피싱 사이트에 대처하는 요령
2009년 1월 7일 수요일
날짜: 2009년 1월 7일 수요일
하루에도 수백만 명의 사람들이 “중요”이라고 표시된 이메일을 받고 있습니다. 이런 메일들은 바로 조치를 취하지 않으면 마치 큰 일이 날 듯 경고를 주는 내용을 담고 있습니다. 대게는 "해당 은행의 보안 시스템 교체로 인해 귀하의 개인정보를 긴급히 갱신해야 합니다. 그렇지 않을 경우 본인계좌를 사용할 수 없습니다" 라던가, "저희는 귀하의 정보를 확인하지 못했습니다. 계좌정보를 갱신하시려면 이곳을 클릭하시기 바랍니다"와 같은 경고성의 글입니다. 간혹 “3000만 달러를 당신의 계좌로 입금할 테니 도와주십시오. 그렇지 않으면 이 돈이 국가에 귀속될 것입니다”라와 같은 형태의 글도 있습니다.
이런 이메일을 받고 본문 속의 링크를 클릭하면, 진짜 같은 금융기관 웹사이트가 나옵니다. 웹사이트가 진짜인 줄 알고 사람들은 사용자명, 패스워드, 기타 개인정보를 입력하게 됩니다. 하지만 이들 정보는 확인할 수 없는 사람들의 손으로 고스란히 들어가 계좌가 해킹당하고 돈이 인출되거나 제 3자의 이름으로 새로운 부채가 설정되기도 합니다. 이는 피싱(phishing)에 당하게 되는 전형적인 예입니다.
이러한 피싱이 가능한 것은 의외로 간단합니다. 누군가 다른 사람으로 가장해 개인정보를 제공하도록 속임수를 쓰는 것입니다. 피싱 이메일은 위의 예처럼 은행은 물론이고 메일 서비스 업체, 온라인 판매나 결재대행 업체, 정부기관으로 사칭합니다. 피싱 행각은 발각되기 쉬운 경우도 있지만 많은 경우 고도의 기술을 동원해 진짜처럼 위장을 합니다. 이로 인해 "귀하의 거래은행"에서 온 가짜 메일들이 진짜처럼 보이고 가짜 "로그인 화면"으로 연결된 경우에도 모든 게 정상으로 보일 수 있습니다.
그렇다고 이러한 피싱의 공격을 막을 방법이 없는 것은 아닙니다. 아래는 간단한 예방 수칙입니다.
• 개인정보를 요구하는 이메일에 대해서는 주의한다. 계좌정보, 사용자명, 비밀번호, 주민번호 등 민감한 정보를 요구하는 이메일의 링크를 클릭할 때는 주의해야 합니다. 진짜 기업들은 대부분 이러한 개인정보를 이메일로 요구하지 않습니다. 구글도 물론 요구하지 않습니다.
• 이메일이 의심스러울 때는 링크를 클릭하지 말고 직접 해당 사이트 주소를 입력한다. 개인정보를 요구하는 이메일을 받았지만 그 내용이 타당하다고 생각되는 경우, 새로운 브라우저를 열어 평소 본인이 이용하던 웹사이트의 주소를 직접 입력하는 것이 좋습니다(북마크를 통해 해당 웹사이트를 열 수도 있습니다). 이 같은 방법을 사용하면 피싱업체의 웹사이트에 접속할 가능성을 낮출 수 있습니다. 만일 여러분이 조취를 취해야하라 무언가가 실제 있는 경우라면, 해당 업체들은 웹사이트의 알림을 통해 이런 내용을 공지할 것입니다. 여러분이 받은 요구가 무엇인지 잘 모를 경우에는 해당 업체를 직접 연락해 확인하시기 바랍니다. 해당 업체의 웹사이트에 접속해 고객지원을 위한 이메일 주소나 전화번호를 찾고 해당하는 요구가 타당한 것인지를 확인하는 데는 몇 분이면 충분합니다.
