[취재파일] 드라마 '유령'이 현실로? '파밍' 주의보

요즘 즐겨보는 드라마 가운데 <유령>이 있습니다. 대기업 사주 일가족이 개인적 복수를 위해 해커들을 동원해 정보를 빼내고 살인까지 일삼는 내용이 흥미진진하게 펼쳐집니다. 이 드라마를 보면서 놀랐던 것은 백신프로그램에 악성파일을 심어놓았더니 이 백신프로그램을 정상적으로 내려 받은 컴퓨터를 자신의 손바닥처럼 들여다 볼 수 있다는 것이었습니다. 그런데 이런 해킹 공격이 드라마 속에서만 일어나는 일이 아니었습니다.

몇 달 전 기사와 취재파일을 통해 진짜와 비슷한 가짜 은행 사이트를 만들어 계좌 비밀번호와 보안카드 번호를 빼낸 뒤 인터넷 뱅킹 이용자의 예금을 인출해 가는 피싱 사기단 소식을 전해드린 적이 있습니다. 처음에는 불특정 다수를 상대로 문자를 보냈다가 나중에는 문자를 받는 사람의 계좌번호와 이름까지 알아내 문자를 보내는 수준까지 발전했고 무심코 접속해 방문하면 정보를 빼내간다는 수법이었습니다. 보도 이후 소비자 주의보가 발령되고 많은 사람들이 알게 되면서 피해 사례가 줄어들고 있었는데 이들 사기단이 해킹 기술을 피싱 사기에 접목시켜 드라마 <유령> 같은 방식으로 고객 정보를 빼내기 시작했습니다. 상황이 더 심각해 진 것입니다.
 

현재까지 밝혀진 유포 수법은 이렇습니다. 일단 해커들이 파일공유사이트에 최신영화 동영상을 올려놓고 여기에 악성파일을 숨겨놓습니다. 이 동영상을 내려 받은 컴퓨터는 이용자도 모르는 사이 악성파일에 감염됩니다. 초기 수법이 이랬습니다. 그러다가 이번에는 웹 하드를 해킹해서 수동 설치프로그램에 악성파일을 심어놓았습니다. 이용자가 많은 웹 하드 사이트를 이용하려면 수동 설치프로그램을 실행해야 하는 경우가 있는데 역시 내려 받는 순간 감염됩니다. 심지어 프로그램을 내려 받지도 않고, 주식사이트나 교육사이트를 단순히 방문했는데도 악성파일이 설치된 경우가 있습니다. 불특정 다수에게 전파되는 수준까지 올라온 것입니다.

이런 수법으로 악성파일이 설치되면 악성파일로부터 공격 대상이 된 사이트는 그때부터 컴퓨터 이용자가 정상적인 주소를 넣어도, 포털 검색에서 해당 사이트를 찾아 접속해도, 즐겨찾기에 등록해 놓은 주소라고 해도, 해커들이 만들어 놓은 가짜 사이트로 방문하게 됩니다. 분명히 정상적인 입구로 들어갔는데 미로 같은 복도를 지나고 보니 엉뚱한 방에 가게 되는 셈입니다. 이런 공격 방식을 금융권에서는 피싱 사기와 구별하기 위해 파밍(Pharming)이라고 부르는데 간단히 말하면 악성파일로 컴퓨터를 공격해서 금융정보를 빼내는 방식입니다.

파밍 수법이 무서운 점은 대부분 속기 쉽다는 것입니다. 자신이 방문한 은행 사이트의 주소가 진짜고, 사이트 모양도 진짜와 거의 같은데다가 악성파일을 유포하는 방식도 정상적인 프로그램이 제대로 실행되는 과정에서 심어진 것이기 때문입니다. 더욱이 최근 발견된 악성파일을 살펴보면 보안업체들의 백신프로그램까지 공격 대상으로 삼고 있습니다. 컴퓨터에 설치된 백신프로그램이 자동 실행되면서 악성파일을 삭제하지 못하도록 하기 위해서입니다. 보안업체 사이트도 공격 대상이 되다 보니 역시 인터넷 주소 창에 보안업체 주소를 쳐도 주소는 진짜지만 엉뚱한 가짜 사이트로 이동하게 됩니다.

지난달 중순 처음으로 발견된 악성파일이 지금까지 공격 대상으로 삼은 사이트는 KB국민,농협,신한,우리, 외환 등 은행 사이트와 안랩, 알약, nProtect 등 보안업체 사이트, 그리고 최근 은행들이 보안 강화를 위해 주소 창 색깔을 변하게 하는 기술을 쓰는데 이 기술을 실행하는 Verisign이란 업체 사이트입니다. 하루가 다르게 공격 대상은 늘어가고 있고 유포 방식도 진화하고 있습니다. 이런 수법에 걸려 예금이 탈취된 피해자들까지 등장했습니다.

은행들은 비상이 걸렸습니다. KB국민은행과 농협이 먼저 고객들에게 경고문을 올려 알렸습니다. 다른 은행들은 별다른 조치를 고객들에게 하지 않았는데 26일 <SBS 8 뉴스>에서 이 소식을 전한 뒤 금융감독원이 서둘러 대책을 내놓았습니다. 우선 인터넷 뱅킹 이용자들에게 파밍 주의보를 발령했고 은행들을 상대로도 인터넷 뱅킹 시스템의 안정성을 높이도록 지시했습니다. 정상적인 사이트와 가짜 사이트를 구별하기 위해 인터넷 뱅킹 이용자가 사전에 개인 이미지 등을 인터넷 뱅킹 사이트에 표시하도록 했고 추가 인증 시스템을 마련하도록 지도했습니다. 공인인증서를 재발급하려면 사전에 지정한 단말기에서만 가능하도록 하는 방안도 3분기 안에 도입되도록 추진하기로 했습니다.

그나마 다행인 것은 아직까지 이런 해킹 기술을 결합한 사기를 구별할 수 있는 마지막 수단이 있습니다. 해커들은 최종 단계에서 고객들에게 보안카드 번호를 모두 입력하도록 요구합니다. 하지만 금융회사에서는 보안카드 번호 전체를 요구하는 일이 결코 없습니다. 2~3자리만 요구합니다. 따라서 아무리 정상적인 인터넷 주소이고 화면까지 똑같다고 하더라도 최종 단계에서 보안카드 번호를 모두 요구한다면 그 즉시 창을 닫고 악성파일 치료를 전문가에게 의뢰해야 합니다. 그런 다음 업데이트한 백신프로그램을 가동해 예방해야 합니다. 또한 은행에서 보안승급이나 보안등급 서비스를 요구하는 일은 없다는 점도 알아두실 필요가 있습니다.