파밍 & 피싱

사회공학적 해킹

• 신뢰 바탕의 보안 절차 파괴
• 비기술적인 침입 수단
• 사람 사이의 신뢰를 바탕으로 상대방의 정보를 꾀어내는 방식

1. 인간 기반 사회공학 기법

• 기술 사용 없이
• 직접적인 접근
• 도청
• 어깨너머로 훔쳐보기

2. 컴퓨터 기반 사회공학 기법

• 시스템 분석
• 악성 소프트웨어 전송
• 인터넷 활용
• 피싱/파밍

파밍 사전적 의미

• 사용자를 가짜 웹 페이지 접속하게 하여 개인정보를 훔치는 것
• 사용자가 정확한 웹 페이지 주소를 입력 하지만 가짜로 제작된 웹 페이지에 접속

파밍 기술적 의미

• 합법적 소유의 사용자 도메인 탈취
• DNS 주소 변조
• 진짜 사이트로 오인 접속 유도, 사회공학적, 개인정보 훔치는 기법

파밍

• 기술적으로 DNS의 여러가지 취약점을 활용해 실제 공식적으로 서버가 운영되고 있다고 하더라도 사용자로 하여금 변조된 웹사이트를 방문하게끔 함
  

피싱

• 실제 그 웹사이트가 존재하지 않아도 됨
• 별도의 웹 사이트를 만들어 놓고 그 웹사이트를 방문하도록 유도
• 전자 우편, 메신저를 사용해 신뢰할 수 있는 사람, 기업으로 가장
• 개인 정보 목적의 사회공학적 공격 기법
• 개인 정보를 낚는다 = 피싱
• 사회공학적 방법 + 기술적 은닉 기법
• 지능적인 기술 사용
• 개인의 부주의 발생
  

파밍 대응 방안

• OTP, 보안 토큰
• 보안카드 번호 전체 입력 X: 요청하는 경우 없음
• 사회공학적 공격 방식에 대응
• 사이트 주소 확인
• OS, 백신 엡데이트
• 출처 불명 파일 이메일 삭제
• 무료 다운 사이트 사용 자제

피싱 위협의 특징

• 기술과 사회공학적 방법의 융합
• 타인과의 상호작용
• 정보기술 의존도 多
• 금전적인 피해 유발(개인 금융계좌, 유명 기관 브랜드)
• 기술의 트렌드 역동성, 급속한 진화

스피어 피싱

• 특정 표적을 집중적으로 공격

스미싱

• 문자 메시지를 사용한 피싱
• SMS+Phishing
• 비밀 정보, 소액결제

기술적 대응

• 웹사이트 인증
• 메일 서버 인증
• PC 확인 방식 전자서명 메일