• 방문 중인 사이트가 개인정보 입력을 요구할 경우에는 수상한 점이 없는지 확인한다. 어떻게 접속됐는지는 모르겠지만 방문 중인 사이트가 개인정보 입력을 요구할 경우에는 방문 중인 사이트가 실제 해당 기관의 웹사이트인가를 확인해야 합니다. 예를 들어, URL을 확인해 실제 은행의 웹사이트인지 아니면 은행을 사칭한 다른 웹사이트(예:mybankk.com, g00gle.com.)인지 구별하는 것입니다. 보안 처리된 사이트(예: 신용카드 정보 입력을 요구하는 사이트)를 방문하고 있을 때는 주소창에서 URL 서두의 "http"와 페이지 안에 자물쇠 아이콘이 보이는지를 확인해야 합니다 (자물쇠 아이콘은 파이어폭스와 IE 6 브라우저에서는 페이지 오른쪽 하단에 나타나며, IE 7에서는 주소창 오른쪽에 나타납니다). 이들 표시는 절대 믿을 수 있는 것이기에 피싱 사이트에 당하지 않기 위한 좋은 방법입니다.
• 웹사이트에서 간혹 발견하는 "믿기지 않는 제안"이나 "엄청난 상금"은 경계한다. 사실이라고 믿어지지 않을 정도로 현혹되는 내용이 있다면, 진짜일수도 있지만 여러분의 개인정보를 노리는 피싱일 가능성이 높습니다. 온라인상에서 어떤 좋은 제안을 대가로 여러분의 개인정보 등 민감한 사안을 요구하는 경우가 있다면 해당 사이트에 많은 질문을 던져 의심스러운 점이 없는지를 확인합니다.
• 피싱 방지 필터가 있는 브라우저를 사용한다. 파이어폭스, 인터넷 익스플로러(IE), 오페라 등 최신 버전의 브라우저들은 피싱의 공격으로부터 사용자를 보호하는 필터기능을 갖추고 있습니다.
하루에도 수백만 명의 사람들이 “중요”이라고 표시된 이메일을 받고 있습니다. 이런 메일들은 바로 조치를 취하지 않으면 마치 큰 일이 날 듯 경고를 주는 내용을 담고 있습니다. 대게는 "해당 은행의 보안 시스템 교체로 인해 귀하의 개인정보를 긴급히 갱신해야 합니다. 그렇지 않을 경우 본인계좌를 사용할 수 없습니다" 라던가, "저희는 귀하의 정보를 확인하지 못했습니다. 계좌정보를 갱신하시려면 이곳을 클릭하시기 바랍니다"와 같은 경고성의 글입니다. 간혹 “3000만 달러를 당신의 계좌로 입금할 테니 도와주십시오. 그렇지 않으면 이 돈이 국가에 귀속될 것입니다”라와 같은 형태의 글도 있습니다.
이런 이메일을 받고 본문 속의 링크를 클릭하면, 진짜 같은 금융기관 웹사이트가 나옵니다. 웹사이트가 진짜인 줄 알고 사람들은 사용자명, 패스워드, 기타 개인정보를 입력하게 됩니다. 하지만 이들 정보는 확인할 수 없는 사람들의 손으로 고스란히 들어가 계좌가 해킹당하고 돈이 인출되거나 제 3자의 이름으로 새로운 부채가 설정되기도 합니다. 이는 피싱(phishing)에 당하게 되는 전형적인 예입니다.
이러한 피싱이 가능한 것은 의외로 간단합니다. 누군가 다른 사람으로 가장해 개인정보를 제공하도록 속임수를 쓰는 것입니다. 피싱 이메일은 위의 예처럼 은행은 물론이고 메일 서비스 업체, 온라인 판매나 결재대행 업체, 정부기관으로 사칭합니다. 피싱 행각은 발각되기 쉬운 경우도 있지만 많은 경우 고도의 기술을 동원해 진짜처럼 위장을 합니다. 이로 인해 "귀하의 거래은행"에서 온 가짜 메일들이 진짜처럼 보이고 가짜 "로그인 화면"으로 연결된 경우에도 모든 게 정상으로 보일 수 있습니다.
그렇다고 이러한 피싱의 공격을 막을 방법이 없는 것은 아닙니다. 아래는 간단한 예방 수칙입니다.
