인터넷은 생활에 없어서는 안될 필수 요소가 되었다인터넷 편리함 뒤에는 역기능도 점점 증가하고 있지만 아직도 사용자들 보안수준은 낮기만 하다최근 금융감독원에서 발표한 보도자료에 따르면 ‘14년도 상반기중 피싱사기금액은 886억 원(1만 3천건)으로 전년 동기대비 87.7%(건수 34%)가 증가하였다.

 

또한최근 사기수법이 더욱 지능화 되어 피해가 확대되는 가운데 기술범죄에 대한 예방 대책이 강화 되면서 전통방식으로 회귀하고 있다고 발표하였다.

 

피해사례가 증가한다는 것은 아직도 피싱,파밍,스미싱등 각종 금융사기 기법이 진화 발전하고 있는데 일반 국민은 인지하지 못하고 있다는 반증이기도 하다따라서 이번 호에서는 금융사기에 대표적인 피싱,파밍스미싱에 대하여 알아보고 대응 방안도 살펴보도록 하자.

 

1. 피싱(Phishing)

 

피싱이란 개인정보(Private data)와 낚는다(Fishing)’의 합성어로전화·문자·메신저·가짜사이트 등 전기통신수단을 이용하여 피해자를 기망·공갈함으로써 이용자의 개인정보나 금융정보를 빼낸 후금품을 갈취하는 사기 수법을 말한다.

 

피싱 사기는 전화(보이스피싱뿐만 아니라 문자메신저인터넷 사이트 등 다양한 전기통신수단을 통해 이루어지고 있다.

 

피싱 사기를 당한 피해자는 피해구제절차를 통하여 은행 등에 지급정지를 요청하고 피해금을 환급받을 수 있다.

 

피싱에도 여러 가지 기법이 있다.  


구분

내용 

 보이스피싱

유선전화 발신번호를 수사기관 등으로 조작하여 해당기관을 사칭하면서 

자금을 편취하거나 자녀납치, 사고빙자 등 이용자 환경의 약점을 노려 

자금을 편위하는 수법 

 문자피싱

스마트폰 환경에서 신뢰도가 높은 공공기관 및 금융회사의 전화번호를 

도용하면서 정상 홈페이지와 유사한 URL로 접속토록 유도하여 개인정보나 

금융정보를 편위하는 수법 

 메신저피싱

SNS, 모바일(또는 PC) 기반 메신저 등 신규인터넷 서비스의 친구추가 

기능을 악용하여 친구나 지인의 계정으로 접속한 후 금전 차용 등을 

요구 하는 수법 

 피싱사이트

불특정 다수에게 문자, 이메일 등을 보내 정상 홈페이지와 유사한 

가짜 홈페이지로 접속을 유도하여 개인정보 및 금융정보를 편취하는 수법 

▲ 출처 방송통신위원회전기통신망에서의 이용자 피해 예방을 위한 전자금융사기(피싱방지 대책, 2012.10. 22면 참조

 

일반적으로 피싱이라고 하면 제 마지막에 언급한 피싱사이트를 말한다고 보면 된다이메링을 보낼때 가짜 홈페이지 링크 URL을 함께 첨부하여 가짜 홈페이지로 접속 하게 유도하는 금융사기 기법을 말한다.


▲ 정상사이트 (), 가짜 사이트 ()

 

좌측 홈페이지와 우측 홈페이지 구분되는 것을 혹시 알수 있는가우측에 빨간색으로 표시한 부분이 정상사이트와 틀린 점이다무엇보다 피해를 당하지 않는 것이 가장 안전한 방법이지만 피해시에는 아래 절차를 통하여 구제 받을 수 있다.


지급정지 및 피해금 환급 신청


피싱사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제 3조에 따라,


1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후

2. 해당 은행에 경찰이 발급한 사건사고 사실확인원을 제출하여 피해금 환급 신청을 하면된다.


