눈뜨고 있어도 코(돈) 베어간다 – 파밍

이모 씨(여, 30세)는 지난 2013년 2월 19일, 자신의 컴퓨터로 인터넷 '즐겨찾기' 해뒀던 N은행 인터넷뱅킹에 접속했다. 인터넷뱅킹에 필요한 정보를 입력하라는 팝업창이 나타나 개인정보와 금융거래정보 등을 입력했다. 그리고 그날 밤, 그의 N은행 계좌에 있던 5,000만 원이 순식간에 사라졌다.

위 이야기가 남 일 같이 느껴진다면 '큰일'이다. 이 모씨도 자신이 이러한 피해를 당할것으로 생각하지는 않았으리라. 지난 4일, 금융위원회와 금융감독원, 경찰청이 '파밍(Pharming) 합동 경보'를 발령했다. 신종 보이스피싱인 파밍 피해가 반복적으로 발생해, 대국민에 유의사항을 전파할 필요가 있다는 것이다.

현재 파밍 피해자는 지난해 11월부터 지난달까지 약 323명이다. 이들이 입은 피해는 약 20.6억 원 정도. 한국인터넷진흥원(KISA)에 따르면 은행이나 관공서 등을 사칭한 피싱사이트 발견 건수는 지난 2006년부터 2010년까지 총 20건에 불과했지만, 2011년 한해동안에는 1,849건으로 늘어났다. 그리고 현재까지도 파밍 피해가 계속해서 늘어나는 추세다.

농장(Farming)+피싱(Phising)

파밍은 농장(Farming)과 피싱(Phising)의 합성어다. 사용자의 개인정보를 낚는다는 의미다. 이용자 PC를 악성코드에 감염시켜 피싱사이트로 유도해 해커가 금융거래 정보 등을 편취하는 수법이다.이는 인터넷 '즐겨찾기'나 포털사이트에서 검색된 정상 홈페이지 주소로 접속한다고 해도 피싱사이트로 유도된다.

파밍은 주로 이메일이나 SNS 등으로 유도한다. 이메일은 주요 기관이나 금융회사의 홈페이지 링크를 보내 이용자가 클릭하도록 유도한다. 최근에는 개인정보와 금융정보의 유출로 불안감을 가진 이들에게 보안승급에 관한 내용을 담은 SMS나 전화로 유도하는데, 이 방식은 피싱사이트 도메인이 정상 사이트 도메인과 매우 유사해 사용자가 구분하기가 어렵다.

피싱사이트에 접속해 개인정보나 금융정보를 이용하면, 피셔(Phisher, 피싱하는 사람)가 해당 정보로 공인인증서를 재발급받아 예금을 불법적으로 인출한다.

개인정보, 어떻게 '훔쳐가나'

현재까지 발견된 피싱사이트 구축 방식으로는 '이미지 방식'과 'IFRAME 태그(HTML문서 안에 프레임 삽입해 또 다른 HTML 문서를 보여주는 내부 프레임 태그) 방식', '소스 복사 방식', '팝업 방식', '자동화 툴을 이용한 방식' 등이다.

이미지 방식은 금융회사나 주요기관 홈페이지를 캡처한 이미지 위에 링크를 추가한 방식이다. 구축이 빠르고 소스코드가 복잡하지 않지만, 게시글이나 그림의 위치에 맞게 피싱사이트 링크를 적절히 지정하지 않으면 사용자가 피싱사이트임을 쉽게 구별할 수 있다. IFRAME 태그 방식은 IFRAME 태그로 가져온 정상적인 링크들 사이에 피싱사이트가 링크된 부분을 추가하는 방식이다. 구축하기 쉽고, 사용자들이 피싱사이트라는 점을 인지하기 어렵다.

여기서 조금 더 진화한 방법이 팝업 방식이다. 먼저 정상 사이트에 접속하게 해 사용자가 안심하면 그때 개인정보를 편취하는 수법이다. 실명 인증 기관 같은 기관으로 위장해 팝업창을 띄워 각종 정보의 입력을 유도해 이를 가로채는 방식이다.

이외에도 자동화 툴 방식은 별도의 피싱사이트 없이 악성 스크립트로 사용자의 PC를 감염시켜 정보를 편취한다. 쉽게 말해, 자동메일 발송기나 인터넷 익스플로러의 취약점을 이용해 공격 하는 스크립트로, 사용자가 입력한 정보들을 데이터베이스에 저장해 정보를 앗아가는 것이다.

내 정보는 내가 지킨다

피해사례 열 번 이야기해도 막상 당하지 않으면 모를 일이다. 그렇다고 손 놓고 있을 수만은 없는 법. 몇가지만 기억해두면 파밍으로부터 안전할 수 있으니 기억하고 실천하자.

파밍으로부터 안전하기 위해서는 무엇보다 개인정보를 절대 알려주지 않는 것이 최선이다. 검찰이나 금융감독원 등의 공공기관이나 은행, 카드사 등의 금융기관은 어떤 상황에서도 전화나 문자메시지로 개인정보나 금융거래 정보를 알려달라고 요구하지 않는다. 또한, 온라인으로 보안승급 등을 요구하지도 않으니 응하지 말아야 한다.

출처가 불분명한 파일을 내려받거나 의심되는 이메일은 확인하지 않는 것도 좋은 방법이다. 이 외에도 금융회사의 보안강화 서비스에 반드시가입하면 좋다. 현재 농협은 '나만의 은행주소'를, 국민은행은 '개인화 이미지', 우리은행은 '그래픽인증' 등의 보안서비스를 시행하고 있다.

이러한 노력에도 만약 파밍 피해를 당했다면, 경찰청(신고전화 112)이나 금융회사 고객센터에 신고해야 한다. 금융회사 고객센터에는 범죄자의 계좌를 지급정지하도록 요청하면 된다. 몇 가지만 기억하면 큰 피해를 줄일 수 있으니, '남 일'이라 생각하지 말고 '내 정보는 내가 지킨다'고 생각하자.

글 / IT동아 양호연(yhy420@itdonga.com)