본문 바로가기
AhnLab 보안in

사례를 통해 살펴본 은행 가장 피싱메일

by 보안세상 2020. 4. 7.

2009.05.19

 

인터넷의 편리함 속에 숨어들어온 위험, 피싱에 대하여 알아보도록 하자.

피싱메일은 최근 발병한 인플루엔자 A(H1N1, 일명 돼지독감) 피싱메일(Swine Flu Phishing)과 같이 최근의 이슈 등을 이용하여 수신자의 관심을 끈다. 더불어 금융사기, 개인정보의 유출뿐만 아니라 악성코드의 실행에도 악용되는 등 여러 가지 기능을 탑재하는 형식으로 변화 하고 있다.

피싱메일은 특정인을 겨냥하여 작성되기도 하지만 스팸메일처럼 무작위로 작성, 발송될 수 있다. 본인과 관련 없는 곳에서 발송된 메일인 경우 스팸메일로 인지하여 읽지 않을 수 있지만 자신의 정보와 일치하는 수신자라면 관심을 갖게 된다.

[그림1: 개인정보 채집 또는 악성코드가 포함된 인플루엔자 A(H1A1 일명 돼지독감) 피싱메일의 예 / 출처 US-CERT, http://www.us-cert.gov/current/#swine_flu_phishing_attacks_and

안전하게 이메일을 확인하는 방법(1)_이메일 조작’를 통하여 메일에서 보여지는 ‘보내는 사람’과 ‘받는 사람’은 조작될 수 있음을 보았다. 이번에는 가짜 메일의 겉봉을 뜯고 내용물을 들여다 보도록 하자.

메일의 본문에는 여러 가지 글자와 그림이 포함되어 있다. 이러한 내용은 글 뿐만 아니라 각종 정보위치의 속성을 포함하고 있다. 또한 이러한 내용 작성에 주로 사용되는 html은 화면에 보여지는 내용과 실제 접속되는 페이지의 정보가 다를 수 있다.

이렇게 ‘보이는 것’과 ‘실제’가 다를 수 있는 인터넷기술의 취약점을 이용한 피싱메일을 받은 사용자가 메일이 지시하는 대로 행동할 경우 입을 수 있는 피해를 참치씨의 신용카드 정보유출 경우를 통하여 알아보도록 하자.

* 본편에 사용된 메일은 피싱기법을 표현하기 위한 간략한 예제임을 밝혀둔다. 실제 피싱은 매우 정교하게 만들어 질 수 있고 다양한 기능을 포함한다.

특징 1. 피해자의 관심유도 - 미끼를 던진다.

[그림2 피싱메일의 예]



중요한 회의시간 10분전 메일을 확인하던 참치씨는 주거래은행인 가두리은행으로부터 ‘가두리뱅크 이벤트! 고지서를 메일로 받으시면 결제 금액의 10%를 적립해 드립니다.’ 라는 메일을 발견했다. 신용카드 결제 금액의 10%라는 파격적인 조건에 잠시 의심을 했지만 ‘보내는 사람’이 ‘가두리뱅크’로 되어 있고 메일의 내용도 다른 은행과 같이 첨부파일로 되어 있어 이벤트에 참여하려고 첨부파일을 실행하였다.

하지만 이 피싱메일은 다음의 금융정보를 수집하기 위해 발송된 메일이었다.
-주민등록번호, 신용카드번호, 유효기간, CVC 코드, 비밀번호

신용카드의 종류는 수집할 필요가 없다. 참치씨는 ‘가두리뱅크’를 사용하는 고객이기 때문에 이 메일에 관심을 갖는 것이며 너무 많은 정보를 요청하면 피싱메일로 의심할 수 있기 때문이다.

* 일반적인 금융정보관련 페이지는 메일을 통해 연결 되더라도 정상적인 로그인 과정을 추가로 요구하므로 이러한 과정이 없는 경우 주의 할 필요가 있다.


특징 2. 피해자의 행동유도 – 함정에 빠지게 한다.