※ 지금정지피해신고

경찰청 국번없이 112 / 해양경찰청 112

금융회사 콜센터


※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 1332


2. 파밍 (Pharming)

 

파밍(Pharming)은 피싱(Phishing)과 조작(Farming)의 합성어로악성프로그램에 감염된 PC를 조작하여 정상 사이트에 접속하더라도 가짜 사이트로 접속을 유도하여 금융거래정보를 빼낸 후 금전적인 피해를 입히는 사기 수법을 말한다.

 

                                    ▲ 파밍 사기기법 구성도              출처: 경찰청

 

위 그림을 보면 조금 어렵게 보일수 있는데 쉽게 설명하면 다음과 같다예를들어 자신이 ABC.com 사이트에 접속하고자 하는데 악성코드에 감염이 되었다면 브라우저에 ABC.com 이라고 정상적으로 입력했지만 ABC.com 사이트와 동일한 가짜 사이트 abc.com 사이트로 접속하게 끔 하는 금융사기 기법을 말한다이렇게하여 개인정보등 각종 정보를 탈취하는 것이다.

 

파밍(Pharming)의 유형

 

파밍에도 여러 가지 유형이 있다대표적인 유형을 살펴 보기로 하자.


 파밍유형

사기 수법 사례 

 가짜 은행사이트

악성프로그램에 감염된 피해자PC가 가짜 은행사이트로 접속, 

보안승급이 필요하다고 하면서 보아카드번호 전체 입력 유도 

 팝업창

악성프로그램에 감염된 피해자PC가 가짜 은행사이트로 접속, 

'OTP 무료 이벤트'팝업창이 뜨면서 계좌번호 및 보안카드번호 입력 요구 

 가짜 쇼핑몰 결제창

인터넷 쇼핑몰에서 옷을 구매하면서 실시간 계좌이체 선택, 결제를 위해 

'인터넷뱅킹;을 누르는 순간 악성프로그램에 감염된 피해자 PC가 

피싱사이트로 유도, 보안카드번호 전체 및 계좌비밀번호 등 입력 

 이메일 첨부파일

신용카드 회사 명의로 된 이메일 명세서를 받고 첨부파일을 열람, 

악성프로그램에 감염됨에 따라 주민번호와 보안카드번호 전부 입력 

 가짜 대법원 사이트

악성프로그램에 감염된 피해자PC가 가짜 대법원사이트로 접속, 

ⅰ) 계좌번호·보안카드번호 입력 요구, ⅱ) 납부화면에서 대법원이 

사용하지 않는 방식인 계좌이체방식 사용, 또는 ⅱ) 가상계좌 이용 시 

대법원이 지정하지 않는 예금주의 가상계좌로 납부 요구 

→ 정상적인 대법원 가상계좌 예금주

▲ 출처 경찰청 보도자료, “‘파밍(Pharming)’등 신종금융사기 주의!”, 2013. 6. 참조

 

                 ▲ 파밍에 의해 유도된 피싱사이트       출처: 경찰청

 

정상적인 주소를 입력하였지만 가짜 사이트로 접속하여 금융거래정보 입력화면이 나타나는 전형적인 형태를 말한다과도한 개인정보를 요구시에는 직접 은행에 문의해 보는 것이 좋다.

 

지급정지 및 피해금 환급 신청


파밍 사기로 인해 금전적인 피해가 발생한 피해자는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 제3조에 따라,


1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후 

2. 해당 은행에 경찰이 발급한 '사건사고 사실확인원'을 제출하여 피해금 환급 신청을 한다.


※ 지급정지 피해신고


경찰청 국번없이 112 / 해양경찰청 112

금융회사 콜센터


※ 피해상담 및 환급금 환급안내

금융감독원 국번없이 1332


3. 스미싱(Smishing)

 

문자메시지(SMS)와 피싱(Phishing)의 합성어로,‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일청첩장’ 등을 내용으로 하는 문자메시지에 포함된 인터넷 주소를 클릭하면 악성프로그램이 스마트폰에 설치되어 피해자가 모르는 사이에 소액결제가 이루어지는 금융사기기법을 말한다최근에는 피해자 스마트폰에 저장된 주소록 연락처사진(주민등록증·보안카드 사본), 공인인증서개인정보 등까지 탈취하여 더 큰 금융범죄로 이어지고 있다.

