피싱

위키백과, 우리 모두의 백과사전.
이동: 둘러보기, 검색

컴퓨팅에서, 피싱(phishing)은, 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 social engineering의 한 종류이다. ‘피싱’(phishing)이란 용어는 fishing에서 유래하였으며 private data와 fishing의 합성어이다[1] (phreaking에서 영향을 받았을 것으로 추정)[2][3], 즉 점점 더 복잡한 미끼들을 사용해서 사용자의 금융 정보와 패스워드를 ‘낚는’다는 데서 유래되었다.

피싱 사고에 대한 신고가 늘어감에 따라, 피싱을 막으려는 방법들이 필요하게 되었다. 이런 방법들에는 , 사용자 교육, 그리고 기술적인 도구들이 있다. 최근에는 컴퓨터를 이용한 피싱외에도 보이스피싱(voice phishing)이라고 하여 전화를 이용한 피싱도 등장하고 있다.

사이버 피싱[편집]

예방법:1. 메신저 비밀번호는 주기적으로 변경한다. 2. 사용하지 않는 메신저 계정이나 버디 리스트는 삭제한다. 3. 단기적인 목적으로 가입한 사이트는 사용 후 탈퇴한다. 4. 각 웹사이트의 아이디와 비밀번호는 가급적 다르게 설정, 관리한다. 5. 메신저를 최신 버전으로 업데이트하고 보안 기능을 최대로 설정, 이용한다. 6. 보안백신을 설치, 주기적으로 업데이트하고 바이러스 검사를 실시한다. 7. 메신저 피싱이 의심될 경우 즉각 버디들에게 알리고 송금중지를 요청하며 경찰, 은행에 신고 조치한다. 8. 메신저를 통한 금전 요청시 전화로 본인여부를 확인하고 타인 명의 통장으로 송금하지 않는다. 9. 사용하는 인터넷 브라우저는 최신 버전으로 업데이트하고 보안기능을 습득, 적극 활용한다. 10. 공용PC 이용시 보안검사를 실시하며 이용 후 반드시 로그아웃 버튼을 누르고 창을 닫는다.

                                                                  출처:AhnLab

피싱 특징[편집]

  • 메일을 이용해서 신뢰할 수 있는 메일 주소로 가장한다. 피싱 메일은 대부분 송신자를 사칭 하고 있다. 예를 들어 사기꾼이 시티은행인 것으로 속인다면, 이 경우는 「info@citi.com」와 같이 정상적인 메일 주소로 가장해서 무작위로 보낸다.
  • 신용카드 번호나 패스워드 입력을 요구한다. 피싱 사기꾼의 최종 목적이다. 이러한 정보를 입력해서는 절대로 안 된다.
  • 백신 소프트웨어에 검출되지 않는다. 피싱 사기의 경우 아무런 특색 없는 단순한 메일 형태로 첨부파일등이 없는 HTML 메일로서 URL을 숨길 수 있기 때문이다. 첨부파일이나 취약성을 공격하는 HTML 메일은 피싱과 구별된다.
  • 웹 사이트를 만드는 기술 이외는 특별한 기술은 아무것도 필요가 없다. 피싱 사기를 하는 방법으로 웹사이트를 만들고 메일을 보낸다. 기술이라고 해봤자 웹사이트를 작성하는 기술 뿐이기 때문에 누구라도 만들 수 있다. 대기업 사이트와 비슷하게 만드는 것도 실제 웹사이트로부터 HTML 소스와 사진을 가져올 수 있기 때문에 그렇게 어렵지 않다.

피싱 메일을 구별하는 유형[편집]

  • 유명은행, 카드사 등을 사칭하며 계좌번호, 카드번호, 비밀번호 등의 확인 또는 갱신을 유도하거나 이러한 조치를 취하지 않을 경우 거래가 중지된다는 식의 소란을 일으키거나 자극적인 문구를 사용한다.
  • 포털사이트나 쇼핑몰 등을 사칭해 경품당첨안내나 이벤트 참가 등을 유도하며 주민번호, 핸드폰번호 등의 개인정보를 입력하도록 유도한다.

피싱 사기의 구체적인 사례의 예[편집]

2003년 11월 17일 미국의 이베이 사이트 에서 '보안상의 위험으로 계정이 차단됐으니 재등록해야 한다"는 메일을 고객들이 수신하여 첨부된 링크를 클릭해 이베이 웹페이지로 가서 바로 재등록하라고 친절한 설명되어 있어 의심없이 개인정보와 금융정보를 피셔에게 넘겨주는 피해가 발생했다.

[== 피싱사기의 예방법 ==

  • 신용할 수 없는 메일의 링크를 클릭하지 않는다.
  • 의심스러운 점이 있으면 직접 사이트를 방문한다.
  • 메일 헤더를 확인한다.
  • 링크의 주소가 IP 주소인지 도메인인지 확인한다. IP일 경우 피싱 사이트일 가능성이 있음.]

힝!

신고 방법[편집]

현재 이 문단은 주로 대한민국에 한정된 내용만을 다루고 있습니다. 다른 국가·지역에 대한 내용을 보충하여 문서의 균형을 맞추어 주세요. 내용에 대한 의견이 있으시면 토론 문서에서 나누어 주세요.

피싱이라고 의심되는 메일을 받았을 경우 해당 은행, 카드사, 쇼핑몰에 신고하거나 대한민국의 경우 한국정보호호진흥원 (02)-1336 또는 (02)-118에 신고한다.

함께 보기[편집]

참조[편집]

  1. Spam Slayer: Do You Speak Spam?. 《PCWorld.com》. August 16, 2006에 확인.
  2. Phishing, n. OED Online, March 2006, Oxford University Press.. 《Oxford English Dictionary Online》. August 9, 2006에 확인.
  3. Phishing. 《Language Log, September 22, 2004》. 2011년 1월 31일에 보존된 문서. August 9, 2006에 확인.

참고문헌[편집]

  • 최창수, 미국이 온라인 피싱사기방지법과 시사점-피해자보호를 중심으로

바깥 고리[편집]