최근들어 언론에 보도 되기 시작했기 때문에 피싱에 관해 모르는 사람들이 거의 대부분이라고 보면 된다.

여러분은 이 글을 읽고 이해하는 순간부터 피싱으로인한 위험권 밖으로 벗어나게 되는 것이다. 또한 이 글을 읽고 모든 것이 이해가 가신다고 생각될 때 여러분들의 가족이나 친지, 친구 등 주변 사람들에게 알리시기를 권장한다.

커피 한잔 얻어 먹을 수도 있고, 알려주는 댓가로 술 한잔 정도는 사달라고 얼마든지 요구할 수 있는 정도는 될 것이다. 물론 그냥 알려 주셔도 누가 뭐라고 할 사람 한 사람도 없으니 너무 걱정하지 마시고 여러분의 지식을 주위에 전파시키는 "보안 전도사(Security preacher)"의 마인드를 항상 가지시기 바란다.

자..그럼 지금부터 피싱이란 해킹기법이 무엇인지 상세히 알아 보도록 하자. 쉽고 재밌게 설명이 되니 긴장하지 마시고 부담없이 읽어 내려 가시기 바란다.

피싱(Phishing)의 정확한 의미는 "고객의 개인정보 같은 것을 훔친다" 라는 뜻을 가지고 있으며 피싱(Phishing)의 어원은 고객의 개인정보(Private information)를 낚시질(Fishing)하는 의미에서 출발했으며 여기서 낚시질이란 결국 고객의 정보를 훔친다는 뜻이 된다.

다시 한번 쉽게 설명하자면

Phishing = Private information + Fishing

와 같은 공식이 성립하는 것이다.

이제 피싱이 무엇을 의미하는지 모르시는 분은 안 계실 것이다.

즉, 피싱은 개인정보를 몰래 빼내가는 금융사기의 한 방법이며 이러한 기법을 스캠(Scam) 이라고 부르기도 한다.

피싱(Phishing)이란 단어는 이미 10여 년 전에 탄생한 단어로써 당시 1990년대 미국의 대형 ISP인 American Online(AOL)의 가입자중에서 10대 가입자들이 주동이 되어 벌였던 가짜 이메일 사건에서 유래 되었다.

그 당시 10대 청소년 가입자들 중에서 해킹쪽으로 관심이 많았던 일부 청소년들이 AOL 고객담당 파트에서 보내는 것처럼 속여 자신들의 이메일을 발송하였던 것이다.

메일을 받은 다른 무고한 가입자들은 자신들이 받은 이메일이 진짜 AOL 고객담당 파트에서 온 것으로 믿고 메일 내용에서 보내달라는 카드정보나 비밀번호 등을 아무런 의심없이 보내 주었던 것이다.

그러나 이 무고한 가입자들이 보낸 회신은 AOL 고객담당 파트로 간 것이 아니라 해커들의 손아귀로 들어간 것이다.

결과적으로 이 10대 청소년들은 손쉽게 수 만명의 AOL 고객들의 아이디와 비밀번호를 대량으로 빼내는데 성공했던 것이다.

이때부터 이러한 이메일을 통한 사기기법을 피싱이라고 부르기 시작한 것이다.

구체적인 예를 들어 보도록 하자.

이번 예에서는 위에서 설명한 가짜 이메일을 사용하는 것이 아니라 좀 더 한 수 위의 기법을 예로 들어 보도록 하겠다.

만약에 유명한 대형사이트인 야후나 이베이, 시티뱅크, 다음넷 등에서 관리자의 이름으로 이메일을 보낸 것 처럼 위장한다면 메일을 받은 선의의 무고한 사용자들은 당연히 클릭을 하게 될 것이다.

이 무고한 사용자들이 이들 이메일을 클릭하게 되면 사용자 로그인 창이 뜨게 된다.

그러나 그 링크의 실제 URL은 해커들이 만들어 놓은 함정 사이트로 연결되어 있는 상태이며 결과적으로 이때부터 모든 입력 사항들이 해커들의 수중으로 들어가게 되는 것이다.

이것이 바로 피싱(Phishing) 공격의 원리인 것이다.

이 공격기법은 국내 유수의 포탈사이트를 대상으로 광범위하게 이루어 지고 있고 이메일 주소 수집업자들이나 스팸업자, 이메일 주소 판매업자 등에 의해 주로 사용 되어지고 있으며 그 피해 또한 증가하고 있는 추세이다.