 

▲ 최근 필자가 받은 스미싱 관련 문자

 

스미싱(Smishing) 주요 피해사례

 

1) 대출금리비교 앱(App)을 사칭하여 돈을 송금하도록 한 사례

 

피해자는 캐피탈을 사칭한 자로부터 스마트폰에 특정 앱(App)을 설치하면 본인의 신원 확인 및 대출이 가능하다는 내용의 전화를 받은 뒤 해당 프로그램을 설치하였고앱을 실행하자 여러 금융기관의 전화번호 목록이 확인되었으며피해자가 대출을 이용 중인 대부업체에 상환방법을 문의하고자 전화통화를 시도(앱상 통화연결기능)하였으나피해자가 설치한 앱은 통화연결시 자동으로 특정번호(사기범)에게 전화가 연결되었고 사기범이 알려준 상환계좌로 돈을 송금하여 피해를 입은 사례(미래창조과학부 등 보도자료, “·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

 

2) 돌잔치 초대문자를 사칭하여 휴대폰에 입력된 개인정보를 유출한 사례

 

동료로부터 돌잔치에 초대한다는 내용이 담긴 문자메세지 한통을 받고 문자메세지에 링크된 주소를 무심코 눌렀는데본인도 모르게 전화번호부에 등록된 지인 전체에 돌잔치 초대문자가 발송된 사례(미래창조과학부 등 보도자료, “·변종 전자금융사기 합동 경보 발령 !”, 2013. 8. 29. 참조).

 

3) 모바일 메신저 계정을 도용해 지인들에게 돈을 송금해달라고 속여 금품을 가로챈 사례

 

동생으로부터 모바일 메신저를 통해 친구가 급하게 80만원을 보내달라고 한다송금해주면 내일 바로 입금하겠다는 메시지를 받고 동생에게 전화를 걸었으나이미 해당 스마트폰에는 악성프로그램이 설치되어 전화 수신이 차단된 상태였고 동생과 통화가 되지 않아 걱정이 됐던 피해자는 돈을 송금하여 사기피해를 입은 사례

 

휴대폰 소액결제 피해 구제 방법

 

※ 스미싱으로 의심되는 문자를 받았다면?

 

경찰청 사이버테러대응센터(www.ctrc.go.kr / 182)로 신고하고해당 이동통신사의 고객센터(114)에 소액결제서비스 차단을 신청하여 본인도 모르게 소액결제가 되지 않도록 해야 합니다.

※ 소액결제 피해가 발생했다면?

 

1. 피해사실 신고하기


 경찰서에서 발급받은 사건사고 사실확인원을 이동통신사게임사결제대행사 등 관련 사업자에게 제출하고 피해사실을 신고해야 한다.

 

2. 피해금 환불받기


 해당 결제대행사의 고객센터미래창조과학부 CS센터(www.epeople.go.kr / 1335) 또는 휴대전화/ARS결제 중재센터(www.spayment.org / 1644-2367) 등에 결제취소·환불 등을 적극적으로 요구해야 한다.

 

3. 악성파일 삭제하기


 스마트폰 내 다운로드’ 앱을 실행하여

① 문자를 클릭한 시점 이후에 확장자명이 ‘apk’인 파일 저장여부를 확인하고,

② 해당 ‘apk’파일을 삭제합니다.

 

4.악성파일이 삭제되지 않는 경우에는

① 휴대전화 서비스센터에 방문하거나 ② 스마트폰을 초기화해야 한다..

