피싱의 1/3은 '돈을 훔치는 것'이 목표

카스퍼스키 연구소(Kaspersky Lab, 이하 카스퍼스키)가 발간한 '2013년 사이버 금융 위협'에 따르면 2013년 한 해 동안 은행, 온라인 상점, 전자 결제 시스템을 사칭한 피싱 공격의 비율은 31.5%로, 2012년과 비교해 8.5% 증가했다.

*피싱(Phishing): 개인정보(Private data)와 낚시(Fishing)의 합성어로 사용자를 속여 개인정보를 탈취하는 행위

이런 피싱 공격은 웹 페이지에 접속할 수 있는 모든 기기와 장치에 위협을 초래한다. 사용자의 금융 정보를 훔치는 피싱 사이트는 일반적으로 유명 온라인 상점, 전자 결제 시스템, 온라인 금융 시스템의 브랜드 명을 도용한다. 2013년 가장 많이 도용된 표적은 은행으로, 전체 금융 피싱의 70.6%를 차지했다(2012년 52%).

가짜 은행 웹 페이지를 중 약 65%는 유명 은행의 이름을 도용했으며, 전자 결제 시스템에서는 이런 경향이 더 크다. 전자 결제 시스템을 노린 피싱 공격 중 88.3%가 페이팔(PayPal), 아메리칸 익스프레스(American Express), 마스터 카드(Master Card), 비자(Visa) 등을 도용했다.

최근 몇 년간 가장 많이 도용된 온라인 상점은 아마존닷컴(Amazon.com)이다. 온라인 상점을 도용한 피싱 공격 중 61.1%에가 이를 도용했다. 애플(Apple)과 이베이(eBay)는 그 뒤를 이었다.

카스퍼스키 세르게이 로즈킨(Sergey Lozhkin) 수석 연구원은 "피싱 공격은 전개가 쉽고 아주 효과적이어서 범죄자들 사이에서 큰 인기를 끌고 있다. 숙련된 인터넷 사용자들조차 정상 웹 페이지와 이를 모방한 사기 웹사이트를 구분하기가 쉽지 않다"며, "또한, 피싱에 도용된 기업은 금전적 피해는 물론 피싱에 악용되는 브랜드로 인식되기 때문에 평판에도 큰 타격을 입는다"고 말했다.

SNS를 이용한 피싱 사례도 꾸준히 늘고 있다. 2013년 한 해 페이스북과 등을 도용한 피싱은 6.8% 포인트 증가해 전체의 35.4%를 차지했다.

글 / IT동아 이상우(lswoo@itdonga.com)