• youngmiyou

은행 고객을 노리는 정보 도둑

12월 20일 타게스 안차이거 지면 기사의 타이틀은 „데이터 도둑이 UBS 고객을 노린다“였다. 인터넷 기사엔 은행 고객으로 바꿨다. 기사가 나간 후 UBS로부터 항의를 받았을까? UBS가 가장 많은 공격을 받은 것인지, 다른 은행이나 기업이 신고를 안 한 것인지는 알 수 없으나 여차하면 감쪽같이 당할 수 있는 피싱에 관한 기사다.


정보 도둑이 은행 고객을 노린다


Tages Anzeiger 12월 20일 목요일 – Barnaby Skinner


연방 정부에 신고된 만 5천 건 이상의 신고에 대한 분석 평가는 특히 어떤 회사가 정보도난 공격시도를 받았는지 보여준다.


연방정부의 정보보호신고분석센터 (Melani)는 2014년 중반 이후 만 5천 건 이상 스위스 이용자 정보를 훔쳐 가려는 웹사이트와 맞닥뜨렸다. 전문용어로 이른바 피싱이라 부르는 것이다. 사이버 공격자는 은행이나 텔레콤 회사, 혹은 온라인매장의 웹사이트를 모방해서 만들고 이메일 주소, 전화번호, 비밀번호, 신용카드번호 같은 개인 정보를 훔친다.


특히 UBS 은행 고객이 공격을 많이 받았다. 연방 정부에 의해 등록된 가짜 웹사이트 중 800여 곳 이상이 UBS 은행 상품을 모방했다. 이는 전체 사건 중 5.4% 이상에 해당한다. 특히 지난 몇 달간 이 대형 스위스 은행과 관련된 피싱 의심 사례가 크게 증가했다. 10월에만 모두 121건의 신고가 들어왔다. 절대적인 최고 수치다. 이번 달에는 스위스 관청에 신고된 피싱 신고 4건 중 하나가 UBS 고객을 노린 피싱 공격이었다.


웹사이트를 이용한 피싱 공격은 다음과 같은 방법으로 진행된다. 사이버 범죄자는 인터넷 데이터뱅크, 온라인포럼, 다크넷에서 이메일 주소를 수집해 다수의 이용자에게 예를 들면 UBS의 이름으로 메일을 보낸다. 수신자는 그 이메일에서 신용카드 번호를 확인해 달라거나 3D 보안 같은 새로운 서비스를 위해 이용자 이름과 비밀번호를 쓰고 로그인하라는 식의 요구를 받는다. 사실 이 기술은 UBS 신용카드를 인터넷에서 이용할 때 더 안전하게 만드는 기술이다.

그런데 이 경우엔 정반대의 일이 벌어지는 것이다. 신용카드가 보호되는 게 아니라 도둑의 손에 넘겨지는 것이다. 도둑들은 이를 위해 ubs-online-digital.com이나 ubs-e-banking.com처럼 첫눈에 봐서는 이상하다고 생각되지 않는, 살짝 변형한 웹사이트들로 작업한다. 하지만 가짜 3D 보안 신청을 위한 온라인 신청서는 은행 서버에 있지 않고 범죄자의 서버에 존재한다. 이용자는 눈치채지 못하고 자신의 정보를 사이버 범죄자에게 넘겨준다.



가짜 웹 신청서는 첫눈에 봐서는 굉장히 그럴 듯하다.



지난 몇 주간 특히 수많은 피싱 공격과 싸워야 했던 또 다른 회사는 선라이즈Sunrise다. 그래도 UBS보다는 훨씬 낮은 수준이다. 2014년 이래 100건 가까이 되는 신고가 멜라니(Melani)로 들어왔다.


범죄자들은 선라이즈 고객이 진짜 선라이즈 메일 사이트에 있다고 속여 믿게 하려 했다. 그들은 그걸 위해 mipsunrise.weebly.com라는 주소를 이용했다. 이용자는 지금 막 자신의 이메일 주소를 범죄자의 손에 넘겨줬다는 것조차 알아채지 못하는 경우가 자주 있다. 여기서 공격을 훨씬 더 정교하게 만드는 건 이용자가 로그인하자 마자 진짜 메일 포탈로 옮겨간다. 여기서 그들은 다시 한번 메일 주소를 입력해야 하지만 대부분 이용자들은 그저 바로 전에 비밀번호를 잘 못 입력했거니 생각한다.



