"피싱"의 두 판 사이의 차이

2019년 10월 23일 (수) 17:18 판

피싱(phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사회 공학의 한 종류이다.

개요

피싱은 개인의 중요한 정보를 부정하게 얻으려는 공격 시도를 말한다. 개인 정보를 낚으려는(fishing)의 의도가 반영되어 있는 단어에서도 알 수 있듯이, 일반적으로 피싱 공격자는 전자메일이나 메신저와 같은 전달 수단을 통해 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장된 메시지를 공격 대상자에게 보낸다. 그리고 이를 통해 미리 공격자가 만들어 놓은 위장된 사이트로 들어온 공격 대상자의 주민등록번호, 비밀번호, 그리고 금융 정보와 같은 기밀이 요구되는 개인 정보를 얻으려고 하는 것이다. 피싱은 메일 및 메신저와 같은 웹 기술을 이용하기 때문에 전통적인 방식의 사기와는 다르다. 따라서 피싱 사기에 대한 기술적 대응이 필요하다. 최근에는 DNS 하이재킹 등을 이용해 사용자를 위장 웹사이트로 유인하여 개인 정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다.^[1]

방법

사회공학적 방법

피싱은 공격 대상을 속이기 위해 전산기술과 더불어 사회공학적인 방법을 사용한다. 피싱 메일을 보내는 공격자는 보다 합법적인 메시지로 보이도록 실제 웹사이트의 로고를 사용하여 전자메일 메시지를 만들어 보낸다. 그리고 공격 대상자에게 금전적인 보상을 약속하거나 즉각적인 반응을 하지 않으면 계정을 삭제한다는 위협을 하여 신중한 판단을 할 수 없도록 유도한다. 현혹된 공격 대상자가 여기에 반응하면 공격자가 만들어 놓은 함정에 빠져 개인 정보 침해나 금전적인 피해와 같은 공격을 당하게 되는 것이다.

링크조작 방법

링크 조작 방법은 피싱 공격자가 흔히 사용하는 기술적인 방법이다. 이 방법은 유명 사이트 주소를 비슷하게 보이는 다른 주소로 변경하거나, 관련 없는 도메인 주소의 하위 도메인을 이용하여 조작된 링크를 연결하는 방법이다. 예를 들면 공격 대상자가 접근하려는 올바른 URL 주소 대신에 조작된 URL 링크를 연결해 놓는 것이다. 하이퍼텍스트의 링크 문자열 주소와 실체 링크의 주소가 다르게 조작할 수도 있다. 이 밖에도 문자를 포함한 URL 주소를 이용하거나, 국제화된 도메인 이름을 이용하여 비슷하게 보이지만 실제로는 다른 링크를 사용하여 공격할 수 있다.

웹사이트 위조방법

웹사이트 위조 방법은 피싱 공격자들이 브라우저의 주소창과 속성 창의 내용을 교묘하게 가려 웹브라우저가 사용자에게 제공하는 정보를 속이는 것이다. 팝업창을 사용하거나, 미리 정교하게 조작된 주소창을 이용하여 브라우저의 주소창 부분을 덮는 방법들이 사용된다. 주소창에 나타나는 정보를 공격 대상자에게 알려주지 않기 위해서 공격자가 미리 만들어 놓은 가짜 웹사이트를 통해 사용자에게 전달되는 사이트 정보를 차단한다.

중간자 공격방법

중간자 공격 방법은 공격 대상자와 웹서버의 연결을 공격자가 가로채서 웹서버에게는 공격 대상자의 패킷을 릴레이하고, 공격 대상자에게는 웹서버의 패킷을 릴레이 하면서 이루어지는 공격 방법이다. 중간자 공격이 성공하면 공격 대상자와 웹서버 사이의 모든 메시지를 공격자가 가로채어 중요한 정보를 조작할 수도 있다. 이러한 공격은 공격 대상자의 네트워크를 스니핑하거나 ARP 스푸핑 기술과 같은 방법들을 이용해서 이루어진다.

대응

브라우저 경고

브라우저 경고는 웹브라우저들이 현재 접속하려는 사이트의 피싱 여부를 알려주는 방법이다. 특정 단체 혹은 웹 사용자들에 의해 수집된 피싱 사이트 정보를 기반으로 피싱 여부를 판단하여 사용자에게 알려준다. 인터넷 익스플로러 7(Explorer 7)에서는 피싱 필터를 제공하여 이에 대한 설정을 자동으로 해놓으면 알려진 피싱 웹사이트에 접근할 때 주소창이 붉게 변하면서 피싱 사이트임을 알려준다. 파이어폭스 2(Firefox 2)에서도 피싱 의심 사이트에 접근하면 주소창에 정지 표시를 나타내며 풍선 알림을 경고 문구를 보여준다.