스팸메일을 감시하는 단체인 Brightmail의 통계에 따르면 지난 2월중에 확인된 피싱(Phishing) 이메일은 총 23억건에 달하며 전체 이메일의 4%를 차지하고 있다고 밝혔다.

이번 조사결과에서 나온 4%라는 수치는 작년 9월의 1%에 비해 무려 4배나 증가한 수치이며 이는 피싱(Phishing) 공격 위험성의 급증을 의미하며 그만큼 많은 사용자들이 이러한 피싱(Phishing) 공격에 쉽게 속아넘어 간다는 뜻을 의미하기도 한다.

또한 미국의 경우는 FBI나 NSA까지도 동원될 정도로 피싱(Phishing) 공격에 대한 심각성을 피부로 느끼고 있다고 한다.

피싱(Phishing) 공격에 대응하여 민관이 합동으로 구성한 대책기구가 있는데 이것이 바로 "Anti-Phishing Working Group"으로써 지난 2월에만도 282건의 피싱 이메일 신고를 접수했으며 작년 12월에는 116건, 1월에는 176건으로 집계되었다.

피싱(Phishing) 공격을 주로하는 그룹을 일컬어 Phisher라고 부르는데 이 Phisher의 계층은 다양하며 동유럽, 러시아, 아시아 뿐만 아니라 미국, 남미 등에 걸쳐 광범위하게 분포되어 있다.

작년 초만 해도 Phisher들은 10대 청소년층이 가장 많았고 사기기법이나 피해액이 그다지 대단하지 않았으나 최근들어서는 Phisher도 프로와 아마추어로 나뉘어질 정도로 고도로 발전되고 있으며 계층 또한 다양하게 전문적으로 특화되고 있는 실정이다.

이 피싱(Phishing) 기법중에서 실제적인 예를 하나 들어 보도록 하자.

Phisher들이 가장 즐겨 사용하는 문구들이 있다.

피싱(Phishing) 기법에서는 일반 선의의 사용자들이 이메일로 받게 되면 그 유혹에 빠져들지 않을 수 없도록 교묘하게 사람의 심리를 자극하는 문구들을 사용 하는게 특징이다.

그중에서 Phisher들이 가장 많이 사용하는 것이 바로 다음과 같은 경고성 문구들이다.

* "당신의 회원 자격이 상실됩니다"
* "당신은 아동포르노 건으로 기소된다"
* "당신이 다운로드 받은 것은 아동포르노로써 고발대상 입니다"
* "당신의 아이디와 비밀번호는 삭제처리 됩니다"
* "휴대폰 공짜로 드립니다"
* "명품을 공짜로 드립니다"
* "2만원을 무료로 드립니다"
* "이벤트에 당첨되었습니다"
* "사은품을 무료로 드립니다"
* "설문조사 참여하시고 예쁜 사은품도 받아가세요"
* "명품스타일 썬그라스가 무조건 공짜 랍니다"


이러한 문구들을 다양하게 그때그때 상황에 맞추어 개발하여 사용함으로 사용자들이 아이디와 비밀번호를 아무런 의심 없이 보내도록 유도한다.

Phisher들이 이렇게 획득한 고객들의 개인정보와 아이디, 비밀번호들은 사용대금이 통보되는 4주동안 철저하게 요리되고 판매되고 악용되는 것이다.

현재 FBI와 보안업체들에 의해 적발되는 Phisher들은 대부분 아마추어들이라고 한다.

진짜 프로 Phisher들은 자체 제작한 웜바이러스를 이용하여 추적을 따돌리며 이들이 만든 가짜 사이트들은 전문가들도 구분할 수 없을 정도로 진짜 사이트와 똑같이 정교하게 만든다.

더우기 가짜 경고 메세지를 받은 선의의 사용자들의 심리는 불안하고 흥분된 상태이기 때문에 yahoo-billing.com과 billing.yahoo.com 중에서 어느 것이 진짜 야후 지불 시스템인지 분간해 내지 못하는 것을 노리는 것이다.

이제 Phishing에 대한 심각성은 사용자들의 피해에서 그치는 것이 아니라 기업의 이미지와 기업의 수익에도 직접적인 영향을 미치고 있기 때문에 Phishing 공격에 대한 대응책을 구축하는 기업들이 늘어나기 시작했다.

마이크로소프트사도 Phishing에 대한 심각성을 인식하고 대응시스템 구축에 들어갔다.