[그림 3 고객정보 유출을 위해 만들어진 첨부파일 예]



다른 은행에서 발송되는 결제정보메일처럼 주민등록 번호를 입력하는 창이 먼저 나타나자 ‘참치’씨는 무심코 주민등록 번호를 입력하였다. 하지만 이 첨부파일은 아무 숫자나 13자리를 입력하면 열리도록 되어 있다. 주민등록번호를 입력하는 순간 피싱메일의 첨부 파일은 참치씨를 속이기 위한 기본 정보를 취득했으며 또한 동시에 hosts 파일을 조작하였다.

* 정상적인 금융정보관련 메일의 첨부파일은 주민등록번호의 일부만을 요청하므로 전체를 입력을 요구하는 경우 주의해야 한다.

 

 

[그림4 정상적인 고객정보 페이지와 첨부파일 실행후 연결된 위조된 고객정보 수정 페이지]



주민등록번호를 입력하고 실행을 누르자 가두리뱅크의 홈페이지의 추가 정보를 입력하는 페이지로 연결되자 참치씨는 조금이나 남아있던 의심을 버리게 되었다. 하지만 이 페이지는 진짜 가두리뱅크의 페이지가 아닌 피싱서버에 있는 조작된 페이지였다.

가두리뱅크의 홈페이지에 접속된 것으로 생각하고 위조된 페이지에 신용카드정보를 꼼꼼하게 입력한 참치씨는 마지막으로 ‘고지서를 메일로 받겠습니다’에 체크한 뒤 앞으로 벌어질 사고를 모른 채 결제금액의 10%가 적립되면 무엇을 살까 하는 행복한 꿈을 꾸면서 ‘완료’ 버튼을 누른다.

이제 피싱서버에는 다음과 같은 정보가 남겨졌다.
4100012312671001|201205|007|1212|카드번호16자리|유효기간|CVC코드|비밀번호4자리

* 일반적인 금융정보관련 페이지는 메일을 통해 연결 되더라도 정상적인 로그인 과정을 추가로 요구하므로 이러한 과정이 없는 경우 주의 할 필요가 있다.

 

특징 3. 피해자의 대응 방해 – 추가 범죄를 위한 시간을 번다.

1시간 뒤 회의시간 중 300만원이 결제되었다는 신용카드 결제 통보 문자 메시지를 받은 참치씨.

회의가 끝나고 PC에 앉아 가두리뱅크에 접속하였지만 로그인이 되지 않는다. 또한 홈페이지에 써져 있는 고객센터로 전화를 해봐도 통화 중 신호음만 들리고 있다. 어떤 일이 벌어진 것일까?

Hosts파일이 변조된 참치씨의 PC는 계속해서 피싱서버에 접속을 하기 때문이다. 이렇게 참치씨가 허둥대고 있는 동안 계속해서 결제통보 문자는 들어오고.. 순간 참치씨는 자신의 PC가 이상한 것으로 생각하고 동료의 PC를 통해 가두리은행의 홈페이지에 로그인 할 수 있었다. 하지만 이미 수백 만원의 신용카드거래가 결제 된 뒤였다.

이는 첨부파일의 실행을 누른 순간 첨부파일에 포함되어 있던 프로그램이 실행되어 참치씨 PC의 중요한 시스템 파일인 hosts 파일이 조작 되었기 때문이다. Hosts 파일에 입력된 순간 gaduribank.cox 로의 접속은 모두 조작된 서버로 가게 된다. 이제 참치씨는 가두리양식장의 물고기처럼 피싱서버 안에 갇히게 되었다.



[그림5 조작된 hosts 파일]



정상적인 가두리뱅크 주소:  URL gaduribank.cox, IP 172.16.103.55
피해시스템의 Hosts 파일에 등록된 정보: URL gaduribank.cox, IP 192.168.136.1

*  hosts 파일: DNS 서버를 통한 쿼리 정보보다 우선순위가 높은 시스템 파일로 신뢰성이 요구되는 접속 설정이나 네트워크환경에 따라 설정할 수 있는 파일이다. 기록된 도메인네임에 대한 IP매핑이 되며 해당 도메인에 대한 정보의 이동은 해당 IP 로 고정된다. 예를 들어 hosts 파일에 ‘127.0.0.1  www.google.co.kr ‘로 기록되어 있는 경우 www.google.co.kr 에 대한 통신은 모두 127.0.0.1로 가게 된다.
악성코드 중 hosts 파일을 조작하여 보안제품회사의 접속 못하도록 방해하여 적절한 조치를 받지 못하게 만드는 경우가 존재 한다.

