[스크랩] 안전한 인터넷의 시작 - 피싱 사이트 구분법

안전한 인터넷의 시작 - 피싱 사이트 구분법

- AhnLab 보안정보  2015년 3월 24일 -

일어나서는 안 되겠지만 누구에게나 일어날 수 있는 피싱(Phishing) 사기. 

피싱 사이트의 구분법과 예방법을 소개한다.

예전에는 PC가 바이러스에 감염돼 먹통이 되고 네트워크로 연결된 주변의 PC 사용자도 바이러스에 감염되는 것이 일반적인 피해 수준이었다. 그러나 이제는 금전적 이득을 노리고 개인정보와 금융 정보를 탈취하는 악성코드부터 사용자를 가짜 사이트로 유도하는 피싱(Phishing) 사기까지, PC 사용자는 위험에 무방비 상태로 노출돼 있다. 안전한 인터넷 사용을 위한 일환으로 피싱 예방법을 알아본다.

피싱(Phishing)은 개인정보(Private data)와 낚시(Fishing)의 합성어다. 피셔(Phisher)는 피해자에게 정부기관이나 금융기관을 사칭해 진짜 사이트처럼 가짜 사이트를 만들어 인터넷 주소가 담긴 내용의 이메일을 보낸다. 이때 피셔는 이메일에 계좌번호, 카드번호, 비밀번호 등의 확인 또는 갱신을 이유로 가짜 사이트로의 접속을 유도한다. 피셔는 가짜 사이트에 접속한 피해자에게 정보 입력을 하지 않으면 금융  거래가 중지된다는 등 불안감을 조장한다. 유명 포털 사이트나 쇼핑몰 등을 사칭하는 경우에도 이와 유사한 방식이다. 경품당첨 안내나 이벤트 참가 등을 유도하며 주민등록번호, 휴대전화번호 등 개인정보를 입력하도록 유도한다. 진짜 사이트로 판단한 피해자는 사이트에서 요구하는 대로 개인정보 변경이나 금융 정보 변경을 위해 정보를 입력한다. 그러면 피셔는 피해자가 입력한 개인정보를 탈취하거나 금융 정보를 탈취해서 현금을 인출해간다. 

정상적인 인터넷 뱅킹과 다를 땐 피싱 의심 

피싱 사기는 주로 금융 사이트에서 발생한다. 금전을 취득할 수 있기 때문이다. 평소 인터넷뱅킹을 자주 이용하는 사람이라면 인터넷 거래의 정상적인 과정을 인지하고 있으므로 도움이 될 것이다. 그렇지 않은 사용자라면 아래 내용을 숙지하면 피해 예방에 도움이 될 것이다. 

1. 로그인 과정 없이 바로 화면이 나타난다.

인터넷 뱅킹을 하려면 로그인을 해야 한다. 로그인 시 아이디와 비밀번호 입력을 통한 방법과 공인인증서로 로그인을 하는 방법이 있다. 이와 달리 피싱 사이트는 화면상의 주소창에 은행 주소만 입력하면 바로 화면이 나타난다.

2. 1개의 화면에서 금융 정보 입력을 요구한다.

금융 사이트에서는 금융 거래 시 공인인증서의 비밀번호를 입력한 후 계좌비밀번호, 보안카드 비밀번호, 계좌이체비밀번호를 단계별로 입력한다. 이체 거래 시 출금계좌번호를 선택하게 돼 있다. 하지만 피싱 사이트는 사용자에게 1개의 화면을 보여주며 금융 정보 입력을 요구한다는 점에서 차이가 있다.

3. 보안카드의 번호 입력 횟수가 많다.

정상 사이트는 인터넷 거래 시 보안카드 비밀번호 2자리를 2회 입력하도록 돼 있다. 반면 피싱 사이트는 그 이상의 자리와 횟수, 또는 전부를 입력하도록 요구한다.

대다수의 기관이나 기업에서는 이메일을 통해 사용자 ID, 암호, 주민등록번호 등 개인정보 입력을 요구하지 않으므로 사용자의 정보 변경을 요구하는 이메일을 받았다면 의심을 해봐야 한다. 또한 발신자의 이메일이 기관이 맞는지 확인한 후 메일을 열람하는 것이 안전하다. 대부분 피셔는 발신자의 메일 주소를 기관으로 속이고 있는 만큼 주소가 같을 경우 진짜 사이트를 방문해서 확인해보자. 사이트 주소를 잘 보면 가짜 사이트는 진짜 사이트 주소와 비슷하지만 글자 순서를 다르게 하거나 특수문자를 삽입하는 등 차이가 있다.

특히 이메일에 첨부된 파일 확장자가 .exe, .bat, .scr 등 압축파일이라면 열람하지 말고 즉시 삭제하는 것이 안전하다. 혹시라도 가짜 사이트를 발견하면 한국인터넷진흥원 보호나라(www.boho.or.kr)에 신고하고 피싱 메일은 삭제한다.  

피해를 입었다면 즉시 신고

그럼에도 불구하고 피싱 피해를 입었다면 112 또는 해당 금융기관 콜센터를 통해 지급정지를 요청한다. 그리고 해당 은행에 경찰이 발급한 '사건사고 사실확인원'을 제출해서 피해금의 환급 신청을 할 수 있다. 가짜 사이트에 입력했던 금융 정보는 해당 금융기관을 통해 변경하고 OTP(일회성 비밀번호 생성기)를 사용하는 것이 안전하다.

금융감독원에 따르면 보이스피싱 등 금융 피해를 입었을 때 10분 이내에 피해 사실을 신고하면 피해금액의 일부는 돌려받을 수 있다고 한다. 신고 시간이 늦을수록 피해 환급금이 줄어들기 때문에 사용자는 피해를 입었을 경우 피해 사실을 빨리 인지하는 것이 중요하다. @

피싱 사기 피해 예방을 위한 사용자 주의 사항 

● 최신 윈도 보안 패치 및 바이러스 백신 프로그램의 주기적인 업데이트 

● 피싱 사이트 차단 소프트웨어의 사용 

● 출처가 불분명한 이메일이나 첨부 파일의 열람 금지 

● PC방과 같은 공공장소의 PC에서는 인터넷 금융 거래 자제 

● 믿을 수 없는 사이트는 방문하지 않기

● 금융 거래 시에는 OPT(일회용 비밀번호 생성기) 사용하기

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23468&dir_group_dist=0>

출처 : Irene의 스크랩북

글쓴이 : Irene 원글보기

메모 :