Home > 전체기사

[알쓸보안사전] 해커들의 먹잇감은 개인정보? 피싱(Phishing)의 모든 것

  |  입력 : 2023-03-26 21:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
피싱, 개인정보(Private data)와 낚시(Fishing)의 합성어
피싱의 목적은 오직 ‘돈·돈·돈’...금전 탈취만이 그들이 노리는 것
예방법은 ‘끊임없이 의심하고 확인하는 것’, 해커의 요구에 휘둘리지 말라


알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]

[보안뉴스 이소미 기자] 개인정보가 곧 ‘돈’이 되는 시대다. 개인정보에 대한 관심이 높아지게 된 데는 이로 인한 ‘피해’가 다양한 방식으로 확산되고, 개인정보 활용에 따른 경제적 가치도 높아지면서 사회문제로까지 대두됐기 때문이다. 오직 ‘돈’이 목적인 해커들이 개인의 어떤 정보들을 주로 탈취하는지 ‘개인정보(Private data)와 낚시(Fishing)의 합성어’인 피싱(Phishing)의 종류와 피해사례에 대해 알아본다.

▲[이미지=보안뉴스]


△이 주의 보안 용어
금융정보 피싱(Financial Information Phishing)
해커가 거짓(Fake) 메시지를 사용자에게 메일, 문자, 메신저, SNS 등을 통해 ‘일상 대화’ 형태로 보낸 다음, 사용자의 금융정보에 해당하는 개인정보 탈취를 유도하는 수법으로 불특정 자산 분배를 빌미로 한 계좌 번호 요구, 친분을 가장한 연락 또는 지인·가족을 사칭해 현금을 빌리는 등의 금전 거래를 유도하거나 금융 정보를 요구하는 형태로 이루어진다.

스피어 피싱(Spear Phishing)
대표적인 ‘악성 메일 해킹 공격 수법’으로 주로 직장 동료나 친구, 가족 등을 사칭해 표적이 된 사용자에게 메일을 보내 PC, 스마트폰 등을 감염시키고 사용자의 아이디나 비밀번호를 탈취해 정보를 대량 유출시키는 행위이다. 사용자가 메일을 당연하게 열어볼 수 있도록 실제 이메일 주소와 흡사한 주소와 이름으로 교묘하게 접근하는 것이 특징이다.

보이스 피싱(Voice Phishing)
금융보안사고에서 가장 대중적이면서도 많은 피해가 발생하고 있는 수법으로 전화상으로 범죄가 쉽게 이루어지지만 실제로 그 범죄 수법이 나날이 진화하고 있어 피해가 끊이지 않고 있는 실정이다. 최근에는 기술적 수법까지 가미해 점점 지능화·고도화되고 있으며, 이에 따라 다양한 연령대의 피해자가 속출하고 있다. 탈취된 개인정보 양과 특징에 따라 공격자들만의 자유로운 시나리오 전개가 가능하기 때문에 피해자가 쉽게 속아 넘어갈 수 있다.

액티브 피싱(Voice Phishing)
진화된 피싱의 형태로 사용자가 정보를 사용하고 있는 과정에서 해커가 ‘직접적으로 개입’해 사용자의 정보를 임의로 ‘중간 탈취’하는 ‘기술적 수법’이다. 주로 보안이 갖춰지지 않은 스마트폰이나 PC와 DNS 서버를 감염시켜 금융 민감 정보를 탈취하는 행위이다. 해커들은 실제 은행과 같이 ‘가짜 금융 사이트’를 제작해 두고 사용자의 접속을 유도한다. 또, 사용자가 ‘가짜 금융 사이트’를 이용하는 동안 해커가 실시간으로 모니터링하며 송금하는 과정에서 송금 금액과 수신인을 중간에 변경해 금전적 피해를 입히기도 한다.

