2020-06-02 21:25 (화)
금융기관 피싱공격 70% 이상...은행이 타깃
상태바
금융기관 피싱공격 70% 이상...은행이 타깃
  • 길민권
  • 승인 2014.04.07 13:43
이 기사를 공유합니다

피싱 공격 30% 이상 목적은 돈...2012년보다 8.5% 증가
사이버 범죄자들은 과거 어느 때보다 금융 기관을 사칭한 가짜 사이트를 만들어 사용자의 비밀 정보를 빼내고, 은행 계좌에서 돈을 훔치는 데 열중하고 있다. 2013년 한 해 동안 유수 은행, 온라인 상점, 전자 결제 시스템을 사칭한 피싱 공격의 비율은 31.45%로 2012년 보다 8.5% 증가한 것으로 조사됐다.

 
카스퍼스키랩의 연구 보고서인 '2013년 사이버 금융 위협(Financial Cyber Threats in 2013)'에 소개된 데이터에 따르면, “피싱은 사이버 범죄자들이 가짜 웹 페이지를 이용해 사용자들의 비밀 데이터를 빼내는 불법 및 부정 행위이다. 이런 피싱 공격은 특정 운영 시스템을 대상으로 개발된 악성 소프트웨어와 달리 웹 페이지에 접속할 수 있는 모든 기기와 장치에 위협을 초래한다. 사기 범죄자들 사이에 피싱 공격이 '인기'를 끌고 있는 이유가 여기에 있다. 2013년 한해만 해도 카스퍼스키랩은 3천960만 명에 달하는 사용자를 이런 사이버 위협으로부터 보호했다”고 밝혔다.
 
사용자의 금융 정보를 훔치는 피싱 사이트는 일반적으로 유명한 온라인 상점과 전자 결제 시스템, 온라인 금융 시스템의 브랜드 명을 도용한다. 2013년 가장 많이 도용된 표적은 은행으로, 전체 금융 피싱의 70.6%를 차지했다. 은행권 피싱 공격 비율이 단지 52%에 불과했던 2012년에 비하면 이는 상당히 증가한 수치다. 전반적으로 2013년 가짜 은행 웹사이트를 이용한 피싱 공격은 (22.2%로) 두 배가 증가했다.

2013년 카스퍼스키랩의 휴리스틱 안티피싱 기술은 2012년보다 22.2%가 증가한 총 3억 3,000만 건의 공격을 차단했다.
 
사기 범죄자들은 범죄를 통해 큰 이득을 얻기 위해 방대한 고객 데이터베이스를 보유한 유수 기업들의 브랜드명을 도용했다. 예를 들어, 가짜 은행 웹 페이지를 이용한 피싱 공격 가운데 약 65%가 도용한 금융 기관의 명칭은 단 25개에 불과했다.
 
전자 결제 시스템에서는 이런 '집중화' 현상이 더 두드러진다. 전자 결제 시스템을 표적으로 삼은 피싱 공격 중 88.3%가 국제적 브랜드인 페이팔, 아메리칸 익스프레스, 마스터 카드, 비자 중에서 하나를 도용했다.
 
최근 몇 년간, 피싱 공격에서 가장 많이 도용된 온라인 상점은 아마존닷컴(Amazon.com)이다. 온라인 상점을 도용한 피싱 공격의 61.1%에서 아마존닷컴이 도용됐다. 다음으로는 애플(Apple)과 이베이(eBay)가 가장 많이 도용됐지만, 아마존에는 크게 못 미친다.
 
카스퍼스키랩의 세르게이 로즈킨 수석 보안 연구원은 "피싱 공격은 전개가 쉽고 아주 효과적이어서 범죄자들 사이에서 큰 인기를 끌고 있다. 숙련된 인터넷 사용자들조차도 적법한 웹 페이지와 이를 모방한 사기 웹사이트를 구분하기가 쉽지 않다. 때문에 이에 대처할 수 있는 전용 보호 솔루션 설치가 더욱 중요한 것이다. 피싱에 도용된 기업이 금전적으로 피해를 보는 것은 물론이고 피싱에 악용될 수 있는 브랜드로 인식되기 때문에 평판에도 큰 타격을 입는다"고 말했다.
 
피싱 범죄자들은 금융 기관의 웹 사이트만 도용하지 않는다. 소셜 네트워킹 사이트를 매개체로 삼아 공격을 하는 사례도 잦다. 2013년 한 해 페이스북과 다른 소셜 네트워킹 사이트를 도용한 가짜 웹 페이지 피싱 공격은 6.8% 포인트 증가해 전체의 35.4%를 차지했다.
 
카스퍼스키랩이 발표한 ‘2013년 사이버 금융 위협' 보고서는 카스퍼스키 보안 네크워크(Kaspersky Security Network)에 참여하고 있는 사람들이 자발적으로 제공한 데이터를 사용하고 있다. 카스퍼스키 보안 네크워크(Kaspersky Security Network)는 카스퍼스키 랩 제품 사용자가 직면한 위협에 관한 객관적인 데이터를 신속하게 처리할 수 있도록 설계된 글로벌 분산형 클라우드 기반 인프라스트럭처이다. 카스퍼스키랩의 웹 안티피싱 감지를 토대로 피싱 공격에 대한 통계를 수집할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com