웹 주소 mipsunrise.weebly.com는 좀 이상하다 느껴지지만, 서식 자체는 아주 그럴싸하다.

얼마나 많은 고객이 정말로 이런 피싱 술수에 넘어가는지 추정하기는 쉽지 않다. 전문가에 따라 1% 가 채 되지 않는다는 의견부터 2%까지 다양하게 추정한다. 하지만 대부분 사이버 범죄자에겐 그 정도면 충분하다. 그들은 한 번에 만 명의 이용자들에게 대량 이메일을 발송할 수 있다. 그 중 0.01 프로의 이용자만 사기에 넘어간다 해도, 100여명의 성공사례를 만들어낼 수 있는 것이다.


연방정부 신고센터Melani는 은행이나 텔레콤 회사가 사이버 범죄자들의 표적이 되는 건 당연하다고 한다. 도둑은 은행에서 E-뱅킹 데이터나 신용카드 번호에 접근할 수 있게 되길 바란다. 텔레콤 회사에서 공격자는 대부분 이메일 주소에 관심을 보인다. 그렇게 얻은 이메일 주소를 이용자 모르게 다른 피싱 공격에 악용하기 위함이다. 그 중에서도 하필 UBS와 Sunrise사가 표적이 된 건 우연이라고, Melani는 보고 있다. Melani의 대변인 기슬라 키프는 „특정 회사에 일시적으로 집중되는 현상이 자주 나타난다“라고 설명한다.


선라이즈사는 Phishtank.com에 실린 Melani 데이터 분석 결과에 반박했다. 정보가 불완전하다는 것이다. Melani가 모든 것을 Phishtank에 신고하지 않았을 것이라는 말이다. 게다가 스위스의 모든 회사가 선라이즈사처럼 일관되게 피싱 신고를 하진 않을 것이라고 한다. 선라이즈사 대변인 롤프 치볼트 Rolf Ziebold는 „솔직하고 일관되게 신고함으로써 고객을 보호하는 회사가 공개 비판을 받고 있는 것 같다“ 라고 말한다. 문제는 기업이 피싱 사고를 신고하는 게 법적으로 의무화되어있지 않다는데 있다고 말한다. 내부 정보에 의하면 경쟁사는 심지어 더 많은 피싱 공격과 싸우고 있다고도 했다. 치볼트Ziebold는 „ 선라이즈사가 피싱 공격에 더 많이 노출되어있다는 주장은 오류다. 오히려 정반대다. “ 라고 했다.


실제로 예를 들어 스위스콤의 경우는 2014년 이래 선라이즈사보다 조금 더 많은 123건의 신고가 있었다고 보고되어있다. 하지만 2016년 초 이후 선라이즈사를 향한 공격이 많아진 데 비해 스위스콤을 향한 공격은 약간 줄어들었다. Phishtank.com정보를 분석해 나온 결과이다.


관련한 질문에 대해 UBS 사의 언론 담당자는 지금 자사에 대한 피싱 사례가 늘어난 건 현재 진행 중인 시스템 변경에 그 원인이 있다고 말했다. UBS 고객들은 새롭게 앱을 통해 E-뱅킹 승인을 할 수가 있다. 모든 고객이 그렇게 시스템을 바꿀 때까지 아마 사이버 범죄자들은 이전의 낡은 시스템을 최대한 이용할 것이라는 게 은행이 주장하는 논리다. 마르코 토마시나 Marco Tomasina는 „하지만 사기사건의 성공 사례가 더 많아진 건 아니다. 성공률은 아주 낮은 수준으로 유지되고 있는데, 그건 고객들이 주의를 기울이도록 우리가 노력하고 있는 것도 한 몫 한다고 생각한다. „


멜라니에서 검토된 피싱 신고 사례들은 스위스 기업이나 국민들이 피싱처럼 보인다며 연방 신고 센터에 신고한 것들이다. 연방 정부는 2015년부터 의심 가는 웹사이트를 신고할 수 있는 웹사이트 www.antiphishing.ch를 직접 운영하고 있다.


