Phishing은 사실 hacking technique 보다는 사기에 가깝다. 특별히 기술적 장벽이 높은 것이 아니고 누구나 똑 같은 site를 만들어 그 site로 어떤 방법으로든 유인하여 customer로부터 정보를 입력하게 하면 되기 때문이다. 또한 Phishing은 social engineering이기 때문에 이를 기술적으로 방어하는 것은 거의 불가능에 가깝다. 때문에, Phishing을 통한 피해가 크게 증가 하고 있으며, 보안을 연구하는 사람들에게 Phishing의 보안은 가장 큰 이슈가 되어가고 있다.
New Phishing Sites by Month December '04 - December '05 : AntiPhishing.org
이 글에서는 공격자가 사용자를 어떻게 속이는지 그 social engineering을 소개하고 그를 통해 어떻게 phishing으로부터 자신의 중요 데이터를 보호할 수 있는지 소개할 것이다.
위장 사이트로
Phishing 을 하기 전 공격자는 private data를 얻으려는 사이트와 비슷하거나 똑같은 사이트를 제작한다. 이렇게 제작하는 것은 해당 사이트에서 서비스 하고 있는 웹파일들을 그대로 다운로드하여 제작하면 되므로 고도의 공격 기술이 필요한 것이 아니기 때문에 누구나 할 수 있다. 그래서 가장 많은 Phishing 공격 방식이다. 그리고 사용자를 좀 더 잘 속일 수 있기 위해 도메인을 비슷하게 제작하기도 한다.
예전 기업은행 사이트와 똑같은 모양을 가지고 있지만, 사실 기업은행 사이트가 아니다.
위장 이메일
위장된 사이트로 접속을 유도하기 위해 주로 이메일을 사용한다. 그 내용으로는 유명 은행, 카드사 등을 사칭하며 계좌번호, 카드번호, 비밀번호 등의 확인 또는 갱신을 유도하거나 이러한 조치를 취하지 않을 경우 거래가 중지 된다는 식의 소란을 일으키거나 자극적인 문구를 이용한다. 또는, 포털 사이트나 쇼핑몰 등을 사칭해 경품 당첨 안내나 이벤트 참가 등을 유도하며 주민 번호, 핸드폰 번호 등의 개인 정보를 입력하도록 유도하기도 한다. Phishing 사이트로 유도하기 위해 e-mail 내에 하이퍼링크를 넣어 그것을 클릭하면 phishing 사이트로 연결되도록 하는데 사용자를 좀 더 신뢰하게 하기 위하여 figure 3처럼 링크의 이름을 정상 적인 사이트로 설정하고 실제로 연결되는 사이트는 phishing site로 하는 방식을 사용한다.
위장된 Windows Domain Name Setup
MS-Windows에는 로컬에서 로컬에서만 사용하는 별도의 도메인 네임의 설정 방법을 제공하는데 스파이웨어가 이를 수정하여 사용자를 phishing 사이트로 유도시키기도 한다. 일반인에게 이와 같은 설정이 널리 알려지지 않아 의외로 잘 걸리지 않고 오랫동안 지속되는 방식이다. 이 설정은 C:\윈도우 설치 FOLDER\system32\drivers\etc에 hosts 파일로 설정할 수 있으며 [IP Address] [URL]을 설정하면 해당 URL을 입력했을 때 Domain name server에 쿼리하지 않고 이 파일에 있는 대로 연결된다. 이 파일이 스파이웨어를 통해 조작된 모습은 다음 그림을 통해 볼 수 있다.
로컬 도메인 설정
위 그림을 보면 www.daum.net의 실제 IP는 222.231.51.77이지만 61.251.196.31로 설정되어 있는 것을 확인 할 수 있다.
URL HIjacking
위장된 Windows Domain Name Setup과 같은 동작을 하는 방식으로서 BHO나 기타 스파이웨어가 사용자의 웹연결을 감시하다가 해당 URL로의 연결을 후킹하여 다른 사이트로 변경시키는 기술이다.
Popup Window
어떠한 사이트의 hyperlink를 클릭하여 다른 사이트로 연결 될 때, iframe tag를 이용하여 해당 사이트에 팝업 윈도우를 띄울 수 있다. 사용자는 마치 연결된 사이트에 띄우는 팝업으로 착각하고 그 내용을 신뢰하는 경향이 있는데 이를 이용한 phishing도 많이 존재한다. 주로 성인 사이트 같은 곳에 글을 올려 이 사이트에 접속하면 경품을 준다는 식으로 사용자를 유도한다.
Phishing 방어 지침
이 외에도 messenger worm이 속임수 메시지와 함께 특정한 url을 전송하여 messenger를 통해 phishing을 유도하는 경우가 과거에 종종 있었으며 기타 phishing을 위한 아주 많은 기술이 존재한다. 이렇게 다양한 phishing 공격과 앞으로 새롭게 생길 수 있는 다른 방법의 공격을 방어하기 위해선아직 기술적으로 완벽하게 방어할 수 있는 방법이 없으므로 다음과 같은 사항을 명심하고 실천해야 한다.
- 로그인 과정, 확인 또는 표시 되는 정보가 합법적인 사이트와 같이 정밀해 보이지 않는다면 의심해본다.
- 필요 이상으로 많은 것을 묻는다. Phishing 사이트는 일반적으로 요구되지 않는 추가적인 확인 정보나 개인 정보를 물어볼 가능성이 크다.
- Spyware에 감염되지 않았는지, 여러 가지 Spyware 치료 툴로 주기적으로 검사하고 치료한다.
- 웹 사이트에 접속 할 때 보안 접속을 할 수 있는 버튼이 없다. 합법적인 금융 사이트는 보안 접속을 대부분이 지원한다.
- 브라우저에서 SSL 인증서 문제를 경고한다. SSL 인증서가 Spoofing되면 브라우저에 보안 경고 메시지가 표시된다. 그 메시지를 무시하지 말고 반드시 인증서을 확인하여 해당 사의 이름이 들어가 있는지 확인해 봐야 하며, 이런 경고는 사기범들이 만든 웹 사이트를 나타내는 명백한 징후로 받아들여야 한다.
- 메일을 통해 금융 정보를 변경하라는 메일이 온다면 해당 회사에 전화를 걸어 직접 환인해 본 뒤, 메일의 link를 클릭하여 연결하지 말고 웹 브라우저에 직접 url을 입력하여 연결해야 한다.
Reference
[1] Anti-Phishing Working Group, http://www.antiphishing.org
[2] Korea Information Security Agency, http://www.kisa.or.kr
Leave your greetings.