| extra_vars1 | ||||||||||||||||||||| |
|---|---|
| extra_vars2 | ||||||||||||checked||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| |
피싱 (fishing) 그리고 피싱(phishing)
글 : ICT 컴퓨터 아카데미 (TEL 08-5410-6978)
주나라 문왕, 무왕, 성왕(成王), 강왕(康王) 4대에 걸쳐 태사(太師)를 지냈으며, 춘 추전국 시기의 제(齊)나라의 창시자. 태공망 강상(姜尙)이 강태공은 위수에서 빈 낚싯대를 드리우고 주나라 무왕을 기다렸습니다. 그는 미늘 없는 낚싯대를 드리우고 30여 년을 기다린 끝에 무왕을 보필하여 중국을 통일하였지만, 요즘엔 미늘 없는 낚싯대 대신 악성 코드를 드리우고 인터넷이란 바다에서 여러분에 금융정보를 탈취하고자 하는 사람들이 있습니다.
< 태공망 >
바로 피싱(Phishing)을 사용하는 범죄자들입니다.
피싱(Phishing)이란 인터넷을 통해 국내외 유명 기관으로 속여 개인 정보나 금융 정보를 수집한 뒤 이를 악용하여 금전적인 이익을 노리는 사이버 사기의 일종입니다.
‘피싱’ (phishing)이란 용어는 fishing에서 유래하였으며 private data와 fishing의 합성어입니다.
보이스 피싱(Voice Phishing)이야 여러 매체를 통해 소개되었으므로 여기에선 클릭만 해도 돈이 사라지는 스미싱 (SMS Phishing) , 그리고 전문가도 속기 쉬운 파밍(Pharming) 등에 대해 알아보겠습니다.
스미싱의 과정을 잠깐 살펴보면 PG사(Payment Gateway)라고 부르는 소액결제 대행업체에 등록돼 있어야 합니다. 그래야 사용자의 돈을 갈취 할 수 있습니다.
해커는 스미싱 문자메시지에 악성 앱 내려받기를 유도하는 URL을 넣어 문자메시지를 발송합니다. ( 돌잔치, 청첩장, 법원, 택배, 등등 .. )
문자를 받은 누군가 URL을 누르면 악성 앱이 설치되어 스마트폰의 백그라운드에서 사용자가 알아채지 못하게 은밀히 실행됩니다. 소액결제를 위해서는 인증번호 이동통신업체 그리고 전화번호 등의 < 각종 스미싱 메세지들 >
정보를 입력해야 하는데 스마트폰에 설치된 이 악성앱이 보이지 않게 이 모든 결제 과정을 자동으로 실행합니다. 따라서 사용자는 피해를 당했는지 알수 없는 경우가 대부분입니다.
심지어 요즘엔 “욕” 으로 문자를 보낸 뒤에 화가 나서 해당 번호로 전화하면 소액 결제가 되는 새로운 수법도 있으니 링크가 걸린 문자는 삭제하는 게 가장 좋은 해결책입니다.
“휴대폰 문자‘욕 스미싱’피해 급증”<중앙일보_2015. 01. 29일자>
2014년 1월 한 달 동안 이스트소프트에 신고된 스미싱 문자메시지만 해도 무려 1만건이라고 합니다. 한 달 사이 이렇게 많은 신고가 들어왔으니 신고되지 않은 스미싱 문자메시지는 이보다 수십배 더 많다는 뜻입니다.
또한, 최근에는 소액결제 방식보다는 은행 앱을 탈취하는 기술이 더 널리 쓰이고 있습니다. 은행 보안카드를 사진으로 찍어서 다니는 사용자가 뜻밖에 많은데, 사용자의 사진첩에 있는 이미지를 분석해 보안카드 사진을 노리는 방식도 있다고 하니 주의를 하셔야 합니다.
이 스미싱을 방지하기 위해선 어떤 방법이 있는지 알아보겠습니다.
첫째, 문자메시지에 포함된 URL은 누르지 않는 것이 가장 좋은 방법입니다. 또한 ‘설정→보안’ 메뉴에서 ‘알 수 없는 소스’ 항목의 체크를 해제하는 것이 스미싱 피해를 줄 일 수 있습니다.
