3세대 피싱이 몰려온다

피싱(Phishing), 은행이나 정부 사이트를 위장하여 신용카드 번호나 계좌정보 등을 빼내어 이를 불법적으로 이용하는 사기수법이다. 최근 유명 은행이나 정부 사이트를 빙자한 피싱 사이트로 인한 피해가 정보보안 업계의 이슈가 될 정도로 많이 늘어나고 있다. 새로운 피싱 유형과 이에 대처할 수 있는 방안에 대해 알아보자.

최근 온라인 정보보안 업계는 신종 피싱 수법의 등장과 국내 유명 은행을 빙자한 가짜 사이트를 통한 고객의 정보 노출 피해로 떠들썩했다.

지난 2007년 상반기에는 대만에 서버를 둔 해커가 국내에서 가장 많은 이용 고객을 확보한 두 군데 은행의 가짜 홈페이지를 개설하고 여기에 접속한 이용자에게 개인 정보를 입력하도록 유도, 공인인증서 5000여 개를 탈취해갔다.

이 사건은 이메일을 통해 가짜 홈페이지로 유도하는 일반 피싱과는 달리, 사용자 PC에 트로이목마를 심어 인터넷뱅킹 IP 주소를 변경하여 주소창에 정확한 주소를 입력해도 가짜 사이트가 뜨는 파밍수법(Pharing, 도메인 탈취나 프락시 서버 주소를 변조해 사이트를 위조하는 사기 수법)이 동원되었다.

또 최근 들어 해커들이 특정 기업 서버나 네트워크를 중심으로 해킹을 진행해오던 패턴에서 벗어나 개인 사용자를 노리기 시작했다. 상대적으로 보안 의식이 낮으며 보안 설비가 갖추어져 있지 못한 개인 PC의 특성을 파악한 해커들은 개인 PC에 악성코드를 심기 시작한 것이다. 더욱이 UCC 등 다양한 온라인 콘텐츠들을 인터넷상에 업로드하고 다운로드 할 수 있는 분위기가 형성된 시점에서 필수 프로그램으로 둔갑한 해킹 툴이 개인 PC에 자리 잡는 것은 시간문제가 되었다.

이러한 상황에서 국내 인터넷 뱅킹 보안사고도 급증하고 있다. 금융감독원에 따르면 2007년 1분기 동안 은행, 보험사에서 발생한 인터넷뱅킹 사고는 11건으로 피해액은 1억 2700만원인 것으로 나타났다. 이는 2006년 발생한 2건, 1500만원에 비하면 급속한 증가세로 지난해의 1/4 기간에 피해금액이 8배를 넘어섰다. 피해 금융회사도 2006년 2개에서 2007년 9개로 늘어났다.

특히 2007년 이후부터 피싱, 파밍 등 신종 금융사기 기법이 등장하면서 인터넷뱅킹 보안사고가 크게 늘고 있다. 해커들은 피싱이나 파밍을 통해 계좌번호와 비밀번호, 주민등록번호 등을 빼낸 후 공인인증서 없이 간편하게 결제가 가능한 인터넷상의 전자지불시스템을 주로 공략하고 있다. 한 외국계은행 고객 20여명의 신용카드 번호를 해킹해 5000여만 원 어치를 무단 결제하는 대형 사고를 내기도 했다.

국제 피싱대응 협의체인 안티피싱워킹그룹(APWG)에 따르면 세계적으로 확인된 피싱신고 현황은 매달 2~3만 건에 달하고 있으며 국내의 경우 피싱 경유지로 악용되는 신고 건수가 매월 평균 100여건이 발생하고 있다.

■ 지능 갖춘 3세대 피싱 등장
상대적으로 가장 잘 알려져 있는 대표적인 온라인 피싱 유형은 정상도메인을 모방한 유사 사이트를 개설, 사용자를 유도하는 방법이다. 은행과 같이 주요 정보가 오가는 대표적인 웹사이트와 도메인을 유사하게 만든 가짜 사이트를 개설하고 불특정 다수에게 유사 도메인이 링크된 피싱 메일을 발송한다.

해당 사이트에 필수 불가결하게 접속할 수밖에 없는 안내문을 발송한 메일은 이용자에게 가짜 사이트로 접속하여 주요 개인 정보들을 입력하기를 요구한다. 입력 내용은 바로 해커에게로 송부, 실제 사이트에서 해커의 손에 의해 해당 정보들이 불법적으로 이용되는 것이다.

유사 도메인 이용 피싱

이러한 유사도메인을 이용한 피싱은 눈속임 등 사회공학적인 방법의 피싱 수법으로 사용자가 메일 확인 및 웹사이트를 이용할 때 조금 더 주의를 기울여 그 피해를 줄여나갈 수 있다. 또한 개설된 가짜 사이트는 관계 당국에 신고되어 블랙리스트에 오르게 되는데, 이러한 블랙리스트 등록 사이트는 피싱보안 프로그램의 필터링 기술을 통해 가짜 사이트임이 인지되고 이용자가 접속하지 못하도록 차단된다.

