이번 원고에는 피싱메일 대처 및 수신 대상이 될 가능성을 낮추는 방법에 대하여 알아보도록 하자.
최근 유머 글들 중에 보이스피싱, 메신저피싱에 대하여 성공적으로 대응한 분들의 글이 자주 올라오고 있다. 이 글들을 보면서 ‘이렇게 허술하게 속이려 하니 피해를 입기 전에 알아차리지’ 하며 안심을 하지만 실제 이러한 일들이 자신에게 닥쳤을 경우 이를 간파하고 대비할 수 있는 사람은 그리 많지 않을 것이라 생각한다.
지난회 ‘피싱메일 분석편’ 에 기술되었던 내용을 토대로 공격자(피싱사기 가해자)가 피싱사기 피해자를 어떻게 물색하고 금전적 피해를 입힐 수 있는지 예제를 통해 알아보고 피싱의 각 단계별 사용자의 대처법을 찾아본다.
* 본 예제는 필자의 이메일 주소로 검색하여 얻은 결과로 만든 가상의 시나리오임을 밝혀둔다.
시나리오 1. 희생양을 찾는다.
스팸메일에 사용되는 도구중 ‘e-mail 주소 자동추출 프로그램’이라는 툴이 사용되곤 한다. 이 툴은 웹페이지를 검색하여 e-mail들을 추출하는 프로그램으로 ‘웹크롤러’의 기능을 응용한 것 이다. 이를 통해 추출된 메일 주소중 shXXX0@XXmail.com을 발견하였다. 해당 이메일 주소를 한 포털의 검색어 창에 입력하자 다음과 같은 결과를 얻을 수 있었다.
[그림1 특정 e-mail 주소를 검색한 결과]
해당 이메일 주소의 사용자는 XX정보통신의 제품을 사용하고 있고 다음의 정보가 검색된 것을 볼 수 있다.
(검색된 결과: 실명, 핸드폰번호, 구매한 제품명, 제품의 일련번호)
피싱 예방수칙 1
개인정보가 제공된 곳이 많아질수록 피싱공격에 노출될 가능성이 높아진다. 불필요한 이벤트에 참여하여 중요한 개인정보를 흘리지 않아야 한다.
피싱 예방수칙 2
일정주기로 자신의 이름, 개인정보의 일부를 검색엔진에서 검색어로 사용하여 취약한 서비스업체를 통한 정보의 유출이 이루어졌는지 확인한다. 단 검색어로 너무 많은 정보를 입력할 경우 역효과가 발생할 수 있음을 주의 해야 한다. (검색엔진은 해당 키워드를 찾기 위해 열심히 동작하여 그 동안 발견되지 않았던 정보들까지 검색엔진이 보유하게 될 수도 있다.)
공격자는 한 고객의 중요정보를 얻을 수 있었다. 과연 취약한 서비스업체에서 1명의 정보만 얻을 수 있을까?
해당 검색결과를 통하여 다음의 결과를 얻을 수 있었다.
[그림 2 검색결과 발견된 고객정보]
* 게시판에 글을 등록 시 수정/삭제를 위한 비밀번호를 입력 받지 않는 서비스의 경우 주의해야 한다. 공개/비공개 선택을 지원하지 않는 게시판의 경우 개인정보가 검색될 가능성이 높다.
[그림 3 목록보기를 통하여 다른 고객의 정보확인이 가능한 경우]
아직도 이렇게 허술한 서비스가 있을까 부정할 수도 있겠지만 모든 서비스는 업그레이드를 하며 동시에 새로운 취약점도 업그레이드 된다.
피싱 예방수칙 3
개인정보를 등록하는 서비스를 이용할 때 주의해야 한다. 웹페이지 및 게시판등의 모든 서비스는 기능개선을 하게 된다. 하지만 소프트웨어로 구성된 이러한 서비스는 취약점이 존재하며 업그레이드를 하면서 새로운 취약점이 발생할 수 있다. 이러한 ‘창과 방패’의 경쟁은 계속된다. 소프트웨어와 서비스의 발전과 취약점도 함께 발전하게 됨을 명심해야 한다. 또한 암호도 유출될 가능성이 있으므로 일반적인 목적의 암호와 금융거래를 위한 암호를 다르게 설정하는 습관이 필요하다.
시나리오 2. 미끼를 만든다.