브라우저 확장 툴바

브라우저에서 자체적으로 피싱 차단 기능을 제공하지 않는 경우에도 넷크래프트(Netcraft) 툴바와 같이 안티 피싱 툴바를 설치하면 피싱 사이트의 접근을 막을 수 있다. 브라우저 확장 툴바를 사용하면 접근하고 있는 웹사이트의 지리적 위치나 처음 사이트가 공개된 날짜 등을 포함한 사이트 관련 정보도 확인할 수 있다.

EV 인증서

EV(Extended Validation) SSL 인증서는 이전의 인증서보다 시각적으로 표현하고 발급 조건을 더욱 엄격히 심사하여 피싱과 같은 인터넷 사기를 방지하기 위해 만들어진 인증서이다. EV 인증서는 최신 버전의 주요 웹브라우저를 사용해서 EV SSL 인증서를 사용하는 웹사이트에 접근할 경우, 주소 표시줄이 녹색으로 바뀌고 웹사이트에 대한 추가 정보를 시각적인 인터페이스로 보여준다.

개인 정보 관리 프로그램

개인 정보 관리 프로그램을 이용하여 피싱 사이트가 개인의 정보를 무단으로 획득하고 이를 악용하는 것을 방지할 수 있다. 개인 정보를 전송하기 이전에 현재 접속 중인 사이트의 피싱 여부를 체크하여 사용자에게 알려줌으로써 피싱 피해를 막는 방법이다. 사용자의 컴퓨터에 악의적으로 설치된 키로거에 의해서 정보가 수집되는 것을 막기 위해 키보드를 이용해 직접 입력하지 않고 미리 관리된 데이터를 사용하여 개인 정보를 입력하는 방법도 있다.

각주

↑ 〈피싱〉, 《네이버 지식백과》

참고자료

〈피싱〉, 《위키백과》
〈피싱〉, 《사이버경찰청》
〈피싱〉, 《네이버 지식백과》
〈피싱이란?〉, 《akamai》
이상우 기자, 〈해커의 낚시, 피싱(Phishing)〉, 《아이티동아》, 2017-11-03

같이 보기

일회용 비밀번호(OTP)

이 피싱 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] 〈피싱〉, 《네이버 지식백과》

[1]

