전 세계에서 가짜 금융기관 사이트를 만들어 놓고 사용자들의 방문을 유도, 개인정보를 훔쳐내는 '피싱'이 여전히 기승을 부리고 있다. 피싱 공격 중 3분의1이 결국 은행 계좌에서 돈을 훔치는 것을 목표로 했다는 점이 재차 확인됐다.
7일 카스퍼스키랩은 '2013년 사이버 금융 위협'를 통해 사이버 범죄자들이 지난해 동안 주요 은행, 온라인 상점, 전자 결제 시스템을 사칭한 피싱 공격의 비율은 31.45%로 전년대비 8.5% 증가한 것으로 조사됐다.
피싱은 특정 시스템을 목표로 개발된 악성 소프트웨어들과는 달리 웹페이지에 방문하는 것만으로도 PC, 스마트폰 등 각종 기기에 위협을 초래할 수 있다는 점에서 심각하다. 보고서에 따르면 카스퍼스키랩은 지난해 3천960만 명에 달하는 사용자가 피싱위협을 겪었고, 이에 대한 대응조치를 취했다.
사용자 금융 정보를 훔치는 피싱 사이트는 일반적으로 유명한 온라인 상점과 전자 결제 시스템, 온라인 금융 시스템의 브랜드명을 도용한다.
지난해 가장 많이 도용된 표적은 은행으로, 전체 금융 피싱의 70.6%를 차지했다. 은행권 피싱 공격 비율이 단지 52%에 불과했던 2012년에 비하면 상당히 증가한 수치다. 전체적으로 지난해 가짜 은행 웹사이트를 이용한 피싱 공격(22.2%)은 전년보다 두 배가 증가했다. 같은 기간 카스퍼스키랩이 휴리스틱 안티피싱 기술을 통해 차단한 피싱은 3억3천만건에 달한다.
공격자들은 사용자 정보를 훔치기 위해 유수 기업 브랜드명을 도용했다. 예를 들어 가짜 은행 웹 페이지를 이용한 피싱 중 약 65%가 25개 금융기관 이름을 도용했다. 전자 결제 시스템에서는 쏠림현상이 두드러졌다. 전자 결제 시스템을 표적으로 삼은 피싱 공격 중 88.3%가 페이팔, 아메리칸 익스프레스, 마스터 카드, 비자 중 하나를 도용했다.
최근 몇 년간 피싱 공격에서 가장 많이 도용된 온라인 상점은 전체 관련 공격의 61.1%를 차지한 아마존닷컴이다. 이밖에 애플, 이베이 등도 도용대상이었다.
카스퍼스키랩 세르게이 로즈킨 수석 보안 연구원은 피싱 공격은 전개가 쉽고 아주 효과적이어서 범죄자들 사이에서 큰 인기를 끌고 있다며 숙련된 인터넷 사용자들조차도 적법한 웹페이지와 이를 모방한 사기 웹사이트를 구분하기가 쉽지 않다고 설명했다. 피싱 방지 전용 솔루션 설치가 필요하다는 것이다.
카스퍼스키랩은 가정용 및 중소기업용 보안 솔루션으로 온라인 금융이나 결제 동안 사용자 데이터를 보호하는 '세이프머니' 기술을 활용하고 있다. 이밖에도 카스퍼스키랩은 다계층 보안 기술인 '사기 방지(Kaspersky Fraud Prevention) 플랫폼'을 도입해 도움을 받을 수 있다고 밝혔다. 이 기술은 고객이 사용하는 프로그램, 인터넷 거래를 검사하는 서버 솔루션, 모바일 애플리케이션 보호용 기술들로 구성됐다.
관련기사
- SKT 통신장애 보상 악용 보이스피싱 주의보2014.04.07
- 인터넷뱅킹 추가인증 노린 신종 피싱 주의보2014.04.07
- GTA5 PC버전 테스터 당첨?...피싱 주의보2014.04.07
- 작년 스미싱·보이스피싱 피해액 750억2014.04.07
피싱 범죄자들은 금융 기관 외에도 소셜네트워크서비스(SNS) 사이트를 매개로 공격을 시도하는 경우도 잦았다. 지난해 페이스북과 다른 소셜 네트워킹 사이트를 도용한 가짜 웹 페이지 피싱 공격은 6.8% 포인트 증가해 전체의 35.4%를 차지했다.
이 보고서는 카스퍼스키 보안 네트워크에 참여하고 있는 사람들이 자발적으로 제공한 데이터를 활용했다.