본문 바로가기
AhnLab 보안in

메신저 피싱, 나도 당할 수 있다 (메신저 피싱 방지 보안수칙)

by 보안세상 2020. 4. 8.

2009.09.10

 

메신저 피싱, 나도 당할 수 있다 


한달 전 어느 날이었다. 필자의 뒷자리에 있는 동료가 엄청 화가 나있었다. 무슨 일이 있냐고 물었더니, 전 직장동료가 메신저로 욕을 해대더니 로그오프하고 나가버렸다라는 것이었다.

그 욕을 하고 나갔다는 사람은 필자 본인도 아는 사람이라 상당히 의아했었다. 그럴 사람이 아니기 때문이다.

뒷자리에 있던 회사동료가 분을 참지 못하고 메신저로 욕을 했던 사람에 전화를 했는데, 그 사람으로부터의 답변은 본인의 메신저 계정의 유출로 인해 여기저기 항의전화를 받고 있다는 것이었다.
 
바로 인터넷 메신저 피싱의 피해자가 필자 뒷자리에서 발생한 것이었다. 물론 이 경우는 돈을 송금하는 피해를 입지 않았다. 하지만 운이 좀 좋은 케이스였다고 볼 수 있다.

왜냐면, 메신저 피싱 사기꾼이 피해자의 계정으로 필자의 동료에게 반말로 이야기를 했기 때문인데, 그 둘은 나이차가 있어서 반말로 얘기를 나눌 상대가 아니었기 때문에 처음부터 얘기가 자연스럽게(?) 전개될 수 없었고, 결국 그 사기꾼이 맘대로 되지 않자 욕을 하고 메신저를 로그오프하게 된 것이었다.

그리고 그 사건이 있은 후 1주일 뒤에 또 다른 필자의 팀 동료가 메신저 피싱의 피해자가 될 뻔 했다. 이번에는 동료자신의 선배가 돈을 빌려달라는 것이었다고 한다.

그때는 진짜로 은행 잔고가 없어서 보내줄 수 없다고 메신저를 끊었는데, 생각을 해보니 그 선배가 그럴 사람이 아니라고 했다. 당시에 은행잔고가 있었으면 보냈을 수도 있을 것 같았다고 필자에게 토로했었다.
 

<그림 메신저 피싱 사례>



메신저 피싱 사고 대응은 어떻게 진행되고 있을까?

 

서울지방경찰청에 따르면 올해 1∼6월 메신저 피싱 피해 사이버신고 건수는 1,392건이며 피해액만도 16억4,000만원이 넘는다고 한다. 물론 이것도 신고된 것을 기준으로 한 것이므로, 신고되지 않은 사례를 훨씬 많을 것으로 예상이 된다.

그리고, 메신저 업체인 네이트온과 MSN이 메신저 피싱 범죄 근절을 위해 공동 대응키로 했다고 한다. 피싱 피해를 줄이기 위한 대고객 캠페인과 기술적 대응 등에 공동 대응하고, 경찰청 사이버테러대응센터와의 공조 협력도 확대해 범죄인 검거와 금전적 피해 예방을 위한 신속한 대응에 박차를 가하기로 했다고 밝혔다.

그럼 과연 메신저 업체의 노력과 경찰청과의 공조로 이 메신저 피싱 범죄를 막을 수 있을까? 필자는 그렇지 않다고 생각한다. 메신저 업체나 경찰청 모두 캠페인과 사후 대응처리가 주가 될 것이기 때문이다.(메신저 업체와 경찰청의 노력을 비하하려는 것은 아니다.)

본인이 자동차 운전을 한다고 생각해보자. 운전시 교통사고를 당하지 않고 안전운전 하려면 어떻게 하는 것이 좋을까? 바로 답이 나올 것이다. 그것은 교통법규를 잘 지키는 것일 것이다. 신호준수하고 과속하지 않고, 그리고 운전시 집중하면 안전운전을 할 수 있다. 하지만 이것으로 충분할까?

