피싱

피싱(phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사회 공학의 한 종류이다.

개요[편집]

피싱은 개인의 중요한 정보를 부정하게 얻으려는 공격 시도를 말한다. 개인 정보를 낚으려는(fishing)의 의도가 반영되어 있는 단어에서도 알 수 있듯이, 일반적으로 피싱 공격자는 전자메일이나 메신저와 같은 전달 수단을 통해 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장된 메시지를 공격 대상자에게 보낸다. 그리고 이를 통해 미리 공격자가 만들어 놓은 위장된 사이트로 들어온 공격 대상자의 주민등록번호, 비밀번호, 그리고 금융 정보와 같은 기밀이 요구되는 개인 정보를 얻으려고 하는 것이다. 피싱은 메일 및 메신저와 같은 웹 기술을 이용하기 때문에 전통적인 방식의 사기와는 다르다. 따라서 피싱 사기에 대한 기술적 대응이 필요하다. 최근에는 도메인 네임 시스템 하이재킹(Hijacking) 등을 이용해 사용자를 위장 웹사이트로 유인하여 개인 정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다.^[1]

방법[편집]

사회공학적 방법

피싱은 공격 대상을 속이기 위해 전산기술과 더불어 사회공학적인 방법을 사용한다. 피싱 메일을 보내는 공격자는 보다 합법적인 메시지로 보이도록 실제 웹사이트의 로고를 사용하여 전자메일 메시지를 만들어 보낸다. 그리고 공격 대상자에게 금전적인 보상을 약속하거나 즉각적인 반응을 하지 않으면 계정을 삭제한다는 위협을 하여 신중한 판단을 할 수 없도록 유도한다. 현혹된 공격 대상자가 여기에 반응하면 공격자가 만들어 놓은 함정에 빠져 개인 정보 침해나 금전적인 피해와 같은 공격을 당하게 되는 것이다.

링크 조작 방법

링크 조작 방법은 피싱 공격자가 흔히 사용하는 기술적인 방법이다. 이 방법은 유명 사이트 주소를 비슷하게 보이는 다른 주소로 변경하거나, 관련 없는 도메인 주소의 하위 도메인을 이용하여 조작된 링크를 연결하는 방법이다. 예를 들면 공격 대상자가 접근하려는 올바른 URL 주소 대신에 조작된 URL 링크를 연결해 놓는 것이다. 하이퍼텍스트의 링크 문자열 주소와 실체 링크의 주소가 다르게 조작할 수도 있다. 이 밖에도 문자를 포함한 URL 주소를 이용하거나, 국제화된 도메인 이름을 이용하여 비슷하게 보이지만 실제로는 다른 링크를 사용하여 공격할 수 있다.

웹사이트 위조방법

웹사이트 위조 방법은 피싱 공격자들이 브라우저의 주소창과 속성 창의 내용을 교묘하게 가려 웹브라우저가 사용자에게 제공하는 정보를 속이는 것이다. 팝업창을 사용하거나, 미리 정교하게 조작된 주소창을 이용하여 브라우저의 주소창 부분을 덮는 방법들이 사용된다. 주소창에 나타나는 정보를 공격 대상자에게 알려주지 않기 위해서 공격자가 미리 만들어 놓은 가짜 웹사이트를 통해 사용자에게 전달되는 사이트 정보를 차단한다.

중간자 공격방법

중간자 공격 방법은 공격 대상자와 웹서버의 연결을 공격자가 가로채서 웹서버에게는 공격 대상자의 패킷을 릴레이하고, 공격 대상자에게는 웹서버의 패킷을 릴레이 하면서 이루어지는 공격 방법이다. 중간자 공격이 성공하면 공격 대상자와 웹서버 사이의 모든 메시지를 공격자가 가로채어 중요한 정보를 조작할 수도 있다. 이러한 공격은 공격 대상자의 네트워크를 스니핑하거나 에이알피 스푸핑 기술과 같은 방법들을 이용해서 이루어진다.

대응[편집]

기술적 대응[편집]

브라우저 경고

브라우저 경고는 웹브라우저들이 현재 접속하려는 사이트의 피싱 여부를 알려주는 방법이다. 특정 단체 혹은 웹 사용자들에 의해 수집된 피싱 사이트 정보를 기반으로 피싱 여부를 판단하여 사용자에게 알려준다. 인터넷 익스플로러 7(Explorer 7)에서는 피싱 필터를 제공하여 이에 대한 설정을 자동으로 해놓으면 알려진 피싱 웹사이트에 접근할 때 주소창이 붉게 변하면서 피싱 사이트임을 알려준다. 파이어폭스 2(Firefox 2)에서도 피싱 의심 사이트에 접근하면 주소창에 정지 표시를 나타내며 풍선 알림을 경고 문구를 보여준다.

