피싱(Phishing)은 사용자가 외부와의 상호 작용에서 맺는 신뢰 관계를 파고드는 사회공학적 공격 기법이다. 사용자의 관심 사항과 불안 심리를 이용해 이성적인 판단을 방해하는 것이다. 피싱 범죄자들은 사람들이 무엇을 좋아하고 어디에 관심을 갖는지 철저히 분석한다. 사용자를 가짜 홈페이지인 피싱 사이트로 유인하기 위해서다.
만약 기업 인사철에 ‘인사 관련 대외비’라는 제목으로 거짓 메일이 뿌려진다면 어떻게 될까. 일단 메일함을 열어본 직장인이라면 쉽게 지나치지 못할 것이다. 갑작스럽게 개인의 은행 계좌가 범죄 조직의 대포통장에 연루되었다거나 개인 카드에서 대량의 결제가 이루어졌다면 어떨까. 일반인들은 당황할 수밖에 없다. 피싱 공격자들은 이런 심리적 약점을 노려 집요하게 공격한다.
피싱과 같은 공격 기법은 근본적으로 인증의 불균형에 기인한다. 과거만 해도 서비스의 공급은 한정적인 반면, 이를 이용하고자 하는 사용자 수요는 많았다. 그렇다 보니 서비스 공급자의 입장에서 사용자를 관리하는 방식이 자연스러웠다. 인증의 방향이 일방적이었다는 뜻이다.
은행을 예로 들어보자. 자사 인터넷뱅킹 서비스를 이용하려고 인터넷에 접속하는 사용자가 있다. 은행 입장에서는 그 사용자를 인증해서 문제가 없으면 서비스를 제공하고, 인증에 실패하면 서비스를 제공하지 않으면 된다. 관련 정책과 기술에서는 사용자를 얼마나 철저히 인증할 수 있는가가 주된 관심사였다.
이런 단일 방향 인증의 허점을 파고든 것이 바로 피싱 공격이다. 사용자 입장에서는 자신이 이용하고 있는 은행인 줄 알고 정보를 입력한다. 그런데 실제로는 거래하던 은행이 아니고 해커가 만들어놓은 가짜 은행인 것이다.
개인정보의 경제적 가치는 점점 높아진다. 이에 따라 사용자 정보를 불법적으로 빼내려는 악의적인 피싱 공격도 늘어날 것이다. 그 방식도 더욱 교묘해질 가능성이 크다. 그 흐름을 다음의 두 갈래 방향으로 예측할 수 있다.
첫째는 실시간 피싱(real-time phishing 또는 man-in-the-middle phishing)이다. 개인 보안카드의 코드 번호 전체 및 일련번호를 요구하는 기존의 피싱 수법은 앞으로 점차 줄어들 것이다. 피해 사례가 많이 알려질 것이기 때문이다. 그 대신 거래 중인 사용자와 서비스 시스템 사이에 실시간으로 끼어드는 형태의 공격이 나타날 가능성이 크다. 사용자에게는 정상적인 서비스 시스템인 척한다. 서비스 공급자에게는 정상적인 사용자인 것처럼 위장한다. 둘 사이에 있으면서 실시간으로 사용자의 정보를 빼내 금융 사기를 벌이는 수법이다.
기존의 피싱 공격은 사용자가 입력한 금융 정보를 탈취한 후, 그 탈취 정보를 이용해 불법 금융 사기를 벌였다. 여기에는 무작위로 생성되는 일회용 암호를 이용하는 OTP(One-Time Password) 인증이나 휴대전화 인증 등 ‘2채널 인증’으로 대응할 수 있었다.
반면, 실시간 피싱 공격의 경우 단순한 2채널 인증만으로는 해결할 수 없다. 사용자와 서버 사이에 있으면서 둘 모두를 속이는 수법이기 때문이다. 현재 이러한 공격을 방어하기 위해 위치 정보 등과 같은 부가 정보를 이용한 인증 방법이 개발되고 있다.
