용한 피싱외에도 보이스피싱(voice phishing)이라고 하여 전화를 이용한 피싱도 등장하고 있다. 이들 말고도 피싱의 종류는 다양하다.

기법

피싱 종류

• 스피어 피싱(spear phishing): 특정한 개인이나 회사들을 대상으로 시도하는 피싱을 스피어 피싱이라고 한다.^[4]
• 클론 피싱(clone phishing): 링크나 첨부 파일이 포함된, 과거에 전달된 적법한 이메일에 거의 동등하거나 복제된 이메일을 만드는데 사용되는 수신자 주소와 내용이 포함되어 있는 경우이다.
• 웨일링(whaling): 여러 피싱 공격이 고위 경영 간부와 비즈니스 내 기타 고위직을 대상으로 이루어졌으며 웨일링이라는 용어는 이러한 종류의 공격을 뜻한다.^[5]
• 스미싱(Smishing): ‘SMS’의 혼성어인 스미싱은 오해의 소지가 있는 문자 메시지로 피해자를 속이고 정보를 빼오는 사이버 공격이다^[6]
• 큐싱(Qshing): QR 코드를 통해 악성 사이트로 이동하게 하거나 악성 앱을 다운로드하도록 유도하는 공격이다.^[7]

특징

• 메일을 이용해서 신뢰할 수 있는 메일 주소로 가장한다. 피싱 메일은 대부분 송신자를 사칭 하고 있다. 예를 들어 사기꾼이 시티은행인 것으로 속인다면, 이 경우는 「info＠citi.com」와 같이 정상적인 메일 주소로 가장해서 무작위로 보낸다.
• 신용카드 번호나 패스워드 입력을 요구한다. 피싱 사기꾼의 최종 목적이다. 이러한 정보를 입력해서는 절대로 안 된다.
• 백신 소프트웨어에 검출되지 않는다. 피싱 사기의 경우 아무런 특색 없는 단순한 메일 형태로 첨부파일등이 없는 HTML 메일로서 URL을 숨길 수 있기 때문이다. 첨부파일이나 취약성을 공격하는 HTML 메일은 피싱과 구별된다.
• 웹 사이트를 만드는 기술 이외의 특별한 기술은 아무것도 필요가 없다. 피싱 사기를 하는 방법으로 웹사이트를 만들고 메일을 보낸다. 기술이라고 해봤자 웹사이트를 작성하는 기술 뿐이기 때문에 누구라도 만들 수 있다. 대기업 사이트와 비슷하게 만드는 것도 실제 웹사이트로부터 HTML 소스와 사진을 가져올 수 있기 때문에 그렇게 어렵지 않다.

피싱 메일의 구별 유형

• 유명은행, 카드사 등을 사칭하며 계좌번호, 카드번호, 비밀번호 등의 확인 또는 갱신을 유도하거나 이러한 조치를 취하지 않을 경우 거래가 중지된다는 식의 소란을 일으키거나 자극적인 문구를 사용한다.
• 포털사이트나 쇼핑몰 등을 사칭해 경품당첨안내나 이벤트 참가 등을 유도하며 주민번호, 핸드폰번호 등의 개인정보를 입력하도록 유도한다.
• 바이러스에 감염됐다거나 이메일의 저장 공간이 가득 찼다며 문제를 알리면 뭔가 조치를 빨리 취해야도록 만들면서 확인하도록 유도한다.

사례

2003년 11월 17일 미국의 이베이 사이트에서 '보안상의 위험으로 계정이 차단됐으니 재등록해야 한다"는 메일을 고객들이 수신하여 첨부된 링크를 클릭해 이베이 웹페이지로 가서 바로 재등록하라고 친절하게 설명되어 있어 의심없이 개인정보와 금융정보를 피셔에게 넘겨주는 피해가 발생했다.

예방

안랩에 따르면 예방법은 다음과 같다.

1. 메신저 비밀번호는 주기적으로 변경한다.
2. 사용하지 않는 메신저 계정이나 버디 리스트는 삭제한다.
3. 단기적인 목적으로 가입한 사이트는 사용 후 탈퇴한다.
4. 각 웹사이트의 아이디와 비밀번호는 가급적 다르게 설정, 관리한다.
5. 메신저를 최신 버전으로 업데이트하고 보안 기능을 최대로 설정, 이용한다.
6. 보안백신을 설치, 주기적으로 업데이트하고 바이러스 검사를 실시한다.
7. 메신저 피싱이 의심될 경우 즉각 버디들에게 알리고 송금중지를 요청하며 경찰, 은행에 신고 조치한다.
8. 메신저를 통한 금전 요청시 전화로 본인여부를 확인하고 타인 명의 통장으로 송금하지 않는다.
9. 사용하는 인터넷 브라우저는 최신 버전으로 업데이트하고 보안기능을 습득, 적극 활용한다.
10. 공용PC 이용시 보안검사를 실시하며 이용 후 반드시 로그아웃 버튼을 누르고 창을 닫는다.

그 외의 예방법은 다음과 같다.

• 신용할 수 없는 메일의 링크를 클릭하지 않는다.
• 의심스러운 점이 있으면 직접 사이트를 방문한다.
• 메일 헤더를 확인한다.
• 링크의 주소가 IP 주소인지 도메인인지 확인한다. IP일 경우 피싱 사이트일 가능성이 있음.

신고 방법

피싱이라고 의심되는 메일을 받았을 경우 해당 은행, 카드사, 쇼핑몰에 신고하거나 대한민국의 경우 한국정보보호진흥원 (02)-1336 또는 (02)-118에 신고한다.

같이 보기

• 낚시 (인터넷)
• 지능적지속가능위협(en:Advanced Persistent Threat, APT)
• 해킹
• 레드 해커(훙커)
• 블랙햇 해커
• 화이트햇 해커
• 그레이햇 해커
• 피싱프리
• 파밍

참조

1. “Spam Slayer: Do You Speak Spam?”. 《PCWorld.com》. 2007년 9월 30일에 원본 문서에서 보존된 문서. 2006년 8월 16일에 확인함. 
2. “Phishing, n. OED Online, March 2006, Oxford University Press.”. 《Oxford English Dictionary Online》. 2006년 8월 9일에 확인함. 
3. “Phishing”. 《Language Log, September 22, 2004》. 2006년 8월 30일에 원본 문서에서 보존된 문서. 2006년 8월 9일에 확인함. 
4. “What is spear phishing?”. 《Microsoft Security At Home》. 2011년 8월 6일에 원본 문서에서 보존된 문서. 2011년 6월 11일에 확인함. 
5. “Fake subpoenas harpoon 2,100 corporate fat cats”. The Register. 2017년 9월 24일에 원본 문서에서 보존된 문서. April 17, 2008에 확인함. 
6. 네이버지식백과
7. “큐싱(Qshing)”. 매일경제용어사전. 2022년 6월 9일에 확인함. 

참고 문헌

• 최창수, 미국이 온라인 피싱사기방지법과 시사점-피해자보호를 중심으로

외부 링크

• 한국인터넷진흥원(예전 한국정보보호진흥원)
• 인터넷침해사고대응센터
• (영어) 안티피싱워킹그룹, 피싱추방단체
• (영어) Korea Phishing Activity Trends Report June 2006 PDF
• (영어) 미국 야후 안티피싱 시험서비스