* Windows 계열OS의 hosts 파일의 위치: C:\[WINDOWS설치위치]\system32\drivers\etc\hosts

* 사용자지정 hosts파일인 hosts.ics 파일을 만들어서 사용할 수도 있다.
* loopback ip인 127.0.0.1로 등록된 경우 매핑된 도메인주소는 로컬시스템의 IP로 연결된다.

* DNS 정보의 교란/하이제킹을 통하여 변조된 정보취합 서버로의 접속을 유도하는 방식을 파밍(Pharming)이라고 한다.


꼼꼼하기로 유명한 참치씨였지만 교묘하게 조작된 피싱메일과 피싱서버로 인하여 수백 만원을 한 순간에 사기 당한 것이다.

* 사고접수를 통하여 결제를 취소할 수 있지만 피싱사기는 여러 가지 고객정보를 빼내갈 수 있으므로 계좌정보가 함께 유출된 경우 현금이 유출되는 피해를 함께 입을 수 있다.

* 인터넷을 통한 10만원 이상의 신용카드 결제시 공인인증서를 사용하도록 법적으로 규제되어 있다.


뉴스를 통해 우리는 피싱의 피해로 한 순간에 인생이 변하는 사고를 겪은 사람과 삶을 포기한 안타까운 소식이 들려 온다. 시도 때도 없이 걸려오는 광고전화와 스팸문자는 불편함을 겪게 하지만 피싱은 서로에 대한 불신을 야기하고 있다. 최근에는 각박한 생활 속에서 자주 볼 수 없는 친구들과 지인들과의 믿을 수 있는 공간이었던 메신저서비스 마저 피싱에 이용되어 대화할 때 서로에 신원 확인부터 하게 되는 상황이 되어 가고 있다.

얼마 전 인터넷 서비스 업체로부터 서비스 업그레이드를 하라는 전화를 받은 적이 있다. 4년간 사용하던 서비스였지만 통화할 일이 없는데 먼저 연락이 왔고 비용이 변경되니 결제정보를 확인하겠다는 이유만으로 상담원을 의심하게 되어 버렸다. 개선된 서비스를 체험 한 뒤 결정하겠다고 하고 장비교체를 위해 엔지니어가 직접 온 뒤에야 결제정보를 확인 및 동의 전화를 하였다. 서비스업체의 상담원의 하소연이 기억에 남는다. ‘요즘은 고객 유치와 서비스 업그레이드 권유가 어려워요. 보이스피싱으로 의심 받아 바로 끊어 버리거나 승인을 위해 고객정보 확인 하려고 하면 절대 알려주지 않으려는 고객이 부쩍 늘었어요.’

개인적인 경험이었지만 이러한 현상이 지속될 경우 지금까지 이루어진 전화, 인터넷고객서비스 모두를 의심하고 직접 찾아가서 거래를 해야만 하는 ‘서비스의 퇴보’가 발생하지 않을까 걱정이 된다.

피싱으로 인해 발생하는 개인의 금전적 피해도 문제지만 피싱으로 인해 점점 불신풍조가 만연하는 세상이 되어가고 있기에 우리 모두가 잠재적인 피해자이다.

 

칼럼니스트             안형봉 | 안철수연구소 엔진QA

 

안철수연구소의 시큐리티대응센터에서 엔진QA를 담당하며 병렬테스트시스템, 컨텐츠배포네트워크시스템(CDN) 개발을 진행하고 있다. 현재 "안랩 칼럼리스트"로 활동하며, 일반인들에게 보안 사건, 사고의 원인을 네트워크단에서 해석한다. 최악의 네트워크상태인 곳에서도 안정성과 속도가 유지되는 배포시스템을 설계하는 아키텍트가 되는 것이 목표로 하고 있다. 많은 실무 경험을 통해 학생들에게 보다 생생한 교육을 할 수 있는 날을 준비하고 있다.