유사도메인을 통한 눈속임 수법에 이어 최근 경유지 공격 수법이 우리나라에서도 빈번히 발생하고 있다. 경유지 공격 수법이란 상대적으로 보안이 허술한 서버에 해커가 침입, 해당 서버 내에 서브 도메인을 생성하여 피싱용 웹페이지를 개설하는 방법이다.

이러한 경유지 공격법은 보안이 허술한 서버를 보유한 기업이 1차적인 공격 대상이 되며 이를 통해 생성된 서브 도메인 내 피싱용 웹페이지에 걸려드는 일반인 PC 이용자들에 그 피해가 확대된다. 메인 도메인이 피싱에 의해 이용당하게 되는 기업과 피싱용 웹페이지에 정보를 제공하는 이용자 모두가 피해자가 되는 것이다.

이러한 경우, 메인 도메인은 실제 존재하는 정상적인 사이트의 주소이기 때문에 블랙리스트에 등록되는 유사 사이트처럼 필터링이 되지 못한다. 중국발 해커들의 피싱 공격에 있어 우리나라 기업의 서버가 이 같은 경유지로 많이 이용되고 있으며, 월 130여건 이상이 발생, 관련 기관에 보고되고 있다.

경유지를 이용한 피싱 공격

일반적으로 웹주소를 왼쪽에서부터 오른쪽으로 읽어나가면서 ‘www’ 이후에 있는 주소만을 확인하고 접속한 사이트가 무엇인지 인지하는 일반인들의 경향을 노린 방법인 것이다. 웹사이트의 주인을 의미하는 메인 도메인은 ‘.com’, ‘co.kr’ 등 com, co.kr 및 뒤이은 ‘/’로 마무리 된 부분에 표기된 부분이나 이를 제대로 이해하고 있는 사람은 많지 않다. 더욱이 최근 툴바를 활용하는 이용자가 증가하면서 웹사이트의 주소를 보여주는 인터넷 주소창이 짧아져 도메인에 대한 정확한 확인과 주의는 상대적으로 더욱 떨어지고 있는 것이 현실이다.

정상 도메인으로 등록된 사이트의 게시판 내에서 발생하는 피싱도 주의해야 할 하나의 신종 수법이다. 안전한 사이트임을 의미하는 화이트리스트로 판명된 사이트의 게시판 등에 HTML, PMP 등을 등록하고 이용자들에게 피싱 메일을 발송한다. 피싱 메일을 받은 이용자는 화이트리스트에 등록되어 있는 사이트임을 확인하고 안심하고 메일에서 요청하는 개인정보와 금융정보를 입력하게 된다. 이러한 입력 정보는 고스란히 해커에게로 전달되어 더 큰 피해를 방생시키게 되는 것이다.

정상사이트 내 게시판의 html, pmp 등록 수법을 통한 피싱

이러한 피싱유형은 피싱 사이트로 확정된 사이트들의 DB인 블랙리스트로 필터링하거나 안전한 사이트임을 인증 받은 화이트리스트 등록 여부만으로는 방어하기 어렵다. 정상 사이트 내 게시판을 통한 피싱은 해당 내용에 피싱의 위험이 의심되는 부분이 있는지 점검하는 콘텐츠 분석 기법이 필요하다. 또 화이트리스트 방식과 input 태그 내의 피싱 유형을 함께 결합하여 분석함으로써 오탐지의 위험을 최소화 할 수 있다.

서두에서 소개한, 정확한 도메인 주소를 입력해도 가짜 사이트로 접속되는 최신 신종 피싱 수법은 기술적으로 진화된 지능화된 피싱의 하나로 개인 PC 이용자의 시스템을 변조시키는 것이 특징이다.

해 커가 인터넷뱅킹 등의 사이트 주소를 관할하는 도메인 서버를 직접 공격해 IP주소를 변경함으로써 주소창에 정확한 주소를 입력해도 해커가 만들어 놓은 가짜 사이트가 뜨게 하는 파밍(Pharming) 수법으로 국내 피해 은행의 경우 인터넷뱅킹 이용자 PC에 트로이목마를 심어 IP 주소를 바꾸었다. 기술적인 악성코드의 활동으로 인해 전혀 다른 사이트로 유도되지만 이용자는 이러한 시스템의 변화는 알아차리기 불가능하다.

시스템 변조를 통한 파밍

안티피싱워킹그룹의 피싱유형 보고에 따르면 개인 정보 및 금융 정보를 직접적으로 갈취하기 위해 해커는 일반인 PC에 트로이목마, 키로거, 스파이로거 등 기술적인 악성코드를 심어놓는다. 또 DNS 변조 등을 통해 파밍 수법을 이용하고 있다.

