|
피싱(Phishing)사고는 인터넷을 통해 국내외 유명기관을 사칭하여 개인정보나 금융정보를 수집한 뒤 이를 악용하여 금전적인 이익을 노리는 신종 사기의 일종입니다. 국내에서 발생한 피해사례를 통해 피싱사고를 예방할 수 있는 방법에 대해 짚어보겠습니다.
이번회는 피싱의 대략적인 내용과 국내 피해사례를 살펴보고 다음 뉴스레터에서는 피싱사고를 예방하기 위한 방법과 사고발생시 범국가적으로 대응할 수 있는 관련기관과 신고기관에 대해 언급하도록 하겠습니다. |
|
|
◆ 피싱, 왜 조심해야할까요?
피싱은 금전적 이익을 주목적으로 하기 때문에, 직접적으로는 예금인출이나 결재대납 등의 피해가 발생할 수 있습니다.
그밖에 간접적인 피해로는 광고성 전화 및 스팸메일 수신, 명의 도용 등이 있습니다. 특히, 한번 유출된 개인정보는 쉽게 없어지지 않기 때문에 예방이 더욱 중요합니다.
◆ 국내외 피싱 유형
국외에서는 유명기관을 사칭하여 메일을 발송하고, 메일 본문의 인터넷 주소로 접속해 개인정보를 입력하도록 하는 방법이 주로 이용되고 있습니다.
국내에서는 경품이벤트나 신용대출, 게임아이템 충전 등을 미끼로 대형 포털 게시판에 광고글을 게시하거나 쪽지를 보내는 방법이 주로 이용되고 있으며, 대형 포털사이트를 사칭하여 개인정보를 수집/판매하기도 하였습니다.
< 사칭대상 기관유형 >
금융기관 : 은행, 신용카드사, 전자지불업체 등
전자상거래 업체 : 쇼핑몰, 온라인경매 등
기타 : 온라인 게임, 취업알선, 성금모금 등
◆ 피싱 메일이나 게시글의 특징
|
① 메일 수신자의 이름이나 회원번호를 명시하지 않음
② 본문의 인터넷 주소로 접속하여 개인정보를 입력하도록 요구함
③ 메일 본문의 인터넷주소와 실제 접속되는 인터넷주소가 서로 다름
④ 응모하지 않은 이벤트나 복권에 당첨되었다는 내용을 포함
⑤ 신용불량자도 대출가능하다거나 상식 밖의 저렴한 대출 내용을 포함
⑥ 특정 인터넷주소의 사이트에서 특정 파일을 다운로드 받아 설치하도록 요구함
|
| |
|
◆ 국내 피해사례 |
|
|
|
| |
○○게임 사이트 게시판에 아이템 거래 글을 게시하고, 거래대금을 받으려면 당사자 확인이 필요하다고 속여, 미리 준비해둔 B은행 위장 사이트로 접속하도록 함. 실명확인 프로그램이라며 악성코드를 다운로드 받아 설치하도록 한 뒤 원격에서 조종하는 수법으로 77명의 게임 아이디와 비밀번호를 유출하는 사고가 발생하였음.
|
| |
 |
|
| |
| |
국내 유명 포털사이트 게시판에 신용과 관계없이 ‘예금잔액 1000만원 이상 있는 고객에게는 1억까지 대출가능’ 게시물을 올려놓고, 연락해 오는 사람들에게 신용확인을 해야 한다고 속여 위장사이트로 접속하도록 하였고, 피해자들은 자기가 거래하는 A은행 홈페이지와 비슷한 화면이 나오자 별다른 의심 없이 개인정보를 입력함.
보안카드 번호가 틀린 경우 은행직원을 사칭해 전화로 확인하는 수법으로 12명의 계좌에서 1억2천여만원을 인출한 사고가 발생하였음.
< B은행 피싱 절차 >
|
| |
 |
|
| |
| |
국내 유명 온라인게임인 C게임사 홈페이지를 모방한 사이트를 개설하여 ‘무료 게임아이템 제공 이벤트‘ 중인 것처럼 공지하고 게임 아이디와 비밀번호를 입력하도록 하는 수법으로, 약 2개월 동안 1,700여명의 개인정보를 빼내는 사고가 발생하였음.
특히 로그인을 시도하면 오류가 발생한 것처럼 메시지를 표시하여 접속장애로 생각하도록 구성해 의심을 피해 온 것으로 밝혀짐.
< C게임사 홈페이지 사칭화면>
|
| |
 |
|
| |
| |
D동호회 사이트 운영자를 사칭하여 이벤트에 당첨되었다는 쪽지를 보내고 회신을 한 학생들에게 “미성년자는 게임머니를 받을 수 없으니 부모님의 주민등록번호와 전화번호가 필요하고, N게임社의 060 결제 전화번호로 승인번호를 입력하면 게임머니가 충전된다”며 속여 집전화로 승인하도록 하는 수법의 사고가 발생함. 약 1년간 900여명이 피해를 당했고 범인들은 6천2백만원의 게임머니를 충전해 현금화 했던 것으로 밝혀짐. |
| |
 |
|
| |
| |
해외 로또업체를 사칭하여 ‘최고 1억4000만달러 복권에 당첨될 수 있는 기회’를 준다는 메일이나 국제우편을 발송하였고, 회원등급이 높을수록 당첨확률이 높다고 현혹하여 많은 가입비를 송부하도록 하는 사고가 발생하였음. 한국 피해자들의 피해액이 5만~10만 달러에 이를 것으로 예상된다고 함.
또 다른 예로, “축하합니다! 귀하가 100만 파운드 상금의 주인공으로 당첨되었습니다.”라는 제목으로, 전 세계 5천만명의 인터넷 메일 주소를 대상으로 컴퓨터 추첨을 실시한 결과, 당신이 거액의 상금에 당첨되었으니 인적사항을 알려주고 수수료를 지불하면 상금을 보내주겠다는 내용으로 사기행각을 벌인 사고도 발생하였음. |
| |
 |
|
| |
| |
국내 대형 포털사이트의 로그인 페이지를 위장한 사이트를 개설하고 "당신의 계정이 도용되었으니 확인하라"는 내용으로 메일을 발송하여 로그인정보를 입수하였음.
메일내용에 현혹되어 메일에 연결되어 있는 주소창을 그대로 클릭한 피해자들은 위장된 페이지에 로그인 정보를 입력하였고,공격자는 수십만명의 개인정보를 수집하여 돈을 받고 판매하였던 것으로 밝혀짐 |
| |
 |
|
| |
| |
한국정보보호진흥원에 신고되는 대부분의 피싱사고는 국외 공격자가 국내 시스템을 해킹하여 위장 홈페이지를 생성한 뒤 경유지로 악용한 사고 형태임.
주로 서버들이 해당되지만, 개인PC도 보안이 안 된 경우 악성코드에 감염되거나, 피싱 툴킷(toolkit)이 설치되어 사용자도 모르는 사이에 피싱 경유지로 이용되는 사고가 계속 발생하고 있음. | | |
