날로 지능화하는 피싱 기술… 내 정보 보호하려면 사이트 보안 꼭 확인

지난 1997년 2월 가짜 사이트를 만들어 개인 정보를 빼낸 첫 피싱 사건이 발생한 뒤로 피싱 기술도 복잡해지고 있다. 아울러 개인 정보를 빼내거나 해당 계좌를 탈취하는 수준에 그쳤던 피싱 공격의 영향도 커지는 추세다. 최근 피싱은 대개 4가지 방식으로 이뤄지고 있다. 우선 가장 고전적인 수법은 가짜로 만든 사이트의 URL(주소)을 직접 표시하는 것이다. 일부의 경우 합법적 도메인과 유사한 도메인 이름을 사용하기도 한다. 팝업 창이 사용되기도 한다. 이 가짜 팝업 창은 대부분 합법적 웹사이트와 같고 다른 창에 앞서 바로 열린다. 사용자로 하여금 팝업 창이 공식 페이지와 직접 연관 있다는 생각이 들도록 유도한다. 합법적이고 믿을 수 있는 사이트를 그대로 복제하기도 한다. 가장 고난이도의 기술이다. 위조 웹사이트는 실제 사이트와 세부적인 사항까지 완전히 일치한다. 피싱 e메일 역시 자주 이용되는 방식이다. 피싱으로 도난 당한 은행 계정 정보는 다양하게 이용될 수 있다. 피셔(피싱 사기를 행한 자)는 피해자의 계정에 합법적으로 액세스한 후 계정 암호를 변경,계정의 실사용자를 차단한다. 그 후 사용 가능한 자금을 임시 계정으로 이체하고 피해자가 이 사실을 알기 전에 인출한다. 가짜 수표가 발행되기도 한다. 수집한 신용카드 증명서를 사용해 인증되지 않은 온라인 구독이나 구매도 가능하다. 피해자는 엄청난 금액의 청구서를 보거나 신용카드가 한도를 초과했음을 통보받고서야 이 사실을 알게 된다. 카드 번호,ATM 계정 정보를 사용해 복제 ATM카드를 만들 수도 있다. 피싱의 성공 여부는 실제로 e메일을 받는 사람에게 달려 있다. 피싱 e메일을 받은 사람이 어떻게 대처하느냐에 대부분 좌우되기 때문에 어떤 보안 제품이나 서비스도 사용자들을 보호할 수 없다. 한국트렌드마이크로는 피싱의 위협으로부터 사용자들의 개인 정보를 보호하기 위해 다음의 조치들을 당부하고 있다. 우선 계정 인증 정보를 요청하는 e메일 메시지를 받으면 신중하게 대처해야 한다. 피싱 e메일은 사용자들의 즉각적인 응답을 유도하기 위해 수신자를 당황 또는 흥분하게 만들도록 설계됐음을 상기할 필요가 있다. 신용카드 번호와 같은 중요한 정보를 제출하는 경우 방문한 웹사이트의 보안을 확인한다. http://가 아닌 https://로 시작하는 웹 주소는 보안이 유지되는 사이트다. 또 다른 확인 방법은 화면 하단의 자물쇠 아이콘이다. 이 자물쇠 아이콘을 클릭하면 보안 인증이 표시된다. 피싱이 의심되는 e메일의 내부 링크를 클릭하지 않고 그 대신 브라우저의 주소 표시줄에 합법적인 회사 URL을 직접 입력해 그 회사의 사이트로 직접 이동하고 그곳에서 로그인한다. 또 회사에 직접 전화로 문의할 수 있다. 이전에 목표가 되었던 회사들은 피싱 관련 발생에 관련한 문의 정보를 표시하고 있다. 의심스러운 e메일 메시지의 첨부 파일은 개인 정보를 훔칠 수 있는 악성 프로그램을 실행시킬 수 있기 때문에 열지 않도록 한다. 임원기 기자 wonkis@hankyung.com 도움말=한국트렌드마이크로