예금잔액 1천만원 이상 있는 고객에게는 1억원까지 대출이 가능합니다.
사용자들을 현혹시켜 가짜 은행사이트로 접속을 유도한 뒤 개인정보나 금융정보를 탈취하는 피싱 수법이 날로 진화하고 있다. 이러한 피싱 사기는 사전에 이용자들이 몇몇 피싱 수법의 공통점을 파악해 두는 것으로 피해를 막을 수 있다.
8일 보안업계는 가짜 은행사이트를 이용한 피싱 사기 예방법을 소개했다. 올 상반기 이후 관련 피싱 피해가 줄어들고 있지만, 직접적인 금융 피해가 일어날 수 있어 여전히 주의가 요구된다.
우선 사용자 입장에서 가장 눈여겨 봐야할 부분은 실제 은행사이트가 맞는지를 정확히 판별하는 일이다. 예를 들어 KB국민은행의 본래 사이트 주소는 'kbstar.com'이지만 피싱사이트는 'kbstort.com', 'k1bstar.com', 'kbstrr.com' 처럼 비슷한 형태를 가진다. 사이트에 접속한 뒤 주소(URL)를 눈여겨보는 것만으로 금융사기 위험성을 줄일 수 있다.
또한 보안카드번호 전체를 요구하는 은행사이트가 없다는 점도 피싱 여부를 구분할 수 있는 방법 중 하나다. 보통 인터넷뱅킹을 이용할 때는 공인인증서 로그인, 비밀번호 입력, 보안카드번호 입력 등의 과정을 거친다. 이체나 조회 서비스를 이용할 때는 은행에서 발급받은 보안카드에서 네 개의 숫자를 물어볼 뿐 그 이상을 요구하지 않는다.
반면 피싱사이트는 고객정보 유출사건이 많다며 보안강화 서비스 신청을 요청하며 보안카드에 있는 모든 숫자를 입력하도록 유도한다.
잉카인터넷 블로그는 보안강화 서비스 또는 보안승급 서비스라는 내용이 나올 경우 100% 피싱용 웹사이트라고 밝혔다.
한국인터넷진흥원(KISA)에 따르면 피싱메일이나 게시글의 특징은 메일 수신자의 이름이나 회원번호를 명시하지 않는다. 또한 링크 주소 클릭을 유도해 사이트에 접속시 개인정보를 입력하도록 요구한다. 이 같은 사기에 대응하기 위해 KISA는 무엇보다 이용자 스스로 피싱메일이나 사기성 이벤트 등에 현혹돼 개인정보를 제공하는 일이 없도록 주의해야한다고 당부했다.
최근에는 링크를 통하지 않고 정상적인 사이트 주소를 입력해도 피싱사이트로 연결되도록하는 파밍 기법이 성행하고 있다. 해킹을 통해 사용자의 PC에 악성코드를 심어 아예 별도의 프로세스가 실행되도록 하는 방식이다.
그러나 이 같은 신종수법도 최종적으로는 사용자의 개인정보 탈취가 목적이라는 점에서 보안강화 서비스를 목적으로 보안카드번호 전체를 물어보는 등 과도한 정보를 요구할 경우 의심할 필요가 있다.
금융사기가 기승을 부리면서 은행들도 대비책 마련에 고심하고 있다. 인터넷뱅킹 시 모든 본인확인 절차를 걸치고 나서 스마트폰 등 본인 소유의 기기를 통해 한번 더 인증을 받도록 하는 '2채널 인증'이 사용된다.
관련기사
- “피싱 꼼짝마”…정부, 내년 ‘피싱대응센터’ 설치2012.10.08
- 통신사업자 보이스피싱 방지 의무 법제화2012.10.08
- 문자메시지도 조심...신종피싱 ‘스미싱’ 경보2012.10.08
- "보안승급 요청 피싱 주의하세요"2012.10.08
KB국민은행의 경우 '개인화 이미지'라는 서비스를 통해 피싱사이트와 일반사이트를 구분할 수 있도록 하고 있다. 사용자가 은행사이트 화면 내에 특정한 영역에 개인이 설정한 이미지를 등록하게 했다. 사이트에 방문해 로그인 했을 때 사용자가 설정한 이미지가 보이지 않거나 위치, 색상이 달라졌을 경우 피싱사이트에 접속한 것으로 의심해 볼 수 있다.
KISA 종합관제센터 신화수 팀장은 피싱이 발생하는 자체를 막기는 힘들기 때문에 사용자들이 보다 주의를 기울일 필요가 있다고 밝혔다.