@@ 2번째 줄: / 2번째 줄: @@
 ==개요==
-피싱은 개인의 중요한 정보를 부정하게 얻으려는 공격 시도를 말한다. 개인정보를 낚으려는(fishing)의 의도가 반영되어 있는 단어에서도 알 수 있듯이, 일반적으로 피싱 공격자는 전자메일이나 메신저와 같은 전달 수단을 통해 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장된 메시지를 공격대상자에게 보낸다. 그리고 이를 통해 미리 공격자가 만들어 놓은 위장된 사이트로 들어온 공격대상자의 주민등록번호, 비밀번호, 그리고 금융정보와 같은 기밀이 요구되는 개인정보를 얻으려고 하는 것이다. 피싱은 메일 및 메신저와 같은 웹 기술을 이용하기 때문에 전통적인 방식의 사기와는 다르다. 따라서 피싱사기에 대한 기술적 대응이 필요하다. 최근에는 DNS 하이재킹 등을 이용해 사용자를 위장 웹사이트로 유인하여 개인정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다.<ref>〈[https://terms.naver.com/entry.nhn?docId=3432525&cid=58445&categoryId=58445 피싱]〉, 《네이버 지식백과》</ref>
+피싱은 개인의 중요한 정보를 부정하게 얻으려는 공격 시도를 말한다. 개인 정보를 낚으려는(fishing)의 의도가 반영되어 있는 단어에서도 알 수 있듯이, 일반적으로 피싱 공격자는 전자메일이나 메신저와 같은 전달 수단을 통해 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장된 메시지를 공격 대상자에게 보낸다. 그리고 이를 통해 미리 공격자가 만들어 놓은 위장된 사이트로 들어온 공격 대상자의 주민등록번호, 비밀번호, 그리고 금융 정보와 같은 기밀이 요구되는 개인 정보를 얻으려고 하는 것이다. 피싱은 메일 및 메신저와 같은 웹 기술을 이용하기 때문에 전통적인 방식의 사기와는 다르다. 따라서 피싱 사기에 대한 기술적 대응이 필요하다. 최근에는 DNS 하이재킹 등을 이용해 사용자를 위장 웹사이트로 유인하여 개인 정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다.<ref>〈[https://terms.naver.com/entry.nhn?docId=3432525&cid=58445&categoryId=58445 피싱]〉, 《네이버 지식백과》</ref>
 ==방법==
 *'''사회공학적 방법'''
-: 피싱은 공격 대상을 속이기 위해 전산기술과 더불어 사회공학적인 방법을 사용한다. 피싱 메일을 보내는 공격자는 보다 합법적인 메시지로 보이도록 실제 웹사이트의 로고를 사용하여 전자메일 메시지를 만들어 보낸다. 그리고 공격대상자에게 금전적인 보상을 약속하거나 즉각적인 반응을 하지 않으면 계정을 삭제한다는 위협을 하여 신중한 판단을 할 수 없도록 유도한다. 현혹된 공격대상자가 여기에 반응하면 공격자가 만들어 놓은 함정에 빠져 개인정보 침해나 금전적인 피해와 같은 공격을 당하게 되는 것이다.
+: 피싱은 공격 대상을 속이기 위해 전산기술과 더불어 사회공학적인 방법을 사용한다. 피싱 메일을 보내는 공격자는 보다 합법적인 메시지로 보이도록 실제 웹사이트의 로고를 사용하여 전자메일 메시지를 만들어 보낸다. 그리고 공격 대상자에게 금전적인 보상을 약속하거나 즉각적인 반응을 하지 않으면 계정을 삭제한다는 위협을 하여 신중한 판단을 할 수 없도록 유도한다. 현혹된 공격 대상자가 여기에 반응하면 공격자가 만들어 놓은 함정에 빠져 개인 정보 침해나 금전적인 피해와 같은 공격을 당하게 되는 것이다.
 *'''링크조작 방법'''
-: 링크조작 방법은 피싱 공격자가 흔히 사용하는 기술적인 방법이다. 이 방법은 유명 사이트 주소를 비슷하게 보이는 다른 주소로 변경하거나, 관련 없는 도메인 주소의 하위 도메인을 이용하여 조작된 링크를 연결하는 방법이다. 예를 들면 공격대상자가 접근하려는 올바른 URL 주소 대신에 조작된 URL링크를 연결해 놓는 것이다. 하이퍼텍스트의 링크 문자열 주소와 실체 링크의 주소가 다르게 조작할 수도 있다. 이 밖에도 문자를 포함한 URL 주소를 이용하거나, 국제화된 도메인 이름을 이용하여 비슷하게 보이지만 실제로는 다른 링크를 사용하여 공격할 수 있다.
+: 링크 조작 방법은 피싱 공격자가 흔히 사용하는 기술적인 방법이다. 이 방법은 유명 사이트 주소를 비슷하게 보이는 다른 주소로 변경하거나, 관련 없는 도메인 주소의 하위 도메인을 이용하여 조작된 링크를 연결하는 방법이다. 예를 들면 공격 대상자가 접근하려는 올바른 URL 주소 대신에 조작된 URL 링크를 연결해 놓는 것이다. 하이퍼텍스트의 링크 문자열 주소와 실체 링크의 주소가 다르게 조작할 수도 있다. 이 밖에도 문자를 포함한 URL 주소를 이용하거나, 국제화된 도메인 이름을 이용하여 비슷하게 보이지만 실제로는 다른 링크를 사용하여 공격할 수 있다.
 *'''웹사이트 위조방법'''
