파밍(Pharming), 그 정체와 예방법 알아보기!

보이스 피싱으로 시작 된 비대면 금융사기 수법이 나날이 발전하고 있습니다. 그리고 최근 이슈가 됐던 금융사기 수법이 바로 파밍(Pharming)입니다. 파밍은 2012년에 유입된 해킹 기법으로, 현재 금융권에서는 파밍을 예방하기 위해 밤낮으로 고민할 정도지요.
 
과연 파밍은 무엇이며 어떤 경로로 검은 손을 뻗칠까요? 그리고 그 예방법은 무엇일까요? 지금부터 저와 함께 알아보겠습니다.

 

 

 

 

 

 

 

파밍(Pharming)

: 이용자PC를 악성코드에 감염시켜 이용자가 인터넷 ‘즐겨찾기’ 또는 포털사이트 검색을 통해 금융회사 등의 정상 홈페이지 주소로 접속해도 피싱사이트로 유도돼 해커가 금융거래정보 등을 편취하는 수법.              -출처 : 금융감독원 보도자료('13.03.04일자)

 

 

불법 다운로드 및 스팸 메일, 스팸 SMS 등 본인도 모르게 실수로 클릭하는 순간, 우리의 컴퓨터엔 악성코드가 설치되면서 파밍의 노예가 됩니다.

 

파밍의 가장 무서운 점은 본인이 구별 할 수 없다는 것입니다. 즉, 과거 보이스 피싱의 경우엔 딱딱한 기계음이거나 서툰 우리 말투로 속이려고 했기 때문에, 조금만 주의를 기울이면 예방 할 수 있었고, 스미싱*의 경우에도 수상한 SMS의 경우 바로 지우면 되었기 때문에 어느 정도 예방 지식이 있는 네티즌에겐 큰 걱정거리가 아니었습니다. (*스미싱 : SMS를 이용한 핸드폰 해킹 기법) 

하지만 파밍은 본인이 불법 사이트에서 자료를 다운 받거나, 친근한 제목의 스팸 메일을 의심없이 열어보는 과정에서 자신도 모르게 악성코드가 설치됩니다. 그리고 그 악성코드는 정상적인 은행 인터넷뱅킹 홈페이지를 입력해도 해커가 만든 피싱사이트로 자동 접속되는 시스템입니다. 즉, 자신도 모르게 자신의 정보가 빠져나가는 것입니다.

 

 

 

 

파밍의 심각성이 처음 제기 된 2012년 하반기의 경우, 9.6억원의 피해액이 집계 되었으며, 본격적으로 심각성을 인식한 2013년 상반기엔 11억원의 피해액이 집계 되었습니다. 그리고 현재 집계된 피해액은 점점 늘어나고 있으며, 악성코드의 활발한 전염성 때문에 앞으로 피해액은 더 늘어날 전망입니다.

 

 

파밍의 핵심인 피싱 사이트의 경우엔, '05~'10년 6년 간 22건에 불과했던 차단 건수가 2011년에 들어선 1,849건, 2012년엔 6,944건의 차단이 이루어졌다고 합니다.

 

상상을 초월 할 정도로 늘어나고 있는 피싱 사이트 때문에 선량하게 인터넷,스마트 뱅킹을 이용하는 시민들의 피해가 더 늘어날 전망입니다. 근본적인 대책마련이 시급한 실정입니다.

 

파밍을 예방하는 가장 근본적인 방법은 바로 의심스러운 사이트나 불법 사이트에서 자료를 다운받지 않거나, 의심스러운 메일이나 SMS를 열지 않는 것입니다. 하지만 금융사기수법이 점차 발전하고 있는 지금, 금융사기수법의 공통점을 알려 범죄를 예방하는데 도움을 드리고자 합니다.

 

 

 

1. 보안카드의 모든 번호입력을 요구하는 은행은 단 한 군데도 없다!!

