피싱과 파밍은 개인정보나 금융정보를 불법적으로 유출해 금융사기나 금전적인 손해를 끼치는 공격방식입니다. 두 가지 모두 개인정보의 유출이 1차 목적이지만 공격방식에는 차이가 있습니다. 이 문서를 통해 피싱과 파밍 공격의 차이점에 대해서 이해하고 적절한 예방을 통해 개인정보 유출 및 금전적 손해를 미리 방지하는 데 도움을 받을 수 있습니다.
피싱이란
피싱이란 낚시를 의미하는 Phishing에서 유래한 용어로 개인의 금융 관련 정보나 개인정보를 탈취하여 불법적으로 이용하는 범죄행위입니다. 마치 낚시를 하는 것처럼 사람의 흥미를 끄는 도구를 이용해서 금융기관의 로그인 정보나 비밀번호를 낚는다는 의미로 사용됩니다.
공격방식
위장 사이트 접속유도
피싱 공격은 사용자를 위장된 홈페이지로 접속하도록 유도하여 여기에 개인 정보를 입력하면 이를 탈취하여 사기에 이용하는 방식입니다. 가령 불특정 다수에게 이메일이나 문자 메시지를 전송하여 본문 안 주소클릭을 유도하여 위장된 홈페이지로 접속을 유도합니다. (아래 참고)
이렇게 이동한 피싱 홈페이지는 사용자가 쉽게 구분할 수 없는 정상적인 사이트처럼 보이나 사실 위장된 사이트입니다. 위장하는 사이트의 유형은 다음과 같습니다.
- 금융기관 (은행이나 카드회사)
- 네이버, 다음 같은 포털사이트
- 일반 쇼핑몰 (쿠팡, 11번가 등)
접속유도 메일이나 문자의 문구에는 경품 당첨이나 이벤트 참가권유 또는 비밀번호 유출 경고와 같이 사람의 흥미나 불안감을 자극하여, 순간적으로 접속하여 개인정보를 유출하도록 만듭니다.
보이스 피싱
보이스 피싱 역시 피싱 공격의 한 유형입니다. 잘 알려진 바와 같이 가족이나 지인으로 위장하여 전화를 걸거나 문자를 보내 돈을 송금하도록 유도합니다. 최근에는 정부 기관이나 경찰을 사칭한 수법 등으로 점차 고도화하고 있습니다.
이외에도 랜섬웨어 같은 악성코드는 사용자의 파일을 암호화시켜 이를 인질로 삼아 복구비용을 청구하기도 합니다. 이런 악성코드의 유형과 복구방법 (툴) 등에 대해서는 다음 정보를 참고 하시기 바랍니다.
파밍이란
파밍 (Pharming)은 사용자의 PC나 스마트폰에 악성코드를 감염시켜 정상적인 사이트의 접속을 우회시켜 피싱 사이트로 유도하는 한 단계 더 고도화된 수법입니다. 이는 이메일이나 메신저 등으로 위장된 사이트를 유도하지 않아도 사용자의 정상적인 접속경로를 변경하기 때문에 더욱 알아채기 어렵습니다.
공격방식
파밍공격을 이해하기 위해서는 DNS의 개념을 알아야 합니다. DNS는 우리가 인터넷 창에 www.naver.com과 같이 사람이 이해할 수 있는 주소를 입력하면 이를 IP 주소로 변경해주는 역할을 하는 서버입니다.
만약 위의 그림처럼 DNS Server를 해킹하여 naver 정상 주소가 아닌 위장된 사이트로 접속되도록 변경해 놓았다면 www.naver.com을 접속해도 잘못된 위장 페이지로 이동하고 이때 사용자가 아이디와 비밀번호를 입력하면 이를 중간에 가로채는 공격방식입니다. DNS 서버를 오동작시키는 공격방식은 다음과 같습니다.
- DNS 주소 변경: 서버 자체를 해킹하고 특정 도메인의 IP를 변경
- 클라이언트 HOST 파일 변경: 호스트 파일에 변조된 DNS IP를 심어놓아 특정 도메인으로 이동하도록 유도
- 클라이언트 DNS 서버주소를 변경하여 임의의 DNS 서버를 접속하도록 유도
피싱과 파밍의 예방법
두 공격 모두 결과적으로 사용자를 위장된 사이트로 접속 유도하여 개인정보를 가로챈다는 공통점이 있습니다. 이에 대한 예방법은 크게 사이트 접속 시 보안 수준을 높이는 방법입니다.
- 악성코드의 감염을 예방한다. (불법 소프트웨어 다운로드 등)
- 개인 PC에 패스워드를 설정한다. (HOST 파일 변조 예방)
- 가급적 공공 PC 에서는 개인적인 사이트의 접속을 제한한다.
- 신뢰할 수 없는 문자나 사이트의 클릭을 삼가한다.
- 주요 사이트 접속시 2단계 인증추가.
- DNS 시스템 보안강화 (서버 운영시)
무료 안티바이러스 백신
최근에는 개인들에게 무료로 사용이 가능한 백신 프로그램도 많이 있습니다. 대표적으로 잘 알려진 안랩 프로그램 외에도 마이크로소프트에서 제공하는 Defecder와 같이 공인되고 많이 사용하는 제품이 안정적이고 보안 업데이트도 빠르므로 추천해 드립니다.
이상으로 위장된 홈페이지로 유도하여 개인정보를 탈취하는 피싱과 파밍공격 방식 및 예방법에 대해서 알아보았습니다.