<출처 사이버경찰청정보마당경찰자료실신종금융범죄스미싱 참조>

 

무엇보다 스마트폰 사용자가 증가하고 있어 대응책 마련이 필요하다이에 금융감독원에서 소비자 유의사항을 발표 하였다살펴보면 아래와 같다.

 

□ 명절을 전후하여 대출사기나 할인 이벤트 또는 택배 등을 사칭한 보이스피싱이 기승을 부릴 것으로 예상되므로 각별한 주의가 요망됨

 

개인정보유출, 택배 확인범죄사건 연루 등의 명목으로 비밀번호 등 금융거래정보를 묻는 경우 절대 응하지 말 것


보안강화 등을 명목으로 인터넷 또는 스마트폰 화면상 보안카드 정보 일체의 입력을 요구 하는 경우 피싱사이트이니 유의할 것

 

대출이 가능하다면서 대출받기 전에 먼저 수수료 등의 명목으로 금전을 요구하는 경우 100% 대출사기이니 절대 응하지 말 것


통장이나 금카드를 다른 사람에게 양도하는 것은 범죄행위이며 형사처벌 또는 민사상 손해배상책임을 질 수 있음

 

금감원 보도자료를(2014.09.05, “보이스피싱 피해 다시 증가”) 보면서 안타까움을 금할길이 없다얼마전 TV에서 금융사기를 당한 한 아주머니가 평생 모아온 돈 5000만원 이상을 하루 아침에 빼앗기고 스스로 자책하는 모습을 보면서 혹시나 필자 주위의 이웃들에게 같은 상황이 일어나지 않을까 우려한 적이 있었다.

 

믿고 사는 건정하고 건강한 사회가 되어야 하는데개인정보 유출등으로 이제는 누구도 믿을수 없는 믿지 못하는 사회가 되어서는 안된다내 정보는 내가 지켜야 하고 금융사기로부터 안전하려면 소비자가 더욱 똑똑해지고 보안에 관심을 기울일 수밖에 없다이 글을 읽는 여러분들은 모두 금융사기로부터 안전한 대처를 하길 바란다.


* 본포스팅은 부산시 블로그 "쿨부산"에 기고한 내용임을 알려드립니다.


경성대학교 컴공과 외래교수

11.12.13.14년 안전행정부지정 개인정보보호 전문강사

ISMS/PIMS/PIPL 인증심사원

 




Posted by 엔시스


오늘 피싱사이트 신고가 들어 왔다. 아직도 이러한 피싱 사이트에 속는 사람이 있을런지 모르겠지만 아무튼 외국 은행을 가장한 가짜 사이트를 만들어서 유도를 하고 있는 것이다.




사실 가짜 사이트 치고는 너무 허술하게  보이지만 분명히 속아 넘어 가는 사람들이 있을수 있기에 관리자에게 재빠르게 제거 할 것을 요청을 하였다.

실제 로그온 하는 '텍스트박스' 에서 넘어가는 곳에서만 가짜사이트로 값을 넘겨 주고 나머지 링크는 실제 진짜 사이트로 넘어가게끔 만들어 놓았다.

그런데 몇번만 클릭을 해 보면 알수 있는 것이지만 자신의 소중한 로그인 정보를 넣고 그 값을 고스란히 피싱사이트를 만든사람에게 넘겨 준다면 사이트의 허술함과는 상관 없이 아주 위험한 일이다.

다시한번 '피싱'사이트에 대한 경각심을 갖어야 하겠다. 혹시 웹사이트를 방문하였을때 조금 이상하다고 느껴지는 경우가 있으면 관련 기관에 신고를 해보거나 보안전문가에게 의뢰를 하여 한번 조언을 받아 보는것도 좋겠다.  소중한 자신의 정보는 자신이 지키자.. @엔시스.