 

 

 

인터넷 뱅킹이나 스마트 뱅킹을 이용하는데 가장 확실한 안전장치로 여겨지는 것이 바로 '보안카드'입니다. 실제 인터넷 뱅킹이나 스마트 뱅킹 사용 시, 일반적인 경우엔 일련번호 3자리, 보안카드 앞 2자리, 뒤 2자리 정보를 요구합니다.

하지만 파밍으로 접속 된 피싱 사이트의 경우엔 사용자가 소유한 보안카드의 모든 정보를 요구 합니다. 혹시라도 이런 현상이 발생 할 경우엔 지체 없이 최신 백신 프로그램으로 컴퓨터를 치료해야 합니다.

 

2. 출금 계좌번호를 직접 입력하도록 요구하는 은행 사이트는 없다!!

 

 

 

위 사진을 보면, 일반 은행 사이트와 똑같이 생겼습니다. 하지만 유심히 보면 필요 이상의 많은 정보를 요구하고 있습니다. 이름, 주민번호, 연락가능번호, 출금계좌번호, 계좌비밀번호, 인터넷 뱅킹 사용자 아이디, 인터넷 뱅킹 이체비밀번호 등 필요 이상의 많은 개인 자료를 요구하고 있음을 알 수 있습니다.

 

특히, 정상적인 인터넷 뱅킹 사이트의 경우 출금계좌번호는 마우스를 이용해 선택하도록 되어 있습니다. 고객이 직접 입력하도록 요구하는 경우는 처음 가입하는 경우와 같이 극히 일부분입니다. 잔액조회나 계좌이체 시, 출금계좌번호를 직접 입력하도록 요구하는 경우에는 얼른 인터넷 뱅킹을 종료하고 최신 백신 프로그램으로 컴퓨터를 치료해야 합니다.

 

 

3. 수상한 SMS/E-mail은 절대 열지 않는다!!

 

 

 

 

실제 제 폰으로 전송 된 스팸SMS입니다. 이 경우엔 저와 같이 취업 준비생인 경우 '0000'이란 익명의 번호로 합격자 발표 문자를 종종 받게 되는데, 이 점을 악용하여 피싱 사이트 주소를 클릭하도록 유도 한 경우입니다.

SMS의 내용이 너무 스팸SMS 티가 나서 다행이었지, 정말 위와 같이 서류전형 합격결과 발표 링크사이트인 척 하고 왔다면 저도 모르게 당할 뻔한 경우입니다.

4. 가장 중요한 것은 바로 개인 보안은 개인이 지킨다.

최근 영문/숫자/특수기호 등 다양한 조합을 요구하는 비밀번호를 적어 두거나, 많은 은행과 거래를 하다 보니 보안카드를 휴대하기 귀찮아 사진으로 찍어서 다니거나 컴퓨터에 이미지로 저장 해 두신 분들을 많이 봤습니다. 이럴 경우에 혹시라도 스마트폰이나 개인PC가 해킹당한다면 여과 없이 개인정보가 유출 될 것입니다.

 

 

 

악성코드가 언제 어디서 본인을 노리고 있을 지 모른다는 마음으로 조금은 귀찮더라도 보안카드는 사진이 아닌 실물로 항시 휴대하고, 인터넷 뱅킹 아이디와 비밀번호 정도는 암기하고 다니는 것이 올바르다고 생각합니다.

유비쿼터스 구축으로 손 안의 세상을 펼치고자 하는 IT강국 대한민국의 미래에 있어 인터넷 뱅킹, 스마트 뱅킹과 같은 전자 금융은 꼭 개발해야 할 분야입니다. 하지만 전자 금융을 대중화 하기 위해서는 철저한 보안 체계 구축과 사용자의 보안 의식이 무엇보다 중요합니다.

 

미래 대한민국이 IT를 통한 창조경제를 구축하기 위해선 무엇보다도 사용자의 철저한 보안의식이 중요하지 않나 생각합니다~