본문 바로가기

정보 나눔

[피싱·스미싱·파밍] 피싱, 스미싱, 파밍

728x90
반응형

자료출처: 다음백과 / 산업통상자원부 / 정책브리핑

 

'피싱'엔 분명한 출처 확인과 진위 파악! '파밍'엔 평상시 각별한 보안 관리! 

 

 

 


 

 

피싱(Phishing)

 

피싱은 개인정보(Private data)와 낚시(Fishing)의 합성어이다.
금융기관을 가장한 이메일을 발송해 가짜 은행 사이트로 접속하게 한 후 보안카드 번호를 입력하도록 해 금융정보를 빼내고 자신들의 계좌로 돈을 이체하는 수법이다.
 

'Phishing'은 영어의 'fishing'이라는 단어와 조합된 것으로 정보를 얻기 위해 낚시질을 한다는 의미로 만들어졌다. 피싱에서의 전형적인 사기성 이메일은 친숙한 은행이나 전자상거래 사이트를 모방한 웹 사이트로 잠재적 희생자들의 방문을 유도한다.

 

사이트 방문 후에 사람들은 자신의 계정을 업데이트하거나 확인하라고 요구받는다. 그 과정에서 사이트 방문자들이 알지 못하는 사이 주민등록번호나 신용카드 번호와 같은 비밀정보가 누출된다. 피해자를 직접적으로 속이거나 직접적인 피해를 입히지는 않더라도, 이러한 정보들은 개인정보 도용 범죄에 이용되기도 한다. 피해자는 여러 해 동안 개인정보 도용 사실을 알지 못할 수도 있다.

 

미국의 IT 분야 리서치 전문 회사인 가트너에 따르면, 2007년에 매월 세계적으로 85억 개의 피싱 이메일이 보내졌고, 전체 피해자가 약 320만 명에 달했으며, 피해액은 36억 달러를 넘었다고 한다. 세계 안티피싱워킹그룹에 따르면, 2007년과 2008년에 피싱 웹 사이트의 수가 2배로 늘어났으며, 그 숫자는 6,500개 이상이라고 한다.

 

 

 

스미싱(Smishing)

 

피싱의 한 종류인 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어이다.
문자메시지로 ‘택배 도착’, ‘무료 쿠폰 제공’ 등의 내용과 함께 인터넷 주소를 보내 사용자가 접속하면 휴대폰에 악성코드를 설치, 소액결제를 진행하거나 개인정보, 금융정보를 빼간다.
피싱 피해를 보지 않기 위해선 진위 확인이 중요하다. 공공기관, 금융기관, 자녀, 지인 등을 사칭하는 경우가 많아 어떤 이유로든 송금을 요구할 땐 꼭! 관련 기관이나 당사자에게 사실 여부를 확인하여야 한다!
 

문자메시지를 이용한 새로운 휴대폰 해킹 기법이다.

인터넷 보안회사인 맥아피가 스미싱(SMS+피싱)이라고 명명한 이 기법은 휴대폰 사용자에게 웹사이트 링크를 포함하는 문자 메시지를 보내 휴대폰 사용자가 웹사이트에 접속하면 트로이목마를 주입해 인터넷 사용이 가능한 휴대폰을 통제할 수 있게 만든다.

인터넷 전문분석기관 가트너는 모바일 바이러스나 웜이 2008년 이전에는 출현하지 않을 것으로 전망했으나 스미싱 출현으로 안심할 수 없게 됐다고 밝혔다.

 

 

반응형

728x90

 

 

파밍(Farming)

 

피싱에서 더 발전한 사기 형태인 파밍은 사용자 PC를 조작하는 방식이다.
가짜 웹사이트로 유도하는 피싱과 달리 파밍은 PC를 악성코드에 감염시켜 어느 웹사이트로 접속해도 가짜 사이트로 연결된다. 사용자가 정상적인 웹사이트로 생각해 개인정보를 입력하면 이때 금융정보를 빼간다.
 

합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임시스템(DNS) 또는 프락시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤 개인정보를 훔치는 새로운 컴퓨터 범죄 수법이다.

해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취하는 수법으로 ‘피싱(phishing)에 이어 등장한 새로운 인터넷 사기 수법이다. 사용자가 아무리 도메인 또는 URL 주소를 주의 깊게 살피더라도 늘 이용하는 사이트로만 알고 아무런 의심 없이 접속하여 개인 아이디(ID)와 암호(password), 금융 정보 등을 쉽게 노출시키게 된다.

따라서 피싱 방식보다 피해를 당할 우려가 더 크다. 피해를 방지하기 위해서는 브라우저의 보안성을 강화하고, 웹사이트를 속일 수 있는 위장기법을 차단하는 장치를 마련해야 한다. 또 전자서명 등을 이용하여 사이트의 진위 여부를 확실하게 가릴 수 있도록 해야 하고 사용하고 있는 DNS 운영 방식과 도메인 등록 등을 수시로 점검해야 한다.

 

 


 

 

파밍을 예방하기 위해서는
컴퓨터나 이메일에 보안카드 사진, 계좌 비밀번호 등 금융정보를 저장하지 않아야 한다.
특히, 출처가 분명하지 않은 파일과 이메일은 열어보지 않는 것이 중요하다.
피싱, 스미싱, 파밍! 이름과 방식은 조금씩 다르지만 항상 주의가 필요한 악질범죄라는 것은 같다!
피싱엔 분명한 출처 확인과 진위 파악! 파밍엔 평상시 각별한 보안 관리! 

 

 


 

728x90
반응형
LIST