-: 웹사이트 위조 방법은 피싱 공격자들이 브라우저의 주소창과 속성창의 내용을 교묘하게 가려 웹브라우저가 사용자에게 제공하는 정보를 속이는 것이다. 팝업창을 사용하거나, 미리 정교하게 조작된 주소창을 이용하여 브라우저의 주소창 부분을 덮는 방법들이 사용된다. 주소창에 나타나는 정보를 공격대상자에게 알려주지 않기 위해서 공격자가 미리 만들어 놓은 가짜 웹사이트를 통해 사용자에게 전달되는 사이트 정보를 차단한다.
+: 웹사이트 위조 방법은 피싱 공격자들이 브라우저의 주소창과 속성 창의 내용을 교묘하게 가려 웹브라우저가 사용자에게 제공하는 정보를 속이는 것이다. 팝업창을 사용하거나, 미리 정교하게 조작된 주소창을 이용하여 브라우저의 주소창 부분을 덮는 방법들이 사용된다. 주소창에 나타나는 정보를 공격 대상자에게 알려주지 않기 위해서 공격자가 미리 만들어 놓은 가짜 웹사이트를 통해 사용자에게 전달되는 사이트 정보를 차단한다.
 *'''중간자 공격방법'''
-: 중간자 공격 방법은 공격대상자와 웹서버의 연결을 공격자가 가로채서 웹서버에게는 공격대상자의 패킷을 릴레이하고, 공격대상자에게는 웹서버의 패킷을 릴레이하면서 이루어지는 공격방법이다. 중간자 공격이 성공하면 공격대상자와 웹서버 사이의 모든 메시지를 공격자가 가로채어 중요한 정보를 조작할 수도 있다. 이러한 공격은 공격대상자의 네트워크를 스니핑하거나 ARP 스푸핑 기술과 같은 방법들을 이용해서 이루어진다.
+: 중간자 공격 방법은 공격 대상자와 웹서버의 연결을 공격자가 가로채서 웹서버에게는 공격 대상자의 패킷을 릴레이하고, 공격 대상자에게는 웹서버의 패킷을 릴레이 하면서 이루어지는 공격 방법이다. 중간자 공격이 성공하면 공격 대상자와 웹서버 사이의 모든 메시지를 공격자가 가로채어 중요한 정보를 조작할 수도 있다. 이러한 공격은 공격 대상자의  네트워크를 스니핑하거나 ARP 스푸핑 기술과 같은 방법들을 이용해서 이루어진다.
 ==대응==
-===기술적 대응===
 *'''브라우저 경고'''
-: 브자우저 경고는 웹브라우저들이 현재 접속하려는 사이트의 피싱 여부를 알려주는 방법이다. 특정 단체 혹은 웹 사용자들에 의해 수집된 피싱 사이트 정보를 기반으로 피싱 여부를 판단하여 사용자에게 알려준다. 인터넷 익스플로러 7(Explorer 7)에서는 피싱 필터를 제공하여 이에 대한 설정을 자동으로 해놓으면 알려진 피싱 웹사이트에 접근할때 주소창이 붉게 변하면서 피싱 사이트임을 알려준다. 파이어폭스 2(Firefox 2)에서도 피싱 의심 사이트에 접근하면 주소창에 정지 표시를 나타내며 풍선 알림을 경고문구를 보여준다.
+: 브라우저 경고는 웹브라우저들이 현재 접속하려는 사이트의 피싱 여부를 알려주는 방법이다. 특정 단체 혹은 웹 사용자들에 의해 수집된 피싱 사이트 정보를 기반으로 피싱 여부를 판단하여 사용자에게 알려준다. 인터넷 익스플로러 7(Explorer 7)에서는 피싱 필터를 제공하여 이에 대한 설정을 자동으로 해놓으면 알려진 피싱 웹사이트에 접근할 때 주소창이 붉게 변하면서 피싱 사이트임을 알려준다. 파이어폭스 2(Firefox 2)에서도 피싱 의심 사이트에 접근하면 주소창에 정지 표시를 나타내며 풍선 알림을 경고 문구를 보여준다.
 *'''브라우저 확장 툴바'''
-: 브라우저에서 자체적으로 피싱 차단 기능을 제공하지 않는 경우에도 넷크래프트(Netcraft) 툴바와 같이 안티피싱 툴바를 설치하면 피싱 사이트의 접근을 막을 수 있다. 브라우저 확장 툴바를 사용하면 접근하고 있는 웹사이트의 지리적 위치나 처음 사이트가 공개된 날짜 등을 포함한 사이트 관련 정보도 확인할 수 있다.
+: 브라우저에서 자체적으로 피싱 차단 기능을 제공하지 않는 경우에도 넷크래프트(Netcraft) 툴바와 같이 안티 피싱 툴바를 설치하면 피싱 사이트의 접근을 막을 수 있다. 브라우저 확장 툴바를 사용하면 접근하고 있는 웹사이트의 지리적 위치나 처음 사이트가 공개된 날짜 등을 포함한 사이트 관련 정보도 확인할 수 있다.
 *'''EV 인증서'''
 : EV(Extended Validation) SSL 인증서는 이전의 인증서보다 시각적으로 표현하고 발급 조건을 더욱 엄격히 심사하여 피싱과 같은 인터넷 사기를 방지하기 위해 만들어진 인증서이다. EV 인증서는 최신 버전의 주요 웹브라우저를 사용해서 EV SSL 인증서를 사용하는 웹사이트에 접근할 경우, 주소 표시줄이 녹색으로 바뀌고 웹사이트에 대한 추가 정보를 시각적인 인터페이스로 보여준다.
+*'''개인 정보 관리 프로그램'''
+: 개인 정보 관리 프로그램을 이용하여 피싱 사이트가 개인의 정보를 무단으로 획득하고 이를 악용하는 것을 방지할 수 있다. 개인 정보를 전송하기 이전에 현재 접속 중인 사이트의 피싱 여부를 체크하여 사용자에게 알려줌으로써 피싱 피해를 막는 방법이다. 사용자의 컴퓨터에 악의적으로 설치된 키로거에 의해서 정보가 수집되는 것을 막기 위해 키보드를 이용해 직접 입력하지 않고 미리 관리된 데이터를 사용하여 개인 정보를 입력하는 방법도 있다.
 {{각주}}

위키

이름공간

변수

보기

더 보기

검색

"피싱"의 두 판 사이의 차이

2019년 10월 23일 (수) 17:18 판

목차

개요

방법

대응

각주

참고자료

같이 보기