△이런 일이 있었다
금융정보 피싱
가족 또는 지인을 사칭해 휴대폰 파손·분실 등을 이유로 금전을 탈취하는 경우, 또는 불특정인의 재산 분배를 위해 입금 계좌번호를 요구하는 등의 사례가 있었다. 해커들은 사용자에게 접근이 용이한 카카오톡과 같은 SNS 메신저를 선호하기 때문에 주로 이를 통해 정보를 탈취하는 사례가 가장 많았다.

스피어 피싱
대표적인 사례로 1천만 명이 넘는 고객의 개인정보가 한꺼번에 유출된 ‘I사 해킹사건’이 있다. 이렇듯 수많은 인원이 해킹 피해를 당하게 만들었던 건 I사 직원이 받은 단 한 통의 이메일이었다. 당시 공격자는 I사의 임직원의 동생을 사칭해 악성 파일이 첨부된 메일을 보냈고 이를 의심 없이 열어 해커가 첨부한 파일을 실행시킨 것이다. 해당 수법으로 탈취된 고객 개인정보만 1,030만 건이 유출됐다.

보이스 피싱
보통 경찰청이나 검찰, 금감원 등 권위가 있다고 생각되는 국가기관을 사칭해 범죄 연루를 이유로 들어 공격하거나 가족 납치·사칭 등 다양한 방식으로 이루어진다. ‘개인정보 프로파일링’으로 임의로 수집된 개인정보에 따른 시나리오를 만들어 피해자를 현혹해 심리적 압박을 가함으로써 극단적인 선택에 이르게 한 경우도 적지 않다.

액티브 피싱
사용자를 속이기 위해 ‘위조 사이트(Fake Site)’를 만들어 접속하게 한 후, 사용자가 입력하는 금융정보를 포함한 개인정보에 대한 ‘트래픽’을 탈취해 송금 시 금액 및 수신인 변경 등을 통해 금전을 탈취한 사례가 있다. 또한, 보안카드 전체를 입력하는 ‘위조 화면’을 띄워 금융 민감 정보까지 모두 수집해 가는 경우도 있다.

△피해는 이렇게 막을 수 있다
피싱의 경우 그 방법과 기술적 접근 방식에 따라 종류는 다양하지만 예방 및 대응책은 거의 흡사하다. 기본적으로 출처가 불분명하거나 실제 신원이 확인되지 않은 연락의 경우 응하지 않는 것이 상책이다. 한 마디로 ‘끊임없이 의심하고 확인하고 또 확인하는 것’이다.

또한, 첨부된 링크나 사이트 URL 등을 함부로 클릭하지 말고 회사나 지인이 보낸 메일에 실행 파일이 첨부된 경우라면, 반드시 대상자에게 직접 확인하는 절차를 거치는 것이 안전하다. 해커들이 개인정보 탈취 및 해킹을 목적으로 보내는 이메일 주소나 URL, 첨부하는 파일 확장자명은 교묘하게 변조된 경우가 대부분이므로 사용자는 더욱 경각심을 갖고 유의해서 살펴봐야 한다.

그 외 악성 피싱 문자 및 액티브 피싱 피해 등을 막기 위해 사용자가 이용하고 있는 통신사나 금융권에서 제공하는 예방 프로그램 및 서비스 등을 미리 신청해 두는 것이 좋다. 통신사의 경우 ‘피싱·스미싱 방지 서비스’를 통해 기본적인 예방이 가능하며, 금융권의 경우 ‘개인화 이미지(피싱방지 서비스)’를 통해 피싱에 대한 선제적 대응이 가능하다.

해커들이 노리는 것은 오직 ‘돈’이다. 이들은 다양한 수법으로 탈취한 개인정보를 ‘다크웹’ 에 판매해 그들만의 수익을 증대시킬 뿐 아니라 2차, 3차 범죄에 끊임없이 악용하기도 한다. 그렇기 때문에 이미 유출된 정보에 대해서는 신속하게 폐기·해지하고 각 담당기관에 연락해 도움을 요청해야 한다. 피싱 공격이 순식간에 이뤄지는 만큼, 신고 및 대응도 빠를수록 좋다는 것을 명심하자.
[이소미 기자(boan4@boannews.com)]
[도움말=보안119]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)