해커는 일반인 이용자 PC에 악성코드를 심어 1차적으로 사용자의 호스트파일 또는 시스템을 변조, 검증된 진짜 사이트가 아닌 피싱을 위한 가짜 사이트로 유도되도록 기술적인 변형을 일으킨다. 악성코드에 감염된 PC는 이용자가 아무리 정확한 도메인 주소를 입력한다고 하더라도 변형을 일으켜 새로운 사이트로 유도되도록 설정된 PC 내에서는 꼼짝없이 해커 사이트로 접속하게 된다.

그 외, 기존의 호스트파일 변조나 DNS 변조와는 달리 브라우저를 변조시켜 사용자가 정상 URL을 입력해도 피싱 사이트로 접속되는 새로운 수법이 계속해서 등장하고 있다. 피싱은 훨씬 더 탐지하기 어렵고 이용자의 육안으로는 구분하기 불가능한 형태로 계속 진화하고 있다.

브라우저 변조 피싱

다음은 대표적인 포털사이트의 정확한 URL을 입력하였으나 정식 사이트가 아닌 유사한 디자인과 이름의 피싱 사이트로 접속된 장면이다.

이 렇게 온라인 피싱은 사회공학적인 방법에서 지능화된 기술적인 수단들이 더해져 더욱 진화하고 있다. 피싱이 처음 등장할 당시 단순한 눈속임과 이용자의 부주의를 바탕으로 시도되었던 온라인 피싱 공격은 이제 사용자 인지 능력의 한계를 뛰어넘어 전문적인 솔루션의 도움이 필수적인 상황이 된 것이다.

피싱 수법의 진화와 3세대 피싱

■ 피싱에 대한 이해와 해결방안 모색
온 라인을 통한 신종 사기 수법이 날이 갈수록 다양해지고 교묘해지고 있다. 특히 우리나라와 같이 인터넷뱅킹, 전자정부시스템, 인터넷기반의 전자상거래 등이 발달한 사회에서는 더더욱 해커의 위협 가능성이 큰 만큼 대응책 마련이 시급하다.

최근 보고되고 있는 피싱 패턴들을 살펴보면, 기존의 단편적인 피싱보안 제품들 (여러 피싱방지 기능 중 어느 한가지로만 막는 유형)이 가지는 약점을 역이용하거나, 회피하는 방식의 피싱 공격들이 보고되고 있다.

APWG 보고서에 따르면, 제 3의 서버를 우회한 서브도메인 피싱 공격이 급격하게 증가하고 있는데, 이 방식은 단순히 화이트리스트에만 의존하여 보호를 받는 사이트가 피싱 공격에 역이용 당할 수 있다는 점에서 그 심각성을 간과할 수 없다. 이제 어느 한가지의 방식만을 지원하는 피싱보안으로는 날로 발전하는 피싱에 효율적으로 대처하기 어려워 졌다고 할 수 있다.

갈수록 지능화 되어가는 피싱에 대응하기 위해서는 이들 새로운 피싱 수법에 대한 충분한 이해가 수반되어야 하며 동시에 발 빠른 방어 법을 개발해야 한다. 지금까지 확인된 피싱 수법들을 극복하기 위해서는 도메인 보안, 콘텐츠 보안, 사용자 환경 보호 기능 등 시의 적절하게 대응 가능한 피싱보안 솔루션이 준비되어야 한다.

피싱사이트로 신고된 블랙리스트를 기반으로 이들 사이트에 접속하는 것을 경고해 주어야 하며 동시에 안전한 진짜 사이트임을 증명해 주는 화이트리스트를 기반으로 한 도메인 보안도 피싱보안 솔루션이 갖추어야 할 필수 요소이다. 또 대중적인 유사 도메인을 통한 피싱 수법에 대한 인식과 사용자 경고, 도메인 키워드를 통한 필터링 등이 피싱에 있어 도메인 보안 영역에서 필요한 요소이다.

화이트리스트에 등록된 정상 사이트 내에서 이루어지는 피싱 함정에 대해서는 도메인이 아닌 콘텐츠를 중심으로 접근해야 한다. 웹페이지 및 메일에 게재된 내용을 분석하여 피싱의 요소가 존재하는지 구분해 주어야 하며 은닉프레임 등 치싱패턴 차단, 소스의 input 태그 분석을 통한 피싱 경고 및 차단의 기능이 요구된다.

우리나라에서 가장 빈번히 발생하고 있는 경유지 공격에 대해서도 대응 방안이 강구되어야 한다.  접속 URL의 분석을 통해 메인 도메인과 서브 도메인을 확인하고 인터넷뱅킹 사이트 등 주요 피싱 타깃이 되고 있는 사이트의 URL을 흉내 내고 있지 않은지, 피싱 의심 여부를 알려주는 기능도 필요하다.

