|
||
피싱은 개인정보를 뜻하는 private data와 낚시(fishing)의 조합어. 개인정보를 불법으로 얻으려는 피셔(phisher)가 불특정 다수에게 전자우편을 보낸 뒤 사용자가 메일을 여는 순간 첨부파일이 실행되면서 사용자가 관리하는 ID와 비밀번호 등 개인정보를 빼내는 해킹기법이다. 엄밀히 얘기하면 기술이 아니라 사기수법에 가까운 것이다.
지난 6월 정부 산하기관과 국회, 원자력 연구소 등 국내 중요시설물을 휘젓고 다닌 중국발 해커의 공격도 바로 이 피싱이었다. 이번 중국발 피싱 공격때 전현직 국회의원과 국회사무처 직원 등 1백22명의 전자우편 ID가 도용당한 것으로 알려졌다. 해커들이 전·현직 국회의원들에게 전자우편을 보내 ID와 패스워드를 빼낸 뒤 국가기관의 전산망을 휘젓고 다닌 것.
이 피싱은 바이러스 공격이 아닌, 개인정보를 빼내 정식루트를 통해 내부정보에 접근해 기밀을 빼낸다는 점에서 기존의 해킹과는 다르다.
이미 국민은행, 국민카드, 삼성증권, LG증권 등이 회원고객들에게 ‘금융 사기 피싱 주의안내’를 발송했다. 보통 피싱 전자우편은 ‘당신의 계좌를 확인해주세요’라는 제목을 달고 있거나 이벤트에 당첨됐으니 개인정보를 보내달라고 요구한다. 내용은 ‘고객의 계좌에 문제가 생겼으니 계좌번호와 주민등록번호를 다시 한번 입력해 달라’는 것이다.
이에 대해 금융기관에선 “피셔들이 신용카드나 은행 계좌정보에 문제가 발생해 수정이 필요하다는 거짓 전자우편을 보내 고객들의 금융정보를 빼내려하고 있다”며 “이런 메일을 받을 경우 회신하지 말 것”을 부탁하고 있다.
독일에서도 포스트방크와 도이체방크 고객들 중 일부가 피싱에 의해 피해를 입은 것으로 알려졌다. 미국에서도 마이크로소프트사가 지난 6월15일 미국피싱방지포럼(TECF)에 전격적으로 참여를 선언하면서 피싱과의 전쟁을 선포한 상태다.
일부에선 지난해 피싱에 의해 입은 피해액이 전세계적으로 12억달러에 이를 것으로 보고 있다.
문제는 이런 피싱이 고도의 해킹 기술이 아니라 일종의 사기라는 점. 컴퓨터 이용자가 자발적으로 ID와 비밀번호를 컴퓨터에서 사용할 때 그 데이터를 가로채 유출시키는 것이다.
이를 방지하기 위해 지금까지 나온 기술은 두 가지 정도다. 하나는 홍체나 지문 등 생체인식기술을 응용한 본인확인시스템이고, 또 하나는 미국 일부 대기업에서 활용하고 있는 난수표 방식의 접속코드 부여방식이다.
난수표 방식은 개개의 조직원들에게 삐삐형 기계를 부여하고 본사에서 컨트롤하며 그때그때 변하는 숫자를 접속할 때 비밀번호 대신 치고 들어가는 방식이다.
국내에선 솔메이즈(solmaze)란 벤처기업에서 ‘미로’라고 불리는 입력값이 매번 달라지는 신개념 암호체계를 개발해 주목을 받고 있다. 솔메이즈의 ‘미로’는 사용자의 컴퓨터에 트로이목마나 백도어 프로그램이 깔려있어도 비밀번호나 ID 등 개인정보를 가져갈 수 없도록 고안돼 있다.
포인트는 비밀번호 입력시 엔터키 대신 키보드의 화살표만으로 제시되는 그림판에서 지정한 그림을 골라내는 것. 그림 배열 순서가 매번 랜덤하게 바뀌고 3단계로 통과하게 돼 있기 때문에 누군가 근접해서 본다고 해도 찾을 수가 없다.
1백 개의 이미지 중 매단계 랜덤하게 골라진 16개의 그림이 순차적으로 제시되는 것. 또 ID든 비밀번호 오류이든 접속에 한 번 이상 실패할 경우 자동으로 접속 IP를 추적해 본인에게 알람메시지가 가기 때문에 해킹을 미연에 방지할 수도 있다.
솔메이즈측은 “GE 등이 쓰고 있는 난수표 방식은 삐삐형 패스워드 수신기를 누군가 훔쳐갈 경우 안전성에 문제가 있고, AOL이 지난해 인수한 메일블록스사의 암호화된 숫자 전송 방식 역시 관련 컴퓨터 프로그램이 이미 인식하는 게 나와 있어 솔메이즈의 미로가 훨씬 더 접근성, 안전성, 편리성에서 뛰어나다”고 주장하고, “이미 미국쪽으로도 기술 수출을 추진하고 있다”고 말했다.
문제는 아직 이런 피싱 사기에 대해 사용자들과 직접 맞닥뜨리고 있는 포털사업자나 금융업체, 메일서비스업체들이 이렇다할 방어책을 내놓지 못하는 등 거의 무방비 상태라는 점이다. 단지 사용자의 주의만 촉구하고 있는 상태다. 의심가는 메일을 열어보지 말 것, 정기적으로 바이러스 청소를 해줄 것 등의 대책이 고작이다.
위기이자 기회인 이런 환경 변화에 국내 관련업계에서 어떤 대응을 할지 주목된다.