 
Posted by 엔시스


지난 4월14일 시만텍에서는 "인터넷 위협보고서"라는 보고서를 발표 하였습니다. 언제 한번 정리 해 봐야지 하고 생각하던차에 업무때문에 바빠서 못 보고 있다가   그만님의 블로그에 갔다가 다시 생각이 잠시 소개만 해드립니다. 이는 2009년 4월에 배포하는 보고서로서 2008년1월부터 12월까지 분석한 따근따근한 보고서 자료입니다. 특히 보안업체로서 글로벌한 보안에 대표적인 회사라서 그 보고서의 의미는 남 다르다 생각하겠습니다.



우선 간략하게 시만텍 "인터넷 보안 위협보고서 제 14호"에 어떤 내용이 있는지를 알아 보시려면 "여기"를 먼저 읽어 보시면 도움이 되겠습니다.

우선 결론적으로 이야기 한다면 2008년 1월부터 12월까지 한해에 대한 보고서로서 "2007년에 비해 웹어플리케이션 취약점의 증가와 피싱싸이트 수 증가 및 각종 커스터 마이징 된 툴을 개발 ,배포함으로 인하여 이익을 취하고 있어 더 위협은 증가하고 있다" 정도로 요약이 될수 있겠습니다.


이 보고서는 다음과 같은 목차로 구성이 되어 있습니다.

  1. 소개
  2. 요약
  3. 핵심사항
  4. 위협 동향
  5. 취약점 동향
  6. 악성코드 동향
  7. 피싱,지하경제,스팸동향

정도로 구성이 되어 있구요...그외 부록에는 시만텍이 제시하는 각 위협에 대한 방법론을 제시하고 있습니다.





아래와 같이 링크로 연결이 되어 있으니 시간이 있으신 분들은 한번씩 읽어 보시기를 권해 드립니다. 원본을 보기에 시간이 걸릴것 같은 경우에는 요약본도 제공을 하고 있네요..

역시 글로벌 회사다운 서비스를 제공하고 있습니다.  이렇게 서비스 해 주는 것에 대해서는 국내에서도 좀 본 받아야 할 점이 아닌가 하는 생각을 해 봅니다.

특히 공공기관에선 각종 레포트 보고서 배포시에 일반인들에게 제공하는 서비스로 어려운 통계와 문구 보다는 직관적이고 쉽게 볼수 있는 보고서를 제공한다면 훨씬 더 그 효과가 배가 될 것입니다.


사실 보고서라고 한다면 딱딱한 문구와 여러가지 수치, 통계 때문에 관심 있거나 전문적으로 보려는 사람 외에는 잘 안 보게 되거든요...하지만 무엇보다 어떤 사실에 주장을 신빙성 있게 보여주는데에는 수치와 수량 , 데이타 밖에 없기에 어쩔수가 없습니다..시간이 날때 한번 저도 "시만텍 위협 보고서"에 대하여 포스팅 한번 해야 겠습니다.

좋은 정보를 소개해준 "그만"님에게 감사합니다...보안에 관심 있는 분들은 한번씩 읽어 보시기 바랍니다..@엔시스






Posted by 엔시스

모일간지 사회면에 따르면 최근 '이력서 피싱'이라고 하여 신종 사기 수법이 등장하였다고 합니다. 이러한 피싱은 가짜 구인광고를 내어 중간에서 이력서를 가로채는 사기 수법입니다..

관련기사: 낚였네 (조선일보 : 2009-02-11자 사회면)

취업 구인공고를 내어 이력서를 접수 한다고 합니다. 그야 말로 이력서는 '개인정보 종합세트'나 마찬가지지요..

그 이력서 중에 있는 개인정보 즉,
주소,전화번호,주민번호,휴대폰번호,,등등.. 을 빼내간다는 것이지요..

정말 갈수록 지능화 되고 머리하나 진짜 잘 쓴다는 생각이 듭니다. 굳이 보이스피싱 하지 않고도 취업싸이트에서 아무거나 구인공고 그대로 빼껴서 공지하면 취업 준비하시는 분들은 여기저기 취업때문에 많이 접수 하기 때문에 주의를 당부 드립니다..

