피싱, 파밍, 스미싱 개념 이해
by jennysgap피싱, 파밍, 스미싱! 그것이 알고 싶다~
[피싱, 파밍, 스미싱 개념 이해]
신종 해킹 기법을 활용한 신종금융사기가 기승을 부리고 있는데요, 피싱, 파밍, 스미싱 등의 해킹기업을 말합니다.
이런 신종 해킹 위험으로부터 본인의 개인정보와 금융정보, 금융자산 등을 안전하게 지켜내기 위해서는 이들이 무엇인지 제대로 파악해야 제대로 된 대처를 할 수 있습니다.
막연히 주의하고 조심하는 것은 별 도움이 되지 않습니다.
먼저 세가지 신종 해킹 기법의 개념 및 특징을 알아보겠습니다.
피싱(Phishing)
피싱은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 이메일 등을 수신자가 신뢰할 만한 출처로 위장하여 보내 개인정보를 빼내는 해킹 기법입니다.
피싱은 다음과 같이 이루어집니다.
1) 해커가 불특정 다수에게 피싱 메일을 발송하고
2) 수신자가 이메일 내용에 링크되어 있는 (위장) 사이트를 클릭하여
3) 위장사이트에서 금융정보를 입력함으로써 발생
주거래 금융기관 등 주로 발송 출처를 위장하여 보내기 때문에 해당 정보가 진짜인지 위장인지 파악하기 어렵습니다.
파밍(Pharming)
피싱이 금융기관 등의 웹사이트에서 보낸 이메일로 위장하여 링크를 클릭하도록 유도하는 것 달리 파밍은 아예 해당 사이트가 공식적으로 운용하고 있던 도메인 자체를 중간에서 탈취한다는 점에서 차이가 있습니다.
보통 악성코드에 감염된 사용자 PC는 사용자가 정상적인 주소를 입력해도 파밍 사이트로 연결시키고 사용자 주소창에는 정상적인 사이트로 표시합니다.
이런 상황에서 사용자는 늘 이용하는 사이트로 알고 의심하지 않고 개인 정보 등을 입력하게 됩니다.
스미싱(Smishing)
문자메시지(SMS)와 피싱(Phishing)의 합성어로 문자메시지를 이용한 피싱 기법입니다.
스미싱은 다음과 같이 이루어집니다.
1) ‘무료쿠폰 제공’ 등을 내용으로 하는 악성코드 주소가 포함된 문자메시지내 인터넷주소를 클릭하면
2) 악성코드가 스마트폰에 설치되어
3) 피해자가 모르는 사이에 소액결제 피해가 발생 또는 개인정보ž금융정보 탈취
주소가 포함된 휴대폰 문자를 대량으로 전송 후 이용자가 악성 앱을 설치하도록 유도하여 금융정보 등을 탈취하는 해킹 기법입니다.
여기서 중요한 것은 단지 문자메시지를 받기만 해도 스마트폰이 해킹되는 것은 아니며, 의심되는 문자메시지나 출처가 검증되지 않은 문자메시지의 링크는 절대 누르지 말아야 한다는 것입니다.
[피싱, 파밍, 스미싱 대처 방법]
피싱과 스미싱은 근본적으로 유사한 해킹 수법입니다. 의심되는 링크를 클릭하거나 출처가 확인되지 않는 앱을 설치하지 않는 것입니다.
이메일이나 문자메시지를 수신하는 행위 자체로는 해킹이 이루어지지 않습니다.
피싱과 스미싱에 대처하는 가장 좋은 방법은 절대 절대 출처가 검증되지 않은 링크를 클릭하자 말라는 것입니다.
파밍에 대한 대처 방법은 피싱과는 좀 양상이 다릅니다.
한국인터넷진흥원, 통신사, 보안업체 등은 파밍에 대한 대처 방법으로 ‘OTP 사용’, ‘보안카드번호 전부입력 금지’, ‘사이트 주소 정상 여부 확인’, ‘백신 프로그램 최신 상태 업데이트’, ‘전자금융사기 예방서비스 가입’ 등을 제안하고 있습니다.
그런데 현실은 이를 제대로 실행하기는 쉽지 않으며, 특히 악성코드에 의한 도메인 해킹은 인터넷 사용자가 꼼꼼히 주소창을 확인하여도 늘 이용하는 사이트 주소로 표시될 수 있기 때문에 대처하기가 쉽지 않습니다.
그렇다면 피싱 또는 파밍 공격에 대해 대처하는 간편하고 안전한 방법은 없는 걸까요?
있습니다.
제가 제안하는 방법은 다음의 두 가지 방법입니다.
1. 이메일, 메신저, 문자메시지 등의 링크 클릭 안 하기
(무조건 클릭하지 않습니다. 발신자와 연락을 통해 출처가 검증된 경우에 한해 매우 제한적으로 클릭합니다.)
2. 접속한 사이트의 주소와 그린바(주소창 녹색 변화) 확인
(주소창이 녹색으로 변하는 일명 그린바는 EV SSL 인증서가 설치된 경우에 확인이 가능한데요, 악성코드에 의해 도메인이 탈취된 경우에는 주소창의 주소가 올바로 적혀 있어도 그린바가 보여지지 않습니다.)
EV SSL 인증서는 국제 인증기관이 창업 후 최소 3년 이상 된 기업에 대해 서류검토, 재무제표 확인, 전화인증, 담당자확인 등의 절차를 거친 후에 발급되기 때문에 신뢰할 수 있습니다.
사실 그린바는 인터넷 서비스 제공자의 의무가 아니라 인터넷 사용자를 위한 배려입니다.
가능하면 같은 값이면 우리를 더 배려해주는 사이트를 이용하기를 권장합니다.
혹시 그린바가 없는 사이트라면 당당히 그린바 설치를 요청해 봅시다.
출처 - http://yoonsj.tistory.com/m/17
'BOX' 카테고리의 다른 글
리눅스 기본 커멘드 (0) | 2017.02.10 |
---|---|
에스에스알 정보 수집 중... (0) | 2017.02.05 |
입사지원이메일 작성요령 꿀팁 (0) | 2017.02.05 |
Python - 14.함수 (0) | 2017.02.03 |
안랩 보안 바로알기 캠페인 (0) | 2017.02.03 |
블로그의 정보
jennysgap
jennysgap