마이크로소프트사는 올 여름에 출시예정인 웹브라우저에 Phishing을 방지하는 차원의 기술을 적용시킬 계획이라고 한다.

eBay 나 Earthling는 한술 더 떠서 사용자들이 가짜 사이트를 발견하면 이것을 인터넷 익스플로러에 올려 다른 이용자에게도 경고 발령을 하는 시스템을 도입했다.

이 피싱 공격은 뉴욕타임즈지 1개 지면을 전부 할애해서 보도할 정도로 심각해지고 있으며 여기에 대한 여러 대응책이 강구되고 있지만 가장 현명하고 확실한 대응책은 "호랑이에게 물려가도 정신만 차리면 된다" 라는 속담을 그대로 따르고 실천하는 것이다.

피싱으로 보이는 이메일이 오거나 이미 공격을 당한 경우 침착하게 관련회사에 일단 전화로 통보하여 확인조치를 거치고 아이디와 비밀번호 및 대금지급 정지 등의 후속조치를 취하는 것이 가장 안전한 대책이라고 할 수 있다.

가장 중요한 방어책은 어떤 이메일이 오더라고 아이디와 비밀번호를 입력하거나 보내주는 일은 절대 해서는 안되는 것이다.
　

그리고 일단 피싱 공격에 자신의 개인정보가 노출 되었다고 느끼면 즉시 아이디와 비밀번호를 바꾼 후 해당 기관이나 ISP에 통보를 하고 홈뱅킹이나 증권(HTS)의 모든 입력 사항들을 즉시 변경해야 한다.

Spoofing을 번역하자면 '놀려먹다. 조롱하다, 속이다"라는 뜻을 가지고 있다. 이들 단어중 가장 스푸핑의 의미에 가까운 것은 '속이다'가 될 것이다.

"아이피 스푸핑"이란 TCP/IP의 결함을 교묘히 이용하여 TCP 시퀀스번호, 소스 라우팅, 소스 주소를 조작한 후 자신을 누구든지 믿을(신뢰할) 수 있는 호스트로 위장하는 것을 말하며

"브랜드 스푸핑"은 이메일이나 기타 링크들의  Origin인 원래 소유자의 이메일 주소나 링크를 자기(악의적인 공격자) 것으로 대체한 뒤 자신이 이메일 소유자 즉 Orign인 것처럼 사칭하는 기법을 말한다.

■ 관리자를 사칭한 전화나 이메일이 온다.

■ 이메일에 본인이 자주 사용하는 사이트의 링크가 들어있다.

■ 아이디나 비밀번호 등 개인정보의 입력을 다시 요구한다.

■ 이메일에 경품의 당첨이나 명품을 무료로 준다는 내용이나 링크가 들어있다.

   프로그램 다운로드

■ 프로그램 이해하기

1. 자동 알림 시스템

① 브라우저상에 현재의 상태에 대해서 자동으로 경고를 해준다.

2. 자동 알림 메세지 분석하기

① SpoofStick 브라우저에 확장기능을 제공하는 것으로써 최근 들어 유명한 사이트로 위장한 가짜 사이트들 때문에 선의의 사용자들이 피해를 입는 것을 방어해준다.

악의적인 공격자들은 이메일이나 기타 링크를 통해 선의의 사용자들을 이러한 사이트로 유도한 뒤 접속한 사용자들의 중요한 정보를 빼낸다.

이러한 기법을 피싱이라고도 부르는데 이것을 방어해 주는 툴이다.


예를 한번 들어 보도록 하자.
　

정상적인 경우 :

다음의 URL은 정상적인 URL이다.


http://signin.ebay.com/aw-cgi/eBayISAPI.dll?
SignIn&UsingSSL=0&pUserId=&ru=http%3A%2F%
2Fcontact.ebay.com%2Fws1%2FeBayISAPI.dll%
3FShowCoreAskSellerQuestion%26requested%
3Ddominicsmusic%26de%3Doff%26iid%
3D3711129021%26frm%3D284%26acceptcookie%
3D0%26loginconfirmed%3D0%26redirect%3D0%
26pass%3D%7B_pass_%7D%26userid%3D&pp=p
ass&co_partnerid=2&pageType=711"

Spoofstick는 "You're on ebay.com"이라고 알려준다.

비정상적인 경우 :

만약에 다음과 같은 가짜 페이지로 접속을 해보자.

http://signin.ebay.com@10.19.32.4/

Spoofstick는 "You're on 10.19.32.4"라고 알려주게 된다.