그럼 '이력서 피싱' 대처법에 대하여 살펴 보겠습니다. 보이스 피싱과 비슷한 것이므로 이런한 사기 수법도 있더라라고 인지하시고 대응을 하셔야 겠습니다.


'이력서 피싱 대응법'

1. 각종 구인공고를 보고 이력서를 제출 하기전에 실제 사무실에 전화를 걸어 구인공고를 냈는지 확인한다.

2. 혹시 미리 전화번호만 다르게 해 놓고 가짜 구인공고를 낼수 있으니 그런 경우가 있으면 구인공고가 어디어디에 올라  와 있는 지 확인을 한다.                                      

3. 기사에서 말한것처럼 보통 외국메일이나 개인 포털 메일을 이용하여 이력서를 받는지에 대하여 다시한번 확인 한다.

4. 꼭 이력서 피싱이 아니더라도 이력서를 제출하고 나서 다시 담당자에게 전화를 걸어 이력서 수령 여부를 확인 한다.

5. 무엇보다 중요한 것은 자신이 지원하고자 하는 회사와 이력서 제출처, 그리고 해당 사무실에 전화를 걸어서 확인해 보는 것이   가장 현명한 대처법이다.,


이제는 취업을 준비하는 취업 준비생들에게 '이력서 피싱' 으로  또 다른 마음에 상처를 주지 말길 바랍니다. 혹시나 하는 노파심으로 추가글을 적지만 혹시 이러한 수법을 인지하고 일부 몰지각한 사람들 호기심에 그대로 따라하지 마시길 바랍니다. 호기심에 어쩌다 해 볼수는 있어도 결국 은팔찌차고 경찰서 간다는 사실은 반드시 인지 하시기 바랍니다.

제가 이렇게 포스팅 하는 이유는 취업을 준비하시는 분들에게 취업의 문턱 때문에 이곳저곳 정신없이 이력서를 제출 하다보면 자칫 이러한 확인 절차를 거치지 않고 성급하게 행동할수 있는 경향이 있어 주의를 당부 함임을 명심하시기 바랍니다..그리고 취업준비생분들 꼭 명심하시고 확인 절차를 거치고 이력서를 제출 하시기 바랍니다...@엔시스


@@ 도움이 되셨다면 추천 한방 꾸욱~~~눌러 주고 가세요...



Posted by 엔시스


피싱 관련한 동영상입니다..

초보적인 수준이지만 피싱이 무엇인지 조차도 모르시는 분들에게는 유용하겠습니다..

http://inf.kbstar.com/quics?page=A011658


Posted by 엔시스

이제는 제2 금융권 싸이트에도 피싱과 파밍이 판치고 있습니다.. 인터넷 뱅킹 하시는 분들 각별한 주의를 당부 드립니다.. 보안 의식 부재에서 오는 실수는 순식간이기 때문에  자신이 스스로 조심하시는 수 밖에 없습니다.

아래는 해당 싸이트에 접속하니 공지사항으로 올라와 있네요...

출처: 부산상호저축은행

부산저축은행 웹사이트를 가장한 위장 사이트를 통하여 인증서 암호, 계좌 비밀번호, 이름,주민등록번호, 보안카드 비밀번호 등을 입력하도록 유도하고 있으니 고객님의 각별한 주의 바랍니다.

부산저축은행 위장 사이트



악성코드로 인하여 윈도우즈의 hosts 파일이 변경되어 위장 사이트가 자동 접속되게 합니다.

부산저축은행 웹사이트에서는 어떠한 경우에도 위 화면처럼 하나의 화면에서 ‘보안카드 비밀번호’와 ‘인증서 암호’를 동시에 요구하지 않습니다.또한, 당행 웹사이트의 ‘인증서 암호’ 입력 화면은 팝업 형태의 별도 화면으로 구성되어 있습니다.

