“저희 은행의 인터넷뱅킹 보안 시스템을 강화하였습니다. 고객님께서는 저희 은행 홈페이지에 접속하신 후 개인정보를 확인해 주시기 바랍니다.” 이러한 내용의 메일을 받아본 적이 있는가.
이것은 피싱(Phishing) 메일의 전형적인 내용이다. 또한 개인정보를 갱신하라는 메일 통보와 함께 보안에 취약한 사이트를 해킹해 해당 사이트처럼 위장한다.
대부분의 피싱은 일반인이 거래하는 은행이나 전자상거래 사이트 등의 이름을 도용해 메일을 보내고 위장된 사이트로 접속을 유도해 은행 계좌번호, 금융거래용 비밀번호, 기타 개인정보 등을 입력하게 한 후 이를 이용해 불법으로 타인의 예금을 이체하거나 물품구매 사기 등에 악용한다.
얼마 전 국내에서도 A은행을 사칭한 피싱 사고가 일어나 여론의 관심을 끈 일이 있었다. 하지만 이 사건은 피싱이라기보다는 악성 원격관리프로그램을 배포한 해킹사건으로 볼 수 있다.
해킹 경위를 살펴보면 사용자가 B게임사이트의 아이템 거래를 위한 게시판에 접속했을 때, 해커는 거래 당사자의 실명확인 절차라고 속여 A은행을 가장한 사이트로 접속을 유도한다. 즉 해당 사이트에서 해커의 사이트로 자동 이동되도록 하는 것이다. 사용자가 A은행으로 위장된 사이트에 접속 후 ‘실명확인 프로그램 다운로드’를 클릭해 실행하면, 악성코드에 감염된다.
이 사건의 특징은 기존 피싱 방법이 개인 메일을 통해 사용자를 유인하던 것과 달리, 불특정 다수의 사용자가 접속하는 게시판을 통해 사용자가 개인정보를 직접 입력하지 않아도 사용자의 개인정보를 빼낼 수 있는 악성코드의 다운로드 및 실행을 유도했다는 점이다.
아직까지 국내에서 피싱 기법에 의한 예금 인출 등 금융사고 피해사례가 보고되지는 않고 있다. 이는 우리나라의 경우 전자 금융거래에 공인인증서를 사용하고 있고, 공인인증서 비밀번호와 보안카드 번호 등 여러 장치가 돼 있어 미국 등 여타 국가보다 상대적으로 안전하기 때문이다.
그러나 우리나라 역시 확률이 낮을 뿐 피싱의 안전지대는 아니다. 인터넷을 이용한 뱅킹, 쇼핑몰, 게임 등 전자거래가 활발한 국내의 인터넷 환경에서 피싱 사고 발생 가능성은 항시 존재하기 때문에 각별한 주의가 요구된다. 또 공인인증서는 통상 PC의 하드디스크에 보관되는데, 해킹을 당한 PC 내의 공인인증서는 해커가 절취할 수도 있다.
국내 은행은 개인정보 갱신을 요구하는 메일을 인터넷뱅킹 사용자에게 보내지 않으므로 만약 이 같은 메일을 받았다면 피싱으로 의심해 보고 삭제해야 한다. 판단이 곤란한 경우에는 해당 사이트를 직접 방문하거나 전화를 걸어 확인해야 하며, 개인정보를 갱신할 필요성이 있으면 브라우저의 주소창에 해당 웹사이트의 주소를 직접 입력하는 것이 안전하다.
지난해 KISA에 접수된 국내 위장 홈페이지 신고 건수는 총 220건으로, 월평균 18건의 보안 취약 사이트가 해외 피싱사고의 경유지로 악용된 것으로 나타났다. 올해 1월에는 61건이 신고돼 지난해에 비해 급증하는 추세를 보였으며, 6월에는 100건을 넘어섰다.
이러한 신고 건수의 증가는 보안이 취약한 일부 국내 웹서버들이 해킹을 당해 외국 금융기관, 쇼핑몰 등의 위장 홈페이지로 악용되는 사례가 증가했음을 의미한다. 실제로 안티피싱 워킹그룹(APWG)에 따르면 우리나라는 올해 4월 기준 경유지로 악용된 서버를 보유한 국가 순위에서 3위를 차지했다.
결론적으로 피싱은 피해자의 부주의로 발생한다. 보낸 사람이 불분명하거나 의심 가는 메일을 받을 경우, 특히 거래 은행을 사칭해 개인의 금융관련 정보를 입력하도록 요구하거나 ‘대박 투자정보 제공’ 등 금전상의 이익을 미끼로 사이트 방문을 유혹하는 메일인 경우에는 반드시 사실을 확인하는 등 주의를 기울여야 한다. 조금만 주의하고 ‘정보보호 8대 실천수칙’을 생활화하는 등 정보보호 마인드를 강화하면 피싱 사고로 인한 금전적 피해의 예방은 물론이고 안전하게 ‘따뜻한 디지털세상’을 향유할 수 있을 것이다.
◆이홍섭 한국정보보호진흥원장 hslee@kisa.or.kr