위의 ‘시나리오 1’을 통하여 공격자는 1,500여명의 개인정보를 취합할 수 있었다. 해당 고객들은 특정회사의 제품을 사용하고 있으므로 다음과 같은 메일을 발송하게 되면 피싱에 걸려들 가능성이 높다.
[표 1 공격에 사용할 조작된 메일의 구성]
[그림 4 공격에 사용할 조작된 메일의 예]
시나리오 3. 미끼를 문다.
위 메일을 받은 수신자는 본인이 사용하고 있는 제품을 판매하는 회사에서 하는 행사로 생각할 가능성이 높다. 또한 해당제품의 구매를 신청하기 전 메일에 기재된 곳에 연락해보거나 구매 신청 후 송금 전에 구매접수가 되었다며 해당사를 사칭한 전화가 오게 될 경우 더욱 신뢰할 가능성이 높아지게 된다.
[그림 5 메일을 통해 구매확정 페이지에 접속한 경우와 안티피싱 보안제품을 통해 차단된 경우]
위 예제에 사용된 피싱페이지는 계좌이체를 통하여 입금을 요구하고 있다. 이는 해당 입금 계좌가 속칭 ‘대포통장’으로 공격자는 즉시 인출 후 도주하기 위한 목적이 있기 때문이다.
이를 통하여 채집된 수신자 1,500명중 10%만이라도 조작된 페이지에 기재된 계좌번호를 통해 입금할 경우 공격자는 ‘150명 X 40만원 = 6,000만원’의 부당이익을 취할 수 있으며 피해자는 자신의 의지로 송금을 했으며 입금 계좌 또한 추적이 어려운 상황이므로 구제를 받기 어려운 상황에 처하게 된다.
피싱 예방수칙 4
구매/송금등 금융거래에 관련된 메일은 참고로만 읽고 인터넷 주소를 직접 입력하여 접속 하도록 한다. 피싱메일 및 피싱사이트는 외관상으로는 조작여부를 판단하기 어렵기 때문이다.
피싱 예방수칙 5
그림5의 우측은 안티피싱 보안제품이 설치되어 있는 PC에서 해당 메일의 ‘구매’ 버튼을 누른 경우로 피싱페이지로의 연결이 차단되는 것을 볼 수 있다. 무료로 제공되는 보안제품도 있으므로 적극 활용하도록 하자.
[피싱정보 및 대처방법을 제공하는 기관/업체]
http://www.krcert.or.kr : [인터넷 침해사고 대응지원센터] 피싱사고, 해킹사고, 보안 취약점등 신고
http://www.boho.or.kr : [보호나라] 개인이용자 대상 정보보호 포털사이트 (전화 118)
http://www.netan.go.kr: [경찰청 사이버테러대응센터] 사이버범죄 수사 관련 상담 및 신고 (전화 02-3939-112)
http://www.antiphishing.org: 국제 안티피싱 그룹, 최신 피싱동향 및 안티피싱 정책에 대한 정보제공/교류
http://www.siteguard.co.kr: 안철수연구소에서 제공하는 무료 인터넷보안 프로그램
 | [저자] 엔진QA 안형봉 | |
 | 안철수연구소의 시큐리티대응센터에서 엔진QA를 담당하며 병렬테스트시스템, 컨텐츠배포네트워크시스템(CDN) 개발을 진행하고 있다. 현재 "안랩 칼럼리스트"로 활동하며, 일반인들에게 보안 사건, 사고의 원인을 네트워크단에서 해석한다. 최악의 네트워크상태인 곳에서도 안정성과 속도가 유지되는 배포시스템을 설계하는 아키텍트가 되는 것이 목표로 하고 있다. 많은 실무 경험을 통해 학생들에게 보다 생생한 교육을 할 수 있는 날을 준비하고 있다. |
※ 보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로, 무단 도용 및 배포를 금합니다.
'즐거운 세상 > 【 세상이야기 】' 카테고리의 다른 글
| 네오마리카 (6) | 2009.07.16 |
|---|---|
| 자동차를 아파트 지하주차장에 세워두고 (6) | 2009.07.12 |
| 카페(모임) 회원관리 파일 (무료 다운로드) (496) | 2009.02.14 |
| 수도쿠퍼즐 문제출제 및 풀기 엑셀 프로그램 다운로드 (486) | 2009.01.12 |
| 로또복권 645 (472) | 2007.04.25 |
