2013년 4월 19일

피싱, 파밍…
최근 뉴스에 많이 오르내리는 기술 용어죠…
피싱은 해킹 기법 중에 나름 사회공학적(으로 사람을 속여서 정보를 획득하는)인 인간적인(?) 방법입니다.
전화로 은행을 사칭하고 개인정보와 비밀번호를 알아내는게 보이스-피싱이라면… 인터넷 웹페이지로 은행과 똑같은 가짜 사이트를 만들어 사용자를 낚은 다음, 개인정보와 비밀번호를 뽑아내어 악용하는게 웹사이트-피싱입니다.
그런데, 웹브라우저의 주소 입력란을 자세히 보거나 상태표시줄만 보아도, 가짜 피싱사이트 주소임을 알아낼 수 있다는 점이 걸림돌입니다. 그래서, 사용자의 컴퓨터에 악성코드를 심어서 가짜 주소를 진짜 주소로 속인 다음에 피싱을 시도하는 것을 파밍이라고 합니다.

예를들어 가짜 농협 사이트를 nornghyp.co.kr 이라고 만들어서 메일을 통해 접속을 유도하면… 대부분 의심없이 접속을 하게 되지만, 눈썰미 좋은 사용자는 nornghyup이 nonghyup과 다름을 알고 피해가게 됩니다. (혹시 nornghyup이 올바른 농협 사이트 주소라고 생각하시는건 아니겠죠?)

이 때, 악성코드가 먼저 동작하여 주소를 진짜처럼 nonghyup.co.kr 으로 보여지도록 할 수 있습니다. 그 기법이야 여러 가지겠지만, 결과적으로 사용자가 전혀 눈치챌 수 없게 속이는 거죠…
이 방법을 잘 이용하면 daum, naver? 의 비밀번호를 모조리 다 빼낼 수 있습니다. 설령 속아넘어가더라도 피해를 최소화 하기 위해, 평소 메일을 통해 개인정보나 신상정보를 관리하고 보관하는 습관을 완전히 정리하시기를 권장합니다.
아래 링크는 손대지 않은 daum.net 사이트의 복제(가짜) 페이지입니다.
http://www.mcnorton.com/daum.net/
여기서 주소를 파밍기법으로 은폐한다면… 감쪽같겠죠? 지금은 수술 전이라 페이지의 이미지들이 깨져서 제대로 보이지 않지만, 정보화 연수용으로 에러 코드들을 말끔히 수정하고, 아이디/비번을 도둑질하는 코드를 넣을 계획입니다.

아울러, 공공장소에서 사용하는 무료 Wifi 서비스로 금융서비스나 로그인, 메일 등을 이용하지 마세요. 해커의 노트북으로 만든 가짜 Wifi 존에 접속하게 되면, 개인정보 깨끗하게 도둑질 당하실 수 있습니다.

MS의 인터넷익스플로러 보다 구글크롬이나 파이어폭스를 이용하시는 것도 피싱/파밍을 예방하는데 나쁘지 않은 방법이 됩니다. (대한민국은 ActiveX 를 과도하게 이용하기 때문에 은행과 차세대나이스를 이용하기 위해서 어쩔 수 없이 인터넷익스플로러를 이용할 수 밖에 없지만…)
왠만한 포털이나 웹사이트는 표준화를 잘 지키고 있어서 구글크롬/파이어폭스로도 충분히 이용하실 수 있습니다.