금융위원회 산하 금융결제원이나 국민은행 등 제 1금융권을 주로 사칭했던 파밍 공격이 최근 증권사를 대상으로 눈길을 돌리며 파밍에 대한 위협이 더욱 거세지고 있다.
26일 빛스캔, 하우리, 이스트소프트 등 국내 주요 보안업체들은 증권사를 사칭한 파밍 공격이 국내서 처음 발견됐다며 사용자들의 각별한 주의를 당부했다.
증권사 파밍이 국내서 첫 발견된 것은 지난 21일부터다. 먼저 미래에셋증권ㆍ대신증권의 IP를 위조하는 파밍 공격이 출현했으며 파밍리스트에 추가로 포함된 사이트는 키움증권, 삼성증권, 동부증권, 수협 등으로 확인됐다.
전상훈 빛스캔 이사는 "초기에 발생한 파밍 공격은 주로 국민은행 등과 같은 제1금융권 웹사이트를 본따 만들어서 사용자를 속였으며, 그 이후에는 네이버와 같은 포탈의 배너 광고를 이용하는 양상을 보였다"며 "지난 13일경 지마켓과 같은 오픈마켓 사이트를 활용하더니 이제는 증권사까지 사칭하는 단계에 이르렀다"고 밝혔다.
파밍이란 국민은행, 네이버와 같은 정상적인 홈페이지를 변조해 사용자들로 하여금 진짜 사이트로 오인, 접속하도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법을 말한다.
사용자 컴퓨터가 최신 안티바이러스 패치나 MS, 자바, 어도비와 같은 프로그램의 최신 패치를 적용하지 않아 취약성이 있을 경우 그 취약점을 이용해 피싱 악성코드가 감염된다. 감염된 PC는 정상적인 국민은행이나 지마켓 사이트 등에 들어가도 사용자가 만들어놓은 가짜 사이트로 유인돼 개인정보, 금융자산 탈취 등의 피해를 입을 수 있다.
지난해 1월말 최초 발견됐던 금융권 파밍은 현재까지도 교묘한 수법으로 활용돼 사용자에게 심각한 피해를 주고 있다. 최근 국회에 제출된 미래창조과학부 자료에 따르면 2013년도 파밍 피해는 3036건, 피해 금액은 156억여억원에 이른다.
빛스캔 관계자는 "기존 제1 금융권 웹사이트의 도메인 이름뿐만 아니라 미래에셋증권ㆍ대신증권 등 증권사 도메인 이름까지 포함돼 있어, 증권사가 최종 공격 목표라는 것을 확인했다"며 "하지만, 가짜 사이트는 동작하지 않는 점을 보았을 때 초기 지마켓에 등장한 사례와 같이 사이트 동작 테스트를 한 것으로 추정된다"고 말했다.
지마켓의 경우 지난 13일 파밍 가짜사이트가 등장한 일주일 후 바로 지마켓 파밍 공격악성코드가 실제 나타난 것으로 미뤄 증권 악성코드도 조만간 활동을 개시할 것으로 예상된다.
이 관계자는 "더 큰 문제는 단순히 하나의 웹사이트에서 이러한 공격이 발생한 것이 아니라는 점"이라며 "공격 출현 시점부터 약 6시간만에 공격에 활용된 웹사이트가 70여개 이상이라는 점을 고려해 볼 때 동시다발적으로 많은 사용자들이 짧은 시간 내에 감염시키기 위한 전문 집단의 소행으로 보인다"고 강조했다.
최상명 하우리 팀장도 "증권사는 실시간 거래를 중시해 메모리해킹 등에 취약하다"며 "최근 공인인증서 발급이 까다로워짐에 따라 공격자들이 증권사를 타깃으로 삼아 금융정보를 탈취한 뒤 이용할 가능성이 높다. 증권 계좌 역시 입출금이 가능하기 때문에 금융 계좌와 마찬가지로 금융사기에 이용될 수 있다"고 지적했다.
이스트소프트도 자사 블로그에서 "증권 파밍이 다수 발견되는 등 파밍의 대상이 증권사로 이동하고 있다"고 경고했다.
파밍 공격을 예방하기 위해서는 성능이 검증된 백신(안티바이러스)을 이용하고, 최신 보안 패치로 꾸준히 관리해야한다. 또 정부, 금융기관 등에서 기존 사후 차단 방식이 아닌 악성코드 유포에 활용되는 URL을 탐지, 차단하는 사전 대응 차원의 방안도 함께 고려해야 한다.
1금융권은 파밍 공격을 방어하기 위해 홈페이지나 전국 각 지점에서 고객 홍보를 강화하고 있다. 그러나 증권사는 아직 파밍 예방에 나서지 않고 있어 위험에 고스란히 노출돼 있는 상태다.
증권사 고객이 파밍 피해를 입지않도록 홍보를 강화하는 한편 증권사 자체적으로 악성코드 유포에 악용되고 있는 것은 아닌지 사전 대응할 수 있는 시스템을 갖추는 등 대비가 시급한 시점이다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지