관련 통계자료 다운로드 파밍 구조도 신종 금융사기 수법인 `파밍`이 갈수록 지능화하고 있다.
사용자 PC의 호스트(Hosts) 파일까지 통째로 바꿔 가짜 홈페이지 접속을 유도하는가 하면 최근에는 진짜 은행 홈페이지를 링크시키는 수법까지 등장했다.
파밍은 악성코드를 컴퓨터에 심어 이용 고객이 정상적인 주소로 은행 사이트에 접속해도 가짜 사이트에 연결되도록 하는 금융사기 수법이다.
고객들은 이 사이트에 접속했다가 `보안등급을 높여야 한다`는 안내문을 보고 계좌번호, 비밀번호, 35개 보안카드(안전카드) 코드표 등을 입력해 피해를 당한다. 최근 발생한 파밍 수법은 고객이 결제 정보 등을 입력하면 진짜 홈페이지 화면으로 연결, 이동하는 치밀함까지 보였다.
은행권 보안 관계자는 “화면 하나에 여러 개의 링크를 거는 수법으로 진짜와 가짜를 교묘히 연결하는 신종 수법”이라고 말했다.
문제는 금융사기범이 PC 안의 호스트까지 위·변조해 가짜 IP를 심는 것인데, 이를 사전에 막을 방법이 현재로서는 없다.
신종 파밍 수법이 기승을 부리자 은행권도 비상이 걸렸다. 금전거래가 잦은 월말, 월초 사기 피해가 많을 것으로 보고 모니터링 및 홍보를 강화하고 나섰다.
하지만 보안 전문가들은 파밍을 원천 차단하기 위해서는 정부 차원에서 변조탐지기능이 있는 보안 SW 설치를 강제화하는 방안이 필요하다고 입을 모았다.
조우영 KB국민은행 IT보안관리부 팀장은 “정부와 은행, 백신 공급회사가 별도의 협의체를 구성해 범용화한 변조탐지 SW를 개발, 공급해야 한다”고 말했다. 또 정해진 IP가 아닐 경우, 아예 접속을 하지 못하도록 시스템 개선 작업도 병행해야 한다고 덧붙였다.
이는 보안회사들이 백신을 개별 공급할 경우 여러 개의 보안프로그램이 작동해 PC 성능이 저하되기 때문이다.
금융당국과 은행권은 최근 별도의 피싱 대응책을 논의 중이다.
공인인증서 발급 시, 300만원 이상 인출 시, 전액 거래시 별도의 전환승인 시스템(추가인증)을 의무화하는 방안이다. 은행별로 시행 중인 곳도 있지만 이를 의무화하겠다는 것이다.
추가 인증제가 도입되면 비록 사용자 본인 정보가 유출되더라도 도용의 피해는 막을 수 있다.
길재식기자 osolgil@etnews.com
