낚시 수법으로 개인정보를 빼내간다는 의미의 피싱(Phishing)은 유명기관을 사칭해 개인에게 이메일을 보낸 뒤 사람들이 이메일을 통해 위장 홈페이지에 접속, 개인정보를 입력하도록 유도하고 이를 몰래 빼 가는 것이 일반적이다.

피싱 공격자들은 이렇게 수집한 개인정보를 이용, 은행계좌에서 돈을 훔치거나 게임머니 등을 갈취한다. 어떤 이들은 국내은행 인터넷뱅킹 홈페이지와 유사한 가짜 홈페이지로 접속되도록 유도한 뒤 계좌ㆍ공인인증서ㆍ보안카드의 비밀번호 입력을 유도해 접속자들의 공인인증서를 복사하기도 했다. 최근에는 국내 유명 포털사이트 게시판에 `신용과 관계없이 예금잔액 1000만원 이상 있는 고객에게 1억원까지 대출 가능'이라고 광고한 뒤 위장사이트로 접속을 유도해 예금잔액을 모두 훔쳐 가는 대출미끼형 사고도 있었다.

이처럼 이제는 국내에서도 피싱사기로 인한 위협이 가시화되고 있다. 국가정보원에서 발표한 사이버침해사고 사례집에 따르면 지난 한 해 동안 1266건의 피싱 사고가 발생, 전년도의 1087건보다 16.5%가 증가했다고 한다. 특히 사이버 침해사고의 가장 큰 특징이 금전적인 이득 및 개인정보 절취를 목적으로 한 영리형 해킹의 증가라고 하니 그 심각성을 간과할 수 없다.

피싱 사기의 상당수는 위장사이트로 접속을 유도하는 URL이 담긴 이메일이나 게시판 메시지를 통해 사용자가 위장 사이트로 접속, 개인정보를 입력하게 만드는 방법이다. 이는 유사한 가짜 도메인과 웹사이트를 개설해 이용자의 눈을 속이는 방법으로 사용자의 인지 능력 범위 안에서 벌어진다. 즉, 사용자가 주의를 기울이면 피싱 사이트를 구분, 위험을 피해갈 수 있는 것이다.

하지만 최근에는 사용자가 아무리 주의하여도 어쩔 수 없이 걸려들게 되는 신종 피싱 수법이 발견되고 있다. 사이트 주소 창에 정확한 주소를 입력해도 사용자 자신도 모르게 해커의 서버로 접속되는 방식으로 호스트파일을 변조하는 방법이다. 호스트파일이란 특정 IP주소에 대한 DNS주소 변환에 대한 설정을 저장해 두는 곳으로 특정 사이트를 임의의 IP로 설정해 두면 해당사이트 입력 시 설정된 IP로 접속하게 된다. 이러한 방식은 최근의 모 은행 인터넷뱅킹의 피싱사이트에 이용된 방법이기도 하다.

호스트파일은 PC이용자가 직접 해당 폴더에 들어가 파일명을 수정할 수 있지만 호스트파일을 변경하는 악성코드에 감염돼 수시로 호스트파일이 변조된다면 사용자가 수동적으로 모든 것을 제어할 수는 없다. 이러한 새로운 형태의 3세대 피싱을 막기 위해서는 인터넷 사용자들의 웹사이트, 링크, 파일실행 등에 대한 주의와 함께 피싱방지 솔루션의 힘을 빌려야만 한다. 최근 자사에서 금융권 및 기업, 공공기관 전산 담당자들을 대상으로 실시한 조사에 따르면 금융권의 56%, 공공과 기업의 42%가 피싱 보안 프로그램 도입을 최우선으로 고려하고 있는 것으로 나타나는 등 금융권을 중심으로 한 기업군에서의 피싱보안에 대한 수요가 확인되기도 했다.

국제피싱대응협의체 `안티피싱워킹그룹'(APWG)에 의하면 현재 전 세계적으로 34개 업체가 피싱방지 솔루션을 제공하고 있으며 국내에도 최근 피싱방지 솔루션이 잇달아 출시되고 있다.현재 이용되고 있는 피싱방지 솔루션들로는 피싱사고 이후 보고된 피싱사이트를 확인, 등록해 두는 블랙리스트 방식과 피싱사이트가 아닌 본 사이트임을 등록, 입증해주는 화이트리스트 방식이 주를 이루고 있다. 그러나 이러한 두 가지 방식만으로 구성된 기존의 피싱 방지 솔루션은 제 3의 서버를 경유한 공격이나 시스템 변조를 통한 공격 등 새로운 형태의 피싱에 대하여서는 방어력을 갖추지 못하고 있는 경우가 많다.

최근 피싱을 포함한 해킹 수법들은 공략 타깃을 서버 중심에서 보안에 취약한 불특정 다수의 개인 PC로 확대하기 시작하는 등 새로운 경향을 보이고 있다. 또 해킹 방법들도 더욱 다양하고 교묘해지고 있어 기존 방식에 의존하는 보안 제품은 더 이상 그 구실을 다하지 못하는 것이 사실이다.

이러한 현실 때문에 이제 기존의 블랙리스트나 화이트리스트 방식이 가지고 있는 한계를 뛰어넘는 호스트파일 변조나 시스템 변조 등 새로운 피싱 패턴을 분석하고 이를 차단할 수 있는 새로운 피싱보안 솔루션이 필요한 때다. 사용자제작콘텐츠(UCC) 등을 이용, 마음만 먹으면 손쉽게 악성코드를 심을 수 있는 환경이 조성되어 있는 요즘 관련업계는 이용자들이 처할 수 있는 위험을 명확히 인지하고 이를 위한 솔루션을 제시하는 준비된 자세가 필요하다. 이와 함께 사용자 역시 소 잃고 난 후 외양간을 고치는 불감증적 습관을 버리고 피싱의 위험성에 대한 충분한 인지와 피해를 줄일 수 있는 대처 방안들을 늘 염두 해 두는 자세가 필요할 것이다.

[출처] Copyright 디지털타임스 | 이타임즈 신디케이트. 무단전재-재배포금지

<<기사원문 : http://www.etimes.net/service/etimes_2007/ShellView.asp?LinkID=6008&ArticleID=2007052803024200095>>