포털 사이트는 다양한 서비스(정보검색, 메일, 커뮤니티, 블로그, 뉴스 등)를 종합적으로 제공하는 사이트로 사용자는 하나의 계정으로 다양한 서비스 이용과 함께 간편 로그인(SSO, Single Sign On) 기능을 통해 무한한 B2B 서비스와 연계하여 이용이 가능하다.
다만 포털 사이트 사용자 계정이 해킹으로 공격자에게 탈취되었을 경우 그만큼 파급력이 높은 것도 사실이다.
단적으로 공격자가 탈취한 사용자 계정을 이용하여 지인들에게 스피어 피싱 메일 발송이나 인터넷 사기 등 범죄에 악용되어 추가 피해가 발생할 수 있으며, 다크웹 등에서 실제로 국내 포털사의 사용자 계정을 판매하는 경우도 심심치 않게 확인되고 있다.
이런 계정이 유출되는 원인으로 사용자 PC가 악성코드에 감염되거나 포털사이트를 사칭한 피싱으로 유출되는 경우가 가장 크며 한국인터넷진흥원에서는 지난해 말부터 동일한 수법을 이용한 피싱 공격 그룹을 확인한 후 지금까지 관련 공격자들과의 숨바꼭질 대응을 이어나가고 있다.
특히 공격자들은 네이버를 사칭으로 하는 특징을 보이며 기존의 피싱 공격조직보다 복잡한 인프라와 소셜 로그인에 익숙한 이용자들의 부주의를 노리는 것으로 분석되었다.
이에 본 보고서에서는 기존 피싱 공격과 팝업형 피싱 공격의 차이에 대해 설명하고, 팝업형 피싱 공격을 이용한 침해사고 사례를 바탕으로 이용자와 웹사이트 관리자가 피싱 공격을 예방하고 피해를 줄일 수 있는 방안을 안내하고자 한다.
<aside> <img src="/icons/laptop_gray.svg" alt="/icons/laptop_gray.svg" width="40px" /> 피싱 공격 개요
</aside>
일반적으로 피싱 공격은 사칭하고자 하는 사이트와 동일한 디자인의 사이트를 제작하는데서 시작한다. 보통 피싱에 이용되는 문구는 '보안 경고'나 '로그인 실패' 등 피해자들의 심리적 불안을 유도하여 계정을 입력하게 끔 유도하며 피싱 도메인을 숨기기 위해 단축 URL을 사용하기도 한다.
이로인해 사용자들은 유심하게 관찰하지 않으면 차이를 알 수 없을 정도로 정교하게 제작되어 피해가 발생하기 쉽다.
메일 및 SNS를 활용한 피싱
공격자는 이용자에게 피싱 메일을 보내거나 문자메시지, SNS 등을 통해 자신이 만든 피싱 사이트로 접속하도록 유도한다.
타이포스쿼팅(Typosquatting)
타이포스쿼팅은 본래 이용하고자 했던 도메인과 살짝 다른 이름이 도메인을 등록하는 경우이다. 예시로, 정상 사이트인 kisa.or.kr 대신 k1sa.or.kr, kisaor.kr 등을 도메인으로 한 사이트를 만들어 둔다. 이용자가 이용하고자 했던 사이트와는 다른 도메인이지만, 차이가 크지 않아, 이용자가 오타를 내거나 URL을 제대로 확인하지 않고 링크를 누르는 경우, 타이포스쿼팅을 노린 사이트로 연결되기도 한다.
파밍(Pharming)
파밍은 이용자의 PC나 공유기 등의 정보를 조작하여, 피싱 사이트로 연결하는 공격이다. 윈도우 PC의 경우, PC 내에 hosts 파일을 변조하는 경우가 대표적이다. hosts 파일에는 도메인과 IP의 정보가 저장되어 있다. PC에서 도메인을 연결할 때, hosts 파일이 최우선으로 적용된다. 만약 hosts 파일에 피싱사이트의 IP가 있을 경우, 이용자는 올바른 도메인을 입력하더라도 피싱 사이트로 연결된다. 공유기의 정보를 변조하는 경우, 공유기의 설정에서 도메인을 IP로 변환해주는 DNS(Domain Name Service)를 공격자가 사용하는 DNS로 바꾼다. 해당 공유기를 쓰는 기기에서는 올바른 도메인에 접속하고자 해도, 공격자의 DNS에서 피싱 사이트의 IP를 응답하므로, 기기에서는 피싱 사이트의 IP로 연결된다. 파밍의 경우는 타이포스쿼팅과 달리, URL은 정상적인 도메인으로 보이기에 알아채기 쉽지 않다.