그 외, 가장 진화된 영역으로 개인 사용자 PC 자체를 변조시키는 수법을 방어하는 기능이 수반되어야 한다. 호스트파일의 임의 변경을 막고, DNS 정보, Proxy 설정 변경 등 악성코드에 의해 시스템이 변조되는 것을 막고 이미 감염된 PC 에서 이들 악성코드의 기능이 발휘되지 못하도록 제어해야 한다.

■ 국내 피싱 피해 사례

서울고법 피싱 사이트의 경우, 접속하면 ‘홈페이지 업그레이드 작업 중이라 전자민원서비스만 정상적으로 작동하고 있다’는 안내가 뜨고 이용자가 민원서비스를 클릭하면 개인정보를 입력하게 한 뒤 성매매특별법을 위반했다며 벌금을 입금하라는 메시지가 뜬다.

피 싱 보안 전문업체인 소프트포럼에 의하면 이는 호스트파일 변조에 의한 파밍 수법으로 개인 PC에 잠입하여 인위적으로 PC를 조정하거나 변조시키는 악성코드가 사용자 모르게 PC에 설치되어 발생했다. 사용자는 비록 올바른 웹사이트 주소를 입력, 접속을 시도하지만 해커에 의해 삽입된 악성코드는 사용자의 접속을 미리 만들어 놓은 가짜 피싱 사이트로 연결되게 만든 것이다.

또, 가짜 서울동부지검 인터넷 사이트를 이용해 80만원을 가로챈 피싱 사건이 발생했다. 피싱 피해자는 검찰청 전자민원 서비스(벌과금 납부) 안내라는 이메일 제목을 보고, 가짜 검찰청 사이트에 접속해 벌금 80만원을 냈다. 검찰 조사 결과 이메일 발송지는 중국과 미국으로 확인됐으며, 서울동부지검 피싱 사이트의 서버 소재지는 캐나다에 있는 것으로 확인됐다. 범행에 사용된 전화번호 착신지는 중국인 것으로 파악됐다.

피싱의 전형적인 수법인 이메일을 이용한 이 사건은 피싱 메시지를 담은 메일을 불특정 다수에게 송부하고 미리 만들어놓은 피싱 사이트로 접속되도록 유인하는 방법이다. 소프트포럼의 이순형 부사장은 “공격자의 메일 발송 도메인 주소를 실제 도메인 주소와 유사하게 만들어 피해자로 하여금 발송자의 이메일주소 구분이 어렵도록 하여 피해자를 속인다”며 “공격자가 메일발송 주소를 스푸핑하여 실제 메일발송 자와 구분하지 못하게 하는 방법으로 실제 해당 기관의 메일주소와 똑같이 스푸핑 되므로 실제 메일 발송자가 누구인지를 구분하지 못하게 된다”고 설명했다.

피싱은 유명기관을 사칭해 개인에게 이메일을 보낸 뒤 사람들이 이메일을 통해 위장 홈페이지에 접속, 개인정보를 입력하도록 유도하고 이를 몰래 빼내가는 것이 일반적이다. 피싱 공격자들은 수집한 정보를 바탕으로 은행계좌에서 돈을 훔치거나 게임머니 등을 갈취하는데 이용하며 때로는 직접적으로 금전 지불을 요청하기도 한다. 피싱의 특성상 사용자가 속은 지도 모르는 경우가 많다는 점도 피싱사기의 특징이다.

자료제공 소프트포럼 www.softforum.com

■ 소프트포럼(Softforum)은?
소프트포럼은 1995년부터 인터넷보안 기술인 공개키 기반구조(PKI: Public Key Infrastructure) 기술 개발에 주력하여 국내 PKI 시장을 선도하고 있다.

지 난 2001년 코스닥 상장 뒤 PKI 부문에서 금융권 시장의 70%, 통합인증관리 솔루션인 EAM(Extranet Access Management) 시장의 60%를 점유하는 등 국내 최고의 보안 소프트웨어 전문기업으로 자리 잡고 있다.

소프트포럼은 공개키 기반구조 및 응용 솔루션 영역, 전사적 접근 관리, 그리고 온라인 PC 보안 영역에 이르기까지 온라인 보안의 전 영역에서 효율적이고 통합적인 솔루션을 제공한다.

현 재 국민은행 우리은행 등 10개 주요 시중 은행, 22개 증권사, 삼성카드 등 100여 개 금융권 고객, 정보통신부 등 공공 정부기관, 기타 주요 전자 상거래업체 등 총 600여 개 기업들이 소프트포럼의 보안 솔루션을 이용하고 있다.

나아가 홈네트워크, 디지털TV기반의 T커머스 등 생활 속 유비쿼터스 환경에서도 소프트포럼의 보안 응용기술들이 영역을 확장해 나가고 있다.