필자의 지인인 택시기사(10년 이상 무사고 운전자)분의 얘기를 물어보면, 교통법규 준수는 기본이고 가장 중요한 것은 방어운전이라는 것이다. 필자는 겁이 많아서 그런지 과속절대 안하고 항상 방어운전을 철칙을 삼고 있다. ^^

 

 

메신저 피싱의 피해를 막으려면 어떻게 하면 될까?

피해를 막는 방법에 대해서 간단하게 적을 수 있으나 좀더 정확하게, 좀더 재미있게 이해 할 수 있도록 얘기를 해보자. 그러려면 근본적으로 사용자의 입장이 아닌 해커의 입장에서 봐야 할 필요가 있다.

자.. 본인이 해커라고 생각해보자. 메신저 피싱을 하려면 메신저 계정정보를 탈취해야 한다. 그러면 타인의 메신저 계정정보를 쉽게 빼 내기가 가장 쉬운 장소가 어디일까? 답은 PC방이나 공공장소에 놓여있는 PC가 될 것이다. 여기에 있는 PC에 몰래 해킹툴을 설치를 한 후, 그 PC에서 인터넷 사이트에 로그인한 사용자의 아이디와 비밀번호를 빼 가는 것이다.

일반인이 볼 때는 아이디와 비밀번호를 빼내어 가는 것이 굉장히 고급기술로 보이지만, 보안업체 관계자 입장에서 볼 때는 키보드보안프로그램 등의 보안프로그램이 설치되어 있지 않은 PC에서는 키입력 값을 훔쳐가는 것이 쉬운 기술이라고 판단한다.

그나마 인터넷 뱅킹 사이트는 보안프로그램의 의무화가 되어 있어서 로그인시에 보안프로그램이 작동하고 있으나, 금융사를 제외한 인터넷 포털 등의 사이트는 낮은 수준의 보안 또는 사용자 선택으로 보안프로그램이 작동하고 있으므로 사실상의 무방비로 노출이 되어 있다고도 볼 수 있다.

그러므로, PC방에서나 공공이 사용하는 PC에서는 아이디와 비밀번호를 넣어서 로그인하는 것은 절대로 하지 마시길 바란다.

다시 해커의 입장으로 돌아오자. 몰래 해킹툴을 설치한 PC에서 어떤 사람이 인터넷 사이트에 로그인했고 그 사용자의 로그인 정보를 획득했다고 치자. 획득한 아이디와 비밀번호를 이용해서 다른 사이트나 웹메일, 메신저 등으로도 로그인이 가능할 것이다(대부분의 사용자는 거의 모든 사이트의 계정정보가 동일하다.). 그 다음은 여러분의 상상에 맡긴다.

아래는 메신저업체에서 밝힌 메신저 피싱 방지 10계명이다. 아래의 보안수칙을 잘 지킨다면 피해사례를 막는데 큰 도움이 될 것이다. 꼭 숙지하길 바란다.

 

마지막으로 필자의 당부

 

앞서 얘기를 했지만 PC방 등에서 되도록 로그인을 삼가하길 바란다. 꼭 필요한 경우가 있다면, 백신이 설치되어 있는지 확인하고 로그인의 보안수준을 최고수준으로 높여서 로그인해야 한다.

그리고 마지막으로 가장 중요한 것이 있다. 웹메일에는 절대로 개인자료를 남기지 않아야 한다는 것이다. 위에서 보듯이 로그인 계정정보가 노출이 되면 바로 웹메일의 내용도 해커의 손안에 들어가게 된다.

최근 뉴스에 났었던 인터넷 뱅킹 계좌유출 피해자의 경우는 웹메일에 공인인증서 파일과 보안카드 번호가 보관되던 것이 유출되면서 계좌유출의 피해자가 되었었다. 웹메일의 계정정보가 어떻게 노출되었는지는 공식적으로 밝혀지지 않았지만, 충분히 위의 시나리오처럼 개인정보 유출이 되었을 수도 있을 거라 본다.

방어운전이 최고의 안전운전 방법임을 기억하며, 항상 개인정보 유출에 조심하기를 거듭 강조한다.@

 

출처 : 안철수연구소

댓글0