브라우저 확장 툴바

브라우저에서 자체적으로 피싱 차단 기능을 제공하지 않는 경우에도 넷크래프트(Netcraft) 툴바와 같이 안티 피싱 툴바를 설치하면 피싱 사이트의 접근을 막을 수 있다. 브라우저 확장 툴바를 사용하면 접근하고 있는 웹사이트의 지리적 위치나 처음 사이트가 공개된 날짜 등을 포함한 사이트 관련 정보도 확인할 수 있다.

EV 인증서

EV(Extended Validation) SSL(Secure Sockets Layer) 인증서는 이전의 인증서보다 시각적으로 표현하고 발급 조건을 더욱 엄격히 심사하여 피싱과 같은 인터넷 사기를 방지하기 위해 만들어진 인증서이다. EV 인증서는 최신 버전의 주요 웹브라우저를 사용해서 EV SSL 인증서를 사용하는 웹사이트에 접근할 경우, 주소 표시줄이 녹색으로 바뀌고 웹사이트에 대한 추가 정보를 시각적인 인터페이스로 보여준다.

개인 정보 관리 프로그램

개인 정보 관리 프로그램을 이용하여 피싱 사이트가 개인의 정보를 무단으로 획득하고 이를 악용하는 것을 방지할 수 있다. 개인 정보를 전송하기 이전에 현재 접속 중인 사이트의 피싱 여부를 체크하여 사용자에게 알려줌으로써 피싱 피해를 막는 방법이다. 사용자의 컴퓨터에 악의적으로 설치된 키로거에 의해서 정보가 수집되는 것을 막기 위해 키보드를 이용해 직접 입력하지 않고 미리 관리된 데이터를 사용하여 개인 정보를 입력하는 방법도 있다.

강화된 비밀번호 로그인

강화된 비밀번호 로그인 기능은 쿠키를 이용한다. 쿠키를 이용한 강화된 로그인 기능은 사용자 컴퓨터에 저장되는 쿠키 안에 사용자만의 고유한 메시지나 이미지를 설정해 놓는데, 이 쿠키 정보는 해당 사이트에 접속했을 때만 접근할 수 있다. 기존에 사용자가 설정해 놓은 메시지나 이미지는 모방할 수 없기 때문에, 이를 통해 사용자는 접근한 사이트가 피싱 사이트인지를 파악할 수 있는 것이다.

사회·문화적 대응[편집]

피싱에 대한 사회·문화적 대응은 피싱의 인식 제고 활동, 피싱 대응 실천문화 확산, 피싱 정보의 공유 및 신속한 대응을 통해 이루어진다. 피싱 위협을 감소시키기 위해 전자상거래 업체나 정보보호 관련 기관들이 기업 메일이나 웹사이트에서 발생한 피싱의 일반적인 정보를 고객에게 제공하는 등 다양한 인식 제고 활동이 필요하다. 피싱 대응 실천문화 확산은 피싱 위협 및 피해를 감소시키기 위한 기업의 최상의 실천 정책 수립 및 전파를 통해 수행하는 것이다. 기업은 이메일에 대한 일관성 있는 기업 정책을 수립하여 이용자에게 전파한다.

법·제도적 대응[편집]

미국은 2005년 2월 피싱 방지 법안(The Anti-Phishing Act of 2005)을 하원에 제안했다. 그리고 캘리포니아주 하원은 피싱 방지 법안을 통과시켜 법으로 채택했다. 일본 경제산업성은 2005년 4월 금융기관, 보안업체 등이 참여하는 피싱 대책 협의회를 설립했다. 피싱 대책 협의회는 피싱에 관한 정보 수집 및 제공, 피싱 동향 분석, 기술 및 제도적 대응, 해외 기관과의 제휴 등을 수행한다. 영국 정부는 피싱 관련 절도에 대해 10년 이하의 징역을 판결할 수 있도록 기존 절도 법 개정안을 제안했다. 절도 법안 개정안은 피싱과 같이 허위 표현, 금전적 이익을 위한 정보 유출, 지위의 남용 행위를 범죄로 규정한다.

각주[편집]

↑ 〈피싱〉, 《네이버 지식백과》

참고자료[편집]

〈피싱〉, 《위키백과》
〈피싱〉, 《사이버경찰청》
〈피싱〉, 《네이버 지식백과》
〈피싱이란?〉, 《akamai》
이상우 기자, 〈해커의 낚시, 피싱(Phishing)〉, 《아이티동아》, 2017-11-03

같이 보기[편집]

이 피싱 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

산업 : 산업, 산업혁명, 기술, 제조, 기계, 전자제품, 건설, 유통, 서비스, 에너지, 소재, 원소, 환경, 직업, 금융 ^□^■^⊕, 금융사

