피싱... 낚시질이 진화한다(1)

2008.06.25

 

악성 낚시질의 추억

최근 보이스 피싱(voice phishing)에 호되게 당한 친지의 경험담을 들으면서, 낚시질이라는 용어를 처음 접한 시점을 떠올려보았다. 순수한(?) 낚시질이 아닌 ‘악성 낚시질’에 대한 추억은 대학 선배들과의 술자리로 거슬러 올라간다. 평소 필자의 기억력은 ‘이 죽일 놈의 기억력’이라고 부를 정도로 신뢰성이 떨어지긴 하나, 그 날의 주된 안주거리는 언제나 그렇듯 연애사였던 것으로 기억한다. 한 선배에 의하면 일부 남자들은 여자의 환심을 사기 위해 일련의 행위를 놀이로 여기고 속된 표현으로 “낚는다”라고 부른다고 했다(최근에는 ‘작업한다’로 많이 쓰이는 듯 하다). 당시만 해도 이 낚는다는 표현은 대중적으로 광범위하게 사용하는 용어였다고 보기는 어려울 것 같다.
이후 낚시질이라는 말은 인터넷상에서 새로운 국면을 맞게 되었다. 낚시성 댓글, 낚시성 게시글 등에 사용되면서, “낚였다!”라는 한탄을 종종 발견할 수 있을 정도로 일반화 된 것이다. 주로 포털 사이트에서 제공하는 뉴스의 댓글이나 인터넷의 유명 카페 등지에서 볼 수 있었다. 대개는 자신의 개인 홈페이지를 홍보하거나 인터넷 사이트를 홍보하는 수단으로, 최근에는 기자들이 기사 제목 작성시에 ‘낚시질’을 십분 활용하고 있는 듯 하다. 그러나 이런 낚시질은 개인정보를 낚는 낚시질에 비해서는 매우 귀여운 수준의 낚시질에 불과했다. 범죄로 발전하기 시작한 낚시질, 피싱의 등장으로 낚실질은 더 이상 귀여워할 수 없게 되었다.

피싱(phishing)이라는 명칭은 일반적으로 개인정보(private data)와 낚시(fishing)의 합성어로 알려져 있다. 잘 알려지지 않은 설 중에서는 위장술이 세련되었다고 해서 세련된(sophisticated)이라는 의미와 낚시(fishing)의 결합이라는 이야기도 있다. 피싱은 인터넷상에서 자신의 목적을 감추고 위장하여 개인정보 즉 로그인 정보, 주민등록번호, 인증번호, 신용카드 정보, 계좌번호 등을 입력하게 한 후, 이 정보들을 이용해 금융사기를 일으키는 신종 사기수법을 일컫는다.

피싱의 위협: 진화하는 속임수
국내에서 처음으로 적발된 피싱 사건은 2004년으로 거슬러 올라간다. 2004년 10월, 국내 소재 외국계은행 예금주들을 표적으로 한 피싱 사건이 발생하였다. 미국 오클라호마 소재 PC를 이용하여 국내 K대학 서버를 해킹한 후, 외국계 A은행의 홈페이지를 가장한 피싱용 화면을 설치한 사건이다. 피싱 화면을 설치한 후에 이 화면으로 강제로 이동되는 스팸 메일을 대거 발송하였으나, 큰 피해 없이 범죄가 적발되었다(국내 첫 ‘피싱’사례 적발, 전자신문, 2004-10-28).

초기 피싱의 수법은 특정 사이트와 비슷한 도메인과 메인 페이지를 제작하여, 이용자가 URL 입력과정에서 실수하는 것을 악용하는 방법이다. 예를 들어, 유명 사이트 명칭이 www.abc.net 일 때, 이용자가 www.abc.com을 입력하면 거의 흡사한 위장 사이트가 등장한다. 위장 사이트임을 알아채지 못하고, 개인정보를 입력하는 경우에는 피해를 입게 된다. 다만 이 방식은 조금 조잡한 사이트 화면과 <그림1>과 같이 팝업창이 뜨는 것을 통해 이용자가 눈치챌 수 있는 여지가 있었다.