둘째, 안드로이드 스마트폰에서 백신 앱은 필수입니다. 물론 V3나 알약 등 국내 백신들도 있지만 AVG, AVIRA, AVAST 등의 무료 백신을 사용하시는 걸 추천합니다.
셋째, 우리나라 이동 통신사들의 이중적인 태도도 스미싱 피해에 근본적인 이유 중 하나입니다. 스미싱 사기로 결제된 금액의 일정액 수수료를 이동통신사에서 가져갑니다. 그러므로 이동 통신사들은 절대로 스스로 소액결제 시스템을 차단하지 않습니다. 직접 해당 통신사에 전화해서 소액결제 시스템을 원천 차단하는 게 피해를 예방하는 가장 확실한 방법입니다.
넷째, 지난 호에 말씀드렸다시피 이 스미싱의 99%는 안드로이드 운영체제에서 발생합니다. 아이폰(IOS)에선 피해 발생 사례가 없습니다. (지난 호:당신의 은행 계좌는 안녕할까요? 2부 참조) 그러므로 아이폰을 사용하시는 게 금융거래에선 좀 더 안전합니다.
# 사례 1
유모씨(인천·30대 후반)는 지난해 11월 초 아이의 학원비를 이체하기 위해 은행 사이트를 방문했다. 포털 사이트에 ‘A 은행’이라는 단어를 검색해 해당 은행 사이트에 접속했다. 이체를 위해 계좌번호, 계좌 비밀번호, 보안카드 번호 등을 입력했는데 나흘 뒤 유씨의 A 은행 계좌에서 1,763만 원이 빠져나갔다.
# 사례 2
김모씨(경기도·40대 후반)는 지난해 11월 인터넷뱅킹을 하기 위해 컴퓨터 즐겨찾기에 등록해 놓은 B 은행 사이트에 접속했다. 팝업창이 나타나 계좌번호, 계좌 비밀번호, 보안카드 번호 입력을 요구했다. 며칠 뒤 김씨의 B 은행 계좌에서 총 5회에 걸쳐 1,039만 원이 사기범의 계좌로 이체됐다.
<호스트가 다음과 같이 감염되어 있으면 정상적인
사이트에 접근해도 가짜 사이트에 접속된다.>
*호스트 파일이란 ? PC에서 주소록 역할을 하는 파일
그렇다면 파밍을 피할 방법은 없을까요? 일단 사이트에서 계좌번호, 계좌 비밀번호, 보안카드 번호 전체(일련번호, 코드번호)를 요구한다면 파밍 사기라고 보면 됩니다. 은행은 개인 정보 관련 사항을 사이트를 통해 공지하지 않으며, 보안 강화를 이유로 개인의 금융 정보와 보안카드 정보를 요구하지 않습니다.
위와 같은 파밍 및 각종 금융 범죄를 예방하는 방법은 다음과 같습니다.
① OTP(일회성 비밀번호 생성기), 보안토큰(비밀정보 복사방지) 사용
② 컴퓨터·이메일 등에 공인인증서, 보안카드 사진, 비밀번호 저장 금지
③ 보안카드번호 전부를 절대 입력하지 말 것
④ 사이트 주소의 정상 여부 확인
⑤ 윈도우, 백신 프로그램을 최신 상태로 업데이트하고 실시간 감시 상태 유지
⑥ 전자금융사기 예방서비스(공인인증서 PC지정 등) 적극 가입(9. 26 전면 시행 예정)
⑦ 출처불명’ 한 파일이나 이메일은 즉시 삭제 및 무료 다운로드 사이트 이용 자제
강태공이 말했다는 유명한 ‘복수불반분(覆水不反盆)’ (한 번 엎질러진 물은 다시 주워 담을 수 없다)처럼 한번 노출된 개인 정보는 다시 회수할 수 없습니다.
그러므로 금융 정보나 개인 정보는 소중히 다루셔야 함을 다시 한번 강조해 드리며 본 칼럼을 마치도록 하겠습니다.
다음 호에서는 알아두면 편리한 스마트폰 어플리케이션에 대해 알아보겠습니다.