금융	PF • 가격 • 가계 • 가치 • 값 • 거래 • 경매 • 경영 • 경제 • 계정 • 계획경제 • 공급 • 공유경제 • 공정시장가치 • 교환 • 금융 • 금융감독원 • 금융그룹 • 금융기관 • 금융사 • 금융상품 • 금융실명제 • 금융지주사 • 급여 • 기업 • 내재가치 • 노동 • 담보 • 담보대출 • 대가 • 대부 • 대주단 • 대출 • 대출금 • 데이터경제 • 동산 • 디플레이션 • 매각 • 매매 • 매수 • 매입 • 매출 • 무담보 • 무담보대출 • 무역 • 무통장 • 배상 • 뱅크런 • 보상 • 보조금 • 보증 • 보증금 • 보험 • 분배 • 비용 • 빚 • 사업 • 사채 • 상품 • 상호저축은행 • 새마을금고 • 생산 • 선물 • 소득 • 소비 • 손실 • 손해 • 쇼핑 • 수신 • 수요 • 수익 • 수입 (무역) • 수출 • 스왑 • 시세 • 시장 • 시장경제 • 시장위험 • 신용 • 신용대출 • 신용등급 • 신용정보 • 신용정보회사 • 신용조회 • 여신 • 연방준비제도 • 영업 • 예금 • 예금보험공사 • 예금자 • 예금자보호법 • 예대마진 • 예산 • 예치 • 예치금 • 예탁금 • 오픈뱅킹 • 옵션 • 용역 • 워크아웃 • 원금 • 유가증권 • 은행 • 은행계좌 • 이자 • 이자율 • 인출 • 인터넷은행 • 인플레이션 • 임금 • 임대 • 임차 • 자금 • 작업대출 • 재산 • 재정 • 재화 • 저축 • 저축은행 • 적금 • 정기예금 • 정기적금 • 주문 • 중앙은행 • 지급준비금 • 지급준비율 • 지급준비제도 • 차용 • 창업 • 채권 • 채권자 • 채무 • 채무자 • 캐피탈 • 커스터디 • 크라우드펀딩 • 테크핀 • 투기 • 투자 • 투자사 • 투자증권사 • 특금법 • 파생상품 • 팩토링 • 펀드 • 펀딩 • 폐업 • 프롭테크 • 핀테크 • 하위테스트 • 혼합경제 • 화폐금융 • 환매 • 희소성

금융사기	계좌동결 • 금융범죄 • 금융사기 • 로맨스 스캠 • 보이스피싱 • 세탁집 • 유사수신행위 • 자금세탁 • 전기통신금융사기 • 통장묶기 • 통장협박 • 피싱 • 피싱계좌 • 핑돈 • 핑돈업자 • 핑돈채널

화폐	가상자산 • 가상증표 • 거스름돈 • 금 • 금속화폐 • 금화 • 기축통화 • 다이아몬드 • 달러 • 당좌수표 • 돈 • 동전 • 디지털 자산 • 디지털화폐 • 루블 • 마르크 • 명목화폐 • 문자화폐 • 법정화폐 • 보석 • 본원통화 • 본위화폐 • 불태환화폐 • 비트코인 • 수표 • 시뇨리지 • 실물화폐 • 암호화폐 • 어음 • 엔 • 외환 • 원 • 위앤 • 유로 • 은 • 은화 • 자기앞수표 • 잔돈 • 전자화폐 • 주화 • 준기축통화 • 중앙은행 디지털화폐(CBDC) • 증표 • 지폐 • 태환화폐 • 통화 • 통화량 • 통화스왑 • 파생통화 • 파운드 • 페소 • 프랑 • 현금 • 화폐 • 환율 • 환전 • 환치기

주식	ETF • 감자 • 기업공개 • 대주주 • 동전주 • 무상증자 • 배당 • 보통주 • 상환권 • 상환전환우선주(RCPS) • 선물 • 선물시장 • 소액주주 • 스톡옵션 • 양도제한 조건부 주식(RSU) • 액면가 • 우선주 • 유상증자 • 의결권 • 자사주 • 전환권 • 전환사채 • 정관 • 주권 • 주식 • 주식시장 • 주식양도세 • 주주 • 주주총회 • 증권 • 증권거래세 • 증권거래소 • 증권사 • 증권시장 • 증자 • 지배주주 • 지분 • 지분율 • 테마주 • 현물 • 현물시장 • 후배주

전자서명	KB모바일인증서 • 공동인증서 • 공인인증기관 • 공인인증서 • 공인전자서명 • 금융결제원 인증서 • 네이버 인증서 • 마이키핀 • 모바일인증서 • 뱅크사인 • 브라우저 인증서 • 사설인증서 • 서명 • 스마트폰 인증서 • 인증 • 인증서 • 인증센터 • 전자서명 • 전자서명법 • 전자서명 인증업무지침 • 전자서명 인증업무 평가‧인정제 • 카카오페이 인증 • 토스 인증서 • 패스

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반