그림 1. 초기 피싱 사이트의 팝업

이후에는 스팸 메일과 결합한 피싱 수법이 주를 이루었다. 이메일 발신자 이름을 금융기관의 창구 주소로 하거나 이벤트 당첨 등을 알리는 형태로 무차별적인 스팸 메일을 발송하는 형태이다. 최근에는 개인정보를 노리고 변조된 이메일을 발송하는 형태가 많은데, 메일 본문에 개인정보 수정을 요구하는 안내문이나 웹사이트로의 링크가 첨부되어 있고 이를 접속하면 피싱 사이트로 이동하게 되는 방식이다. 일반적으로는 공신력 있는 기관을 사칭하거나 이용자의 흥미를 유발하는 문구를 동원하는 사회공학적 기법을 사용한다.

특히 요즘에는 국내 유명 사이트들이 줄줄이 해킹 사건에 휘말리면서, 개인정보에 대한 관심이 증대됨을 이용하는 사례가 늘고 있다. 유출된 개인정보의 피해를 막기 위해, 개인정보를 수정하라는 메일이 크게 증가했다. 이 메일에 접속하여 개인정보를 수정한 이용자는 불행하게도 스스로 범죄에 악용될 수 있는 소스를 제공한 게 되는 것이다. 이메일에 첨부된 웹사이트를 방문한 경우, 팝업창이 보이지 않거나 브라우저의 주소창을 없애는 설정 변경으로 사이트의 주소를 확인할 수 없도록 하는 방식이 이용되고 있다. 또 URL을 인코딩하여 전혀 알아볼 수 없는 형태로 만들기도 하여 더욱 주의가 요구된다. (예. http://54.%fec%%-gr32.html)

그림 2. 피싱을 위한 스팸 메일의 예

 

떡밥과의 싸움, 물기전에 한번 더 생각하자

지난 11일, 오랫동안 연락이 없던 친구가 메신저로 말을 걸어왔다. 인사도 없이, 딱 한 줄 사이트 링크가 걸려있었는데 그 친구의 아이디가 포함된 주소였다. 평소 개인 홈페이지를 운영하고 있는 친구이기에 링크를 클릭해 보았더니, <그림 3>과 같은 화면이 뜨는 것이었다.

그림 3. 피싱에 이용된 메신저

 

한 눈에 봐도 수상해 보여 그 친구에게 물어보려 메신저를 살펴보았으나, 친구는 이미 로그아웃 상태였다. 이 역시도 수상하다 여겨 사이트 이미지를 캡쳐한 후 화면을 닫았다(관련기사 보기)

요즘 극성이라는 ‘메신저 피싱’에 낚이지 않으려면 무턱대고 웹 사이트 링크를 보내는 친구의 메시지를 주의해야 한다. 피싱인 경우에는 메시지를 보낸 친구가 로그아웃 상태인 경우가 많다. 이때는 링크를 연결하더라도 로그인이나 개인정보를 입력하지 않는 것이 최선이다. 가급적 저러한 링크를 보낸 지인에게 확인을 하는 것도 피싱을 피하기 위한 한 방법이다.

피싱의 문제는 비단 우리나라뿐 아니라, 선진국에서도 꽤나 골치거리라 한다. 미국의 경우 아메리카 온라인(AOL)과 전미사이버안전동맹이 발표한 자료에 따르면 인터넷 사용자의 25% 이상이 매달 피싱 공격을 받고 있다 한다. 또한 안티피싱워킹그룹(APWG: http://www.antiphishing.org) 이라는 조직이 존재하고 있다니, 그 피해를 짐작해 볼 수 있다. 이전에는 피싱에 대한 지식이 필요하지 않을 정도로, 아주 초보적인 수법이 주를 이루었다면 이제는 전문가가 아니고서는 피싱임을 눈치채기 어려울 정도로 다양한 방법과 기술이 동원되고 있다.

참 점차 살기 험해지는 세상이 되어가는 것 같다. 오프라인에서는 ‘못된 남자’들의 낚시질을 잘 구분해야 하고, 온라인에서는 각종 불량 ‘낚시질’들을 피해야 하니 말이다. 피싱 시도가 적발되어 벌금형을 받더라도 벌금보다 수익이 크다면, 벌금 정도야 감수하겠다는 사람들이 많을 가능성이 크다. 월척을 낚기 위해서는 값싼 미끼 정도는 여러 번 던져도 좋다는 ‘꾼’들의 마음가짐처럼.

지금까지 피싱의 변천사에 대해서 알아보았다. 다음 원고에서는 이러한 피싱을 피하는 방법에 대해서 이야기하겠다.@

글 : 인터넷사업팀 양혜미