국민은행과 농협의 인터넷뱅킹 홈페이지 주소를 변경해 가짜 홈페이지에 접속한 고객의 개인정보를 빼가는 신종 해킹 사고가 발생했다.

한국정보보호진흥원은 해커가 대만에 서버를 두고 국민은행과 농협 인터넷뱅킹 고객의 공인인증서 5000여개를 탈취해간 사고가 최근 발생했다고 21일 발표했다.

이번 사고는 인터넷뱅킹 고객을 가짜 홈페이지에 접속하게 해 개인정보를 빼갔다는 점에선 피싱의 일종이다.


그러나 이메일을 통해 가짜 홈페이지로 유도하는 일반 피싱과 달리 사용자 PC에 트로이목마를 심어 인터넷뱅킹 IP주소를 변경,주소창에 주소를 정확히 입력해도 가짜 사이트가 뜨게 하는 파밍 수법까지 동원됐다.

해커는 파일 공유(P2P) 사이트,음란 사이트 등에 악성코드를 심어 사이트 접속자의 PC에 트로이목마를 설치했다.

이 트로이목마를 통해 PC에 저장된 인터넷뱅킹 IP주소를 변경했다.

그 결과 이 PC로 국민은행이나 농협 인터넷뱅킹 홈페이지 주소를 정확히 입력해도 가짜 홈페이지가 뜨게 했다.

인터넷뱅킹 이용자가 이 사실을 모르고 가짜 홈페이지에 접속해 아이디,패스워드,계좌번호 등을 입력하는 순간 탈취해갔다.

사고는 한 회사원이 인터넷뱅킹 홈페이지가 평소와 다른 점을 수상히 여겨 정보통신부 산하 한국정보보호진흥원 인터넷침해사고대응지원센터에 신고하면서 밝혀졌다.

단계별로 고객정보를 요구하는 평소 화면과 달리 인터넷뱅킹 계좌번호,공인인증서 비밀번호,보안카드 번호 등을 한꺼번에 입력하라고 요구하는 화면이 떴던 것.

가짜 홈페이지에 개인정보를 입력한 인터넷뱅킹 고객은 30여명으로 파악됐다.

성재모 금융보안연구원 팀장은 "가짜 홈페이지를 차단하고 유출된 공인인증서를 모두 폐기하는 등 신속히 대응했다"며 "자칫 큰 사고로 이어질 뻔했다"고 말했다.

이해성 기자 ihs@hankyung.com

[ 용어풀이 ]

○파밍(Pharming)=해커가 인터넷뱅킹 등의 사이트 주소를 관할하는 도메인서버를 직접 공격해 IP주소를 변경함으로써 주소창에 정확한 주소를 입력해도 해커가 만들어 놓은 가짜 사이트가 뜨게 하는 신종 인터넷 사기수법.이번 사고에서는 국민은행과 농협의 서버를 직접 공격하지 않고 트로이목마를 인터넷뱅킹 이용자 PC에 심어 IP주소를 바꾸는 간접적인 방법이 사용됐다.