위 그림과 같이 하나의 화면에서 인증서비번, 통장비번, 이름, 주민등록번호, 보안카드비번, 인정번호 등을동시에 요구하는 경우 절대로 입력하지 마시고, 발견 즉시 아래의 기관에 신고하시기 바랍니다.


신고처
- 부산저축은행 콜센터 : 051) 462-5161
- 한국정보보호진흥원 : (02)118 또는 (02)1336, E-mail : phishing@certcc.or.kr
- 경찰청 사이버 테러대응센터 : (02)3939-112
- 피싱신고 접수 사이트 : http://www.krcert.or.kr


해당 악성코드 감염여부 확인방법
① 시작 → 실행 → hosts 파일 위치입력 후 확인클릭
※ Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
※ Windows 98일 경우 : C:\windows\hosts
※ Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts







② 연결 프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인클릭


③ 당행 사이트 주소가 있을 경우 악성코드에 감염된 상태입니다.




치료방법
부산저축은행 인터넷뱅킹 초기화면(http://ibanking.bsbank.co.kr) 접속 시 자동 실행되는해킹차단기 ‘nProtect’에 의해 자동 치료됩니다.


Posted by 엔시스

2006년 10월 KISA에서 제공하는 해킹 바이러스 신고 접수 현황을 보면 다음과 같다.

 
사용자 삽입 이미지
                                            <출처: KISA >

  여전히 웜/바이러스가 월등 많으며  10월 한달 유형별 처리 현황을 보더라도  스팸릴레이에  대한 수치가 여전히 높다는 것을 알수 있다.  특히, 스캐닝 같은 단순 침입시도 건수도 많은 걸로 보아  정보보호 부재로 인한 피해를 예감할수 있다.  실제 스팸릴레이 같은 경우 도용을 당하게 되면 시스템에 과부하 형태로 인하여 퍼포먼스가 떨어지게 되며  올바른 서비스에 지장을 주게 된다.

한가 더 주목할 점은 피싱 경유지로 97건이나 접수 되었다는 사실이다.  피싱은 미국에서나
있고 국내에서는 잘 안 일어날 것 같지만 실제로는 많다는 사실을 인지해야 한다.

홈페이지 변조등도 관리가 안되고 있는 싸이트들이 많아 그 캠페인의 일환으로 지금 KISA에서 휴먼홈페이지 정리 사업도 진행 중이다.

앞으로 정보보호에 대한 중요성은 더욱 커지고 해당 정보보호 담당자의 역할도 더욱 커진다는 것을 이러한 통계만 보아도 알수 있을 것이다.


Posted by 엔시스
3군데의 미국 대학이 수년전 피싱 스캠이 처음 등장한 이후로 대중들에게 이것에 대해 충분히 경고했음에도 불구하고 어째서 여전히 활발하게 활동하고 있는지에 대한 연구 결과를 발표했다.

대부분 은행이나 온라인 서비스를 제공하는 업체에서 보낸 것처럼 위장하고 개인정보와 재정 정보 등을 물어보는 이메일을 받아본 적이 있을 것이다. 때때로 은행이나 서비스 업체가 고객을 수신자로 하는 메일을 보내기도 한다. 하지만, 심지어 이런 상황에서도 조심해야 한다는 것을 모르는 사람들이 많다.

"피싱이 왜 효과가 있는가"란 제목의 그들의 논문에서, 하버드 대학의 레취나 대미자와 버클리 캘리포니아 대학의 마티 허스트와 타이가는 작은 사용자 집단을 대상으로 실험을 실시했다. 그들은 단순히 이 이메일이 진짜인지 가짜인지만을 판별하라고 했을 때, 피실험자들 중 90%가 매우 감쪽같은 피싱 이메일을 골라내지 못했다.

피싱으로 인해 금이 간 고객과의 신뢰 속에서 전자상거래와 온라인 뱅킹이 살아남을 수 있는지와 많은 수의 피실험자들이 진짜 이메일을 골라내지 못했던 것은 무관하지 않다. 이런 피싱은 조심성 많은 고객들이 온라인 서비스와 같은 것들을 기피하게 할지도 모른다.

