피싱(Phishing), 스미싱(Smishing) 그리고 파밍(pharming)

피싱(Phishing)이란?

개인정보(private data)를 낚는다(fishing)는 의미이다.

1995년도 미국에서 AOL(America Online)의 직원을 가장한 범인이 이용자들에게 계정확인이나 결제정보확인을 위해 비밀번호가 급하게 필요하다는 메시지를 보낸 사건이 최초로 기록된다. 우리나라에서는 2006년도부터의 피해통계가 존재한다.

피싱의 기법은 여러 가지이지만, 우리나라에서는 전화 등을 통해 개인정보·금융정보를 알아내거나 가짜사이트에 접속을 유도한 후 그 가짜사이트에 개인정보·금융정보를 입력하게 하고 이 정보를 이용해 돈을 인출해 가는 보이스피싱(voice phishing) 기법이 가장 문제가 됐다.

2012년부터 보이스피싱에 의한 피해사례는 줄어들어 잠시 위안을 삼고 있었지만, 새롭고 훨씬 더 강력한 금융사기 기법인 파밍이나 스미싱의 등장으로 전 국민이 또 한 번 홍역을 치루고 있다.

 

파밍이란(Pharming)이란?

① 해커가 악성코드를 배포

② 이에 감염된 PC 이용자가 금융기관의 정상적인 홈페이지 주소로 접속을 하더라도 해커가 만든 가짜사이트로 이동

③ 해커는 이 가짜사이트에서 이용자에게 보안등급상승 등의 이유로 개인정보와 금융정보를 입력 

④ 이후 해커는 이렇게 얻은 정보를 이용해 돈을 빼내가는 수법이 바로 파밍이다.

 

파밍의 핵심은 악성코드의 배포와 가짜사이트를 이용한 개인정보 및 금융정보의 탈취이다.

 

스미싱(Smishing)이란?

스미싱은 문자 SMS와 피싱의 합성어로서, SMS을 이용해 개인정보를 빼내간다는 뜻이다. 우선 가해자가 스마트폰으로 보낸 이벤트, 무료쿠폰, 대출, 사진송부 등의 메시지를 피해자가 클릭하는 순간 악성코드가 피해자의 스마트폰에 설치되고, 가해자는 이 악성코드를 이용해서 피해자의 인증정보를 알아낸 다음 피해자 몰래 소액결제를 하는 기법을 말한다.

 

공통점~

파밍이나 스미싱의 특징은 악성코드를 배포, 즉 ‘해킹’이라는 점이다.

피싱은 ‘사람’이 일을 하는 것이라면, 파밍이나 스미싱은 ‘악성프로그램’이 일을 하는 것이다.

파밍이나 스미싱의 문제점은, 해킹 방법을 이용하고 있기 때문에 피해자가 의식하지 못한 채 개인정보나 금융정보가 빠져나간다는 것, 그리고 파밍의 가짜사이트 주소와 진짜사이트의 도메인 주소가 똑같아서 피해자가 고도의 주의를 하더라도 속아 넘어가기 쉽다는 것이다.

파밍이나 스미싱과 같은 해킹에 의한 금융 사고에 대한 대책이 나오긴 하지만 만족스럽지 못하다. 파밍이나 스미싱의 피해를 줄이기 위해서는 ‘백신프로그램 설치’ 등의 소비자의 철저한 보안이나 고도의 주의도 필요하고, 정부의 홍보나 계몽도 필수적이다.

그러나 그보다 먼저 고려돼야 하는 것으로서 가장 현실적인 방법은 ‘고객 중 피해자는 최초 한 사람이면 족하다’는 사고를 가지고, ① 해킹사고에 대해서는 ‘원칙적으로’ 금융기관이 책임을 부담한다는 ‘원칙’을 세우는 것과 ② 금융기관의 정보보안 역량을 보완하고 강화하는 것이 필요하다고 본다.

작년 7월 이러한 내용을 담은 ‘전자금융거래법’ 개정안이, 정부입법으로 국회에 제안된 적이 있지만 아직 국회를 통과하지 못하고 있다. 이 ‘전자금융거래법’ 개정안의 취지를 법률에 반영시키는 것이 시급하다고 생각한다.