• 개인정보를 요구하는 이메일에 대해서는 주의한다. 계좌정보, 사용자명, 비밀번호, 주민번호 등 민감한 정보를 요구하는 이메일의 링크를 클릭할 때는 주의해야 합니다. 진짜 기업들은 대부분 이러한 개인정보를 이메일로 요구하지 않습니다. 구글도 물론 요구하지 않습니다.
• 이메일이 의심스러울 때는 링크를 클릭하지 말고 직접 해당 사이트 주소를 입력한다. 개인정보를 요구하는 이메일을 받았지만 그 내용이 타당하다고 생각되는 경우, 새로운 브라우저를 열어 평소 본인이 이용하던 웹사이트의 주소를 직접 입력하는 것이 좋습니다(북마크를 통해 해당 웹사이트를 열 수도 있습니다). 이 같은 방법을 사용하면 피싱업체의 웹사이트에 접속할 가능성을 낮출 수 있습니다. 만일 여러분이 조취를 취해야하라 무언가가 실제 있는 경우라면, 해당 업체들은 웹사이트의 알림을 통해 이런 내용을 공지할 것입니다. 여러분이 받은 요구가 무엇인지 잘 모를 경우에는 해당 업체를 직접 연락해 확인하시기 바랍니다. 해당 업체의 웹사이트에 접속해 고객지원을 위한 이메일 주소나 전화번호를 찾고 해당하는 요구가 타당한 것인지를 확인하는 데는 몇 분이면 충분합니다.
• 방문 중인 사이트가 개인정보 입력을 요구할 경우에는 수상한 점이 없는지 확인한다. 어떻게 접속됐는지는 모르겠지만 방문 중인 사이트가 개인정보 입력을 요구할 경우에는 방문 중인 사이트가 실제 해당 기관의 웹사이트인가를 확인해야 합니다. 예를 들어, URL을 확인해 실제 은행의 웹사이트인지 아니면 은행을 사칭한 다른 웹사이트(예:mybankk.com, g00gle.com.)인지 구별하는 것입니다. 보안 처리된 사이트(예: 신용카드 정보 입력을 요구하는 사이트)를 방문하고 있을 때는 주소창에서 URL 서두의 "http"와 페이지 안에 자물쇠 아이콘이 보이는지를 확인해야 합니다 (자물쇠 아이콘은 파이어폭스와 IE 6 브라우저에서는 페이지 오른쪽 하단에 나타나며, IE 7에서는 주소창 오른쪽에 나타납니다). 이들 표시는 절대 믿을 수 있는 것이기에 피싱 사이트에 당하지 않기 위한 좋은 방법입니다.
• 웹사이트에서 간혹 발견하는 "믿기지 않는 제안"이나 "엄청난 상금"은 경계한다. 사실이라고 믿어지지 않을 정도로 현혹되는 내용이 있다면, 진짜일수도 있지만 여러분의 개인정보를 노리는 피싱일 가능성이 높습니다. 온라인상에서 어떤 좋은 제안을 대가로 여러분의 개인정보 등 민감한 사안을 요구하는 경우가 있다면 해당 사이트에 많은 질문을 던져 의심스러운 점이 없는지를 확인합니다.
• 피싱 방지 필터가 있는 브라우저를 사용한다. 파이어폭스, 인터넷 익스플로러(IE), 오페라 등 최신 버전의 브라우저들은 피싱의 공격으로부터 사용자를 보호하는 필터기능을 갖추고 있습니다.
이 정도면 아주 간단하지요? 요약하면 이렇습니다. 누군가 여러분의 개인정보 등 민감한 정보를 온라인 상에서 요청했을 경우, 잠깐이라도 해당 요청사항을 진지하게 생각해 보는 것입니다. 이렇게 하면 여러분은 인터넷을 안전하게 사용할 수 있고, 피싱업체들이 발을 붙이지 못하도록 하는 저희의 노력에도 큰 도움이 될 것입니다.
작성자: 구글 보안팀 이안 페트(Ian Fette)
작성자: 구글 보안팀 이안 페트(Ian Fette)
