안녕하세요. SK 브로드밴드 Blog지기입니다:D 오늘은 보이스 피싱사기보다 한 단계 업그레이드 된 사기 수법. 파밍 사기에 대해 알아보도록 하겠습니다.
얼마 전 은행으로부터, 피싱사기주의보라며 인터넷 거래 혹은 인증서 보안 업그레이드 시 보안카드의 암호 전부를 절대로 입력하지 말라는 안내 메일 혹은 문자를 받으신 분들이 계실 텐데요. 설 명절을 전후로 기승을 부렸던 파밍사기. 도대체 어떻길래 이렇게 대대적으로 은행에서 주의보를 내린 걸까요?



얼핏 보면 기존 은행사이트와 너무나도 동일하여 눈으로 보기에는 진짜 사이트로 보이게 만드는 파밍Pharming 은 피싱(Phishing)에 이어 등장한 새로운 인터넷 사기수법입니다. 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인네임시스템(DNS) 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인정보를 훔치는 컴퓨터 범죄 수법인데요,

넓은 의미에서는 피싱의 한 유형으로서 피싱보다 한 단계 진화한 형태라고 할 수 있습니다. 그 차이점으로는 피싱은 금융 기관 등의 웹사이트에서 보낸 이메일로 위장하여 사용자로 하여금 접속하도록 유도한 뒤, 개인정보를 빼내는 방식이지만, 파밍은 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취하는 수법입니다.


보통 이 파밍사기는 무료로 배포하는 프로그램 속에 삽입된 악성코드에 감염되면, 이후 은행사이트나 각종 금융관련 사이트에 접속시 악성코드에 따라 가짜 은행 사이트에 접속하게 됩니다. 실제 은행사이트 주소를 입력하여도 자동으로 가짜은행사이트로 이동되는 것이죠. 이 가짜 은행 사이트에서는 보안등급을 업그레이드 하기 위하여 보안코드 전부나 계좌번호, 비밀번호등 중요한 정보의 입력을 유도합니다. 은행 관계자들도 진짜와 가짜를 파악하지 못할 정도로 진짜 같은 은행사이트를 개설한다고 하니 일반인들은 구분하기 당연히 어렵겠죠.

파밍은 사용자가 아무리 도메인 주소나 URL주소를 주의 깊게 살펴본다 하더라도 쉽게 속을 수 밖에 없는데요, 파밍에 의한 피해를 방지하기 위해서는 브라우저의 보안성을 강화하고 웹사이트를 속일 수 있는 위장 기법을 차단할 수 있도록 백신 프로그램 관리, 전자서명등을 이용하여 사이트의 진위 여부를 확실하게 가릴 수 있어야한다.

이를 예방하기 위해서 최근 그림인증이 주목받고 있는데요,인터넷 뱅킹 사용자들이 사전에 설치한 그래픽 인증서비스를 이용하는 방식으로 이 파밍사기를 예방할 수 있다고 합니다.

< 이미지 : 우리은행 그래픽 인증 서비스 >


새로운 인증방식은 인터넷 뱅킹 사용자가 사전에 미리 선택한 그림(Hole)에 키로 설정한 다른 그림들을 넣는 식입니다. 예를 들어 숫자 1을 Hole로 정했으면 마우스로 미리 지정한 다른 그림이나 숫자를 1의 위치로 집어 넣는 것인데요, 이전처럼 공인인증서 등을 이용해 사이트에 로그인 한 뒤 2차 인증을 통해 고객들이 직접 가짜 사이트를 쉽게 구별할 수 있다는 것이 장점입니다. 사전에 설정해 둔 그래픽 인증 서비스가 있다면, 혹여 파밍 사기를 유발하는 악성코드에 감염되어 있다고 해도 이 단계에서 막히기 때문에 안심할 수 있겠죠?

아직 잘 알려진 인증서비스가 아니기에, 그래픽 인증서비스를 제공하고 있는 은행에서는 이 그래픽 인증을 체험할 수 있는 서비스도 제공하고 있으니 직접 체험해보세요!

또한 이 그림인증 이외에도 파밍사기 예방 프로그램을 경남 경찰청 사이버수사대에서 배포하고 있습니다. 파밍사기가 걱정되는 분들은 경남경찰청 사이트에 접속하여 파밍캅을 설치하여 확인해보세요:) 현재까지 확인된 파밍 악성코드는 모두 이 파밍캅에 걸린다고 합니다. 그 어떠한 금융기관도 보안코드 전~부를 요구하는 기관은 없다는 점. 반드시 기억하여 여러분의 소중한 자산을 지키세요! 이상 여러분들의 보안을 위해 달리는 SK브로드밴드 Blog지기였습니다:D



Posted by SK브로드밴드

댓글을 달아 주세요