가짜 웹 링크는 일단 자동 검색된다. 필터링 되지 않은 것들은 멜라니 직원이 수동으로 조사해 IT 보안 소프트웨어사나 인터넷 공급회사, 그리고 피시탱크Phishtank서비스로 보낸다. 보안회사나 인터넷 공급회사는 아무것도 모른 채 서핑을 하고 있는 이용자를 위험한 웹사이트로부터 보호하기 위해 그 정보를 이용한다. 이런 자동적인 사전 차단 과정 덕분에 인터넷 이용자가 실제 위험 사이트에 접촉할 가능성 자체가 사라지는 경우도 많다.


하지만 멜라니 신고가 다 맞는 건 아니다. 신고센터 역시 실수를 하기도 한다. 지금까지 15,000건의 신고 중 21개 사이트는 분명히 피싱 사이트가 아니었다. 그 중엔 예를 들어 연방 에너지청이나 우체국 은행의 웹주소도 포함되어 있었다. 2017년 12월 26일 멜라니는 심지어 Google.ch가가이 피싱사이트라며 신고하기도 했다. 그냥 들으면 가볍게 웃어넘길 수 있을 것 같지만, 사실 잘못된 피싱 신고는 기업들에 불편한 결과를 가져올 수 있다. 알 수 없는 이유로 기업들이 블랙리스트에 오르면 웹 내용이 부분적으로 고객에게 차단되기도 한다.


연방정부 정보신고센터 멜라니는 제삼자의 손에 넘기는 건들은 수동으로 검토한다고 설명한다. 그러는 중에 실수가 발생하기도 한다는 것이다. 멜라니 대변인 기슬라 키프는 „ 우리는 가능한 오류 발생 확률이 낮게 유지될 수 있도록 주의를 기울인다. 만5천 건 중 21개의 사이트는 대략 오류 발생 확률 0.1% 에 해당한다. „ 라고 말한다.


Phishtank.com에 신고됐다고 해도 그 커뮤니티가 먼저 피싱 신고가 진짜인지 아닌지 검사하기 때문에 해당 기업이 영향을 받는 건 아니다. 하지만 텔레콤 회사들은 그와 달리 시스템이 부분적으로 자동화되어 있어서 위조 웹주소를 실수로 넘겼다 해도 블랙리스트에 오를 수 있다.


피싱 올가미에 스스로 걸려 들어가는 일이 없도록 연방정부 신고센터는 다음 사항을 추천한다. 첫 번째, 요구하지 않았는데 보내온 이메일들을 의심한다. 신뢰할 수 있다고 생각하는 회사들에서 보내온 것도 마찬가지다. 왜냐하면 그런 회사들일수록 위조 발신 주소로 잘 악용되기 때문이다. 두 번째, 이메일을 통해 금전상의 손실이라든가, 고발, 계좌나 신용카드 차단, 잃어버린 기회, 불행 등을 거론하며 위협하는 경우 항상 조심해야 한다. 가장 중요한 것은 절대 의심쩍은 이메일을 열거나 함께 온 파일이나 링크를 클릭하지 않는다.


다음은 멜라니가 피싱 웹이라 실수로 신고한 21개사의 웹주소들이다.

21 Sites hat Melani falsch gemeldet

1 https://banking.credem.it/newvir/login/login

2 https://www.romande-energie.ch

3 http://www.anibis.ch/default.aspx?wl=1&lng;=fr

4 https://www.mastercard.ch/de-ch.html

5 https://www.postfinance.ch

6 https://www.ricardo.ch/

7 http://blocked.transip.nl/

8 https://sellercentral.amazon.de

9 http://batterymart.com.au/

10 https://www.google.ch/

11 http://www.bfe.admin.ch/

12 http://teverganadeasfaltos.es/

13 http://domeneshop.no.teverganadeasfaltos.es/

14 https://www.banquepopulaire.fr

15 https://templatic.com/images/iphone/

16 http://14.141.113.33/FeMvoPPjFZwrE/FPu2Yew5XHa...

17 http://shoesbar.club

18 https://www.visaeurope.ch/de/

19 http://veaulecoup.com/terms-condition/

20 http://marvelousjesus.com

21 http://ni992020_2.vweb05.nitrado.net


윗글은 Tages Anzeiger의 편집부의 허가 하에 번역한 것이며 원본 링크는 다음과 같습니다.

https://www.tagesanzeiger.ch/wirtschaft/UBSKunden-sind-im-Visier-der-Datendiebe/story/19545196


조회 27회