둘째는 오프라인 피싱(off-line phishing)을 예상할 수 있다. 기존에는 사용자에게 이메일이나 문자메시지를 보내 사용자의 개인정보를 가로채는 방식이 많았다. 요즘에는 NFC(Near Field Communication) 기술이 탑재된 스마트폰이 광범위하게 보급됐다. NFC란 10cm 이내의 가까운 거리에서 다양한 무선데이터를 주고받는 통신 방식이다. 이로 인해 스마트폰을 오프라인에서 터치하는 것만으로 결제뿐만 아니라 각종 정보 안내 등을 받을 수 있는 서비스들이 늘어나고 있다.
한 예로 디지털 사이니지(Digital Sinage)를 보자. 디지털 사이니지란 디지털 기술을 활용해 평면 디스플레이나 프로젝터 등에 의해 영상이나 정보를 표시하는 일종의 전자 간판을 말한다.
‘상호 인증’ 방식 도입 필요
사용자는 스마트폰을 태그나 센서가 장착된 정보 단말에 터치하는 것으로 부가적인 서비스를 얻을 수 있다. 이때 불법 태그나 센서를 통해 사용자를 악의적인 사이트로 유도한다면 어떻게 될까. 스마트폰 속의 개인정보가 충분히 유출될 수 있다. 현재 이러한 문제점을 해결하기 위해 사용자가 주변 서비스 환경의 다양한 단말기를 인식 및 인증하고, 사용자의 통제하에서 사용자 정보가 교류될 수 있는 기술이 개발되고 있다.
그러나 피싱 수법과 그에 대한 방어 기술은 항상 ‘창과 방패’ 같은 관계다. 사용자 정보를 노리는 피싱 공격은 더욱 교묘한 방식으로 진화할 것이다. 이에 대비하려면 사용자가 서비스 이용 시 연결 주소를 잘 살피고 의심스런 사이트 접속과 파일 설치를 하지 않아야 한다. 이와 함께 사용자가 피싱 공격에 대해 제대로 인지하고, 관련 피해를 입지 않도록 실질적인 도움을 줄 수 있는 지속적인 기술 개발과 적용이 병행돼야 한다.
무엇보다 ‘상호 인증’ 방식에 대한 정책 및 기술적 고려가 필요하다. 은행이 사용자를 인증하는 만큼 사용자도 은행을 인증할 수 있어야 한다. 특히 향후 서비스 환경이 고도로 지능화된다면 사용자 주변에는 지금보다 훨씬 많은 전자 센서들이 나타나게 될 것이다. 사용자로서는 자신에게 서비스를 제공하려는 대상에 대한 인증이 더욱 중요해지는 것이다.
|
감쪽같이 속일 미끼 계속 개발 보이스 피싱의 시작은 7년 전으로 거슬러 올라간다. 경찰청 자료에 따르면 2006년 5월18일 인천 간석동 지점 거래 고객이 국세청을 사칭한 사기범 전화를 받고 800만원의 피해를 입은 것이 최초였다. 미끼가 그럴듯해야 고기가 잘 잡힌다. 누구나 미끼인 줄 아는 것은 이미 미끼가 아니다. 이른바 ‘대세’를 이루는 방식은 항상 바뀌어왔다. 사기범들은 특정 기관을 집중적으로 사칭하다가 이 수법이 널리 알려지게 되면, 사칭 기관이나 수법을 바꿔가면서 범행을 지속해왔다. 김성언 경남대 경찰행정학과 교수와 양영진 당시 창원중부경찰서 지능팀장이 쓴 공동 논문 ‘전화 금융 사기 범죄의 진화’에서 이를 집중 분석했다. 처음 보이스 피싱이 등장한 2006년 이후 사건 기록을 검토해 ‘환급금 빙자(국세청·국민건강보험공단) → 신용카드 대금 연체 빙자(금융감독원·금융회사) →납치·협박 빙자 → 수사기관 사칭(법원·경찰) → 전화요금 연체 빙자(통신회사) → 택배 사칭(우체국·택배회사)’의 순서로 주요 전술적 기법들이 바뀌었다는 결론을 내렸다. 이후 스마트폰 보급 등 정보통신 기술 혁신이 일어나면서 사기 수법 역시 다양해지고 있다. 단순한 ‘보이스’ 피싱을 넘어 모바일 피싱, 금융전산망 직접 해킹 등의 다양한 수법들이 나타났다. 최근 문제가 된 파밍 역시 그 일종이다. |