이 연구원들은 BOW(Bank Of the West) 은행의 이메일을 정교하게 흉내내서 이 이메일을 받은 사람들이 피싱 사이트인 'www.bankofthevvest.com(실제 사이트의 W와 달리 V 두개를 사용했다)’로 이동하게 하는 이메일을 만들었다. 이 이메일 콘텐츠에는 보안 표시 자물쇠와 가짜 베리사인 로고, 자격 확인 표시, 그리고 소비자 안전 경고 팝업까지 완비하고 있었다.

정교하게 만들어진 스캠 속임수
모바일 브라우저에 최적화된 간단하고 그래픽이 없는 디자인이 적용되고 정상적인 안전한 사이트로 이동할 수 있게 하는 진짜 E*트레이드 이메일이 제시됐을 때에는 참가자의 77%가 이것을 가짜라고 짐작했다.

소비자들이 이런 피싱 스캠에 빠지는 이유 중 하나는 쉽게 저지르게 되는 실수들 때문이다. 연구에 참가한 사람들 중 거의 25%가 피싱 사이트의 주소창이나 상태창, 혹은 시큐리티 표시를 보지 않았다.

이 때문에 정상적인 사이트의 URL에서 글자 한개만 다르게 하는, 예를 들어 이메일 메시지에서 소문자 l을 숫자 1로 혹은 대문자 I로 바꾸어 그 주소의 HTML에서는 정체를 감추는 방법 등을 이용해 범죄자들은 쉽게 사람들을 속일 수 있다.

논문에서는 또한 이와 유사하게, 사람들이 도메인명의 문법을 이해하지 못한다며 "그들은 ‘www.ebay-members-security.com’이 ‘www.ebay.com’에 속한 것이라고 생각한다"고 쓰고 있다.

다른 시각적인 객체들 역시 사람들을 현혹시킨다. 유저들은 어떤 페이지의 HTML에서 친숙한 자물쇠 아이콘을 보고는 이것이 보안을 보장할 것이라고 생각할지 모른다. 그러나 이러한 아이콘들은 페이지에 쉽게 추가될 수 있는 것들이다.

지난주 런던에서 있었던 이크라임(E-Crime) 대회에서, 국제 경찰의 하이테크 범죄 정보부원인 퍼나드 오투펄은 여전히 많은 소비자들이 이런 종류의 스캠 속임수에 여전히 넘어갈 뿐만 아니라, 심지어 놀랄 만한 정도로 무지해서 범죄자들이 죄를 저지르기 쉽게 만들기까지 한다고 말했다.

오투펄은 "유저들도 어느 정도의 책임을 질 필요가 있다"며, "최근 많은 유저들이 유명한 은행을 사칭한 한 단체의 피싱 공격에 피해를 입었는데, 심지어 그 은행의 고객이 아니었던 사람들까지도 은행 사이트에 접속하기도 했다"고 말했다.

논문 "피싱이 왜 효과가 있는가"는 피싱에 넘어가는 것이 나이와는 상관이 없음을 밝혀냈다고 주장하고 있다. 하지만 시장조사 기관 유고브(YouGov)에서 별개로 실시한 연구에서는 나이에 따른 차이가 있다고 주장한다.

사이버범죄 위협이 자신을 보다 조심스럽게 만드냐는 질문에 대해 18살에서 29살의 응답자들은 단지 58%만이 그렇다고 대답한 반면, 50세가 넘는 응답자들의 경우 79%가 그렇다고 했다.

마찬가지로, 젊은 응답자의 80%는 그들이 온라인에서 누구와 거래를 할 것인지 결정할 때 보안을 고려해 결정한다고 대답했지만, 그보다 나이가 많은 응답자들은 93%가 그렇다고 대답했다.@

Posted by 엔시스
TAG 피싱