영국 초토화 시킨 이것, 한국도 예외 없다.

보안세상 기고글 2011. 7. 13. 07:00 |

(보안세상 기고글 원본)
국내뿐만 아니라 세계 곳곳은 피싱에 대한 피해가 계속 발생하고 있다. 다양한 피싱에 대해 안철수연구소는 SNS와 블로그를 통해 예방책과 사례에 대해 알려왔다. 이번 포스팅에서는 최근 세계적인 금융 중심지인 영국에서 유행하고 있는 신용 피싱에 대해 필자가 피싱자와 메일과 전화를 주고 받으며 그 과정을 살펴보았다. 

 

참고로 이 피싱은 신용피싱(개인정보 탈취로 금융자산 탈취, 차량 구입등), 영국 국민의 1/4이 경험이 있고, 이 중 1/3이 피해를 당한것으로 영국 금융당국과 경찰이 특별수사팀까지 만들면서 수사에 힘을 쏟고 있을 정도로 현지에서는 대단한 이슈가 되고 있는 사례이다. 더욱이, 전화 통화를 한 사람이 중동계 사람이라 추측되고, 영국이 주요 해적국과 테러국의 브로커,  전 세계 금융자산들이 모여있다는 점에서 건의 피해도 파급력은 무시무시하다고 생각된다. 

 

1. 무작위한 메일 발송 

 


(요약) 사업제안을 하겠다. 나는 Eddie Shileds이고, 런던의 금융회사 책임자로서 근무중이다. $4.500만 달러에 해당하는 보험 예수금이 한국 국적의 김우철이라는 사람 앞으로 있는데, 교통사고로 10년전 사망했다. 아무리 친인척을 찾아도 찾을 수 없다. 영국 금융법상 10년이 넘어가는 보험금은 정부로 귀속되는데, 이것에 대해 당신과 함께 노력하여 보험금을 찾아 50%씩 나눠 갖자. 자금에 대한 것은 나의 풍부한 경험상 안전하고 당신의 협조에 따라 매우 손쉽게 처리가 가능하다. 이 거래는 100% 비밀로 해야 하며, 관심이 있으면 아래의 개인 메일주소로 연락 바란다.

 

-> 지금껏 발생한 메일 피싱의 경우, 메일을 열었을 시 악성코드가 포함 되었거나 금융사의 복제된 홈페이지로 이동되어 개인정보를 탈취하겠금 되어, V3와 같은 백신 프로그램의 실시간 감시로 막을 수 있었다. 또한, 다양한 이메일 호스팅 회사의 자체 필터링으로 스팸메일로 분류되어 고객이 메일을 읽는것 조차 쉽지 않았다. 하지만, 이번 신용피싱의 경우 일정한 패턴이 존재하지 않고 동일한 내용의 메일이 두 번 다시 오지 않는다. 2개월간 살펴본 결과, 매번 발송되는 메일의 내용은 변경되고 주기적이지도 않다. 그렇기 때문에 패턴을 통해 예방을 하는 각 보안 엔진과 보안 필터들을 손쉽게 피해 갈 수 있었다.

 

2. 피싱에 대한 응답(주요 내용만 요약)

 

기자 : 제안에 대한 메일을 잘 보았다. 좀 더 자세한 이야기를 듣고 싶다. 그리고 가장 중요한건, 내 연락처를 어떻게 알았는지 궁금하다. 

Eddie: 인터넷을 통해 당신의 신념이 자금에 대해 같이 일하면 좋을것 같아 연락하게 되었다. 


Eddie: 그리고 미국 시민으로서 런던의 금융회사에서 감사장으로서 고객들의 계좌를 감독 관리하고 있다. 금융업계에서 20년여의 경험으로 현재 52살이다. 


그 밖에 돈의 성격, 사고 경위, 앞으로 일처리에 대한 세세한 일정에 대해서도 메일 내용에 포함되었고, 거래의 성격한 "신뢰"가 중요하다는 것을 강조하며 자신의 여권과 신분증을 스캔해서 보내기도 한다.


 

먼저 지적하지만,  이 Eddie Shield라는 사람 역시 피해자로서, 다른 피싱을 위해 자신의 신분증이 인터넷을 통해 전세계 각지에 뿌려지고 있다는 것이 금전적 피해뿐만 아니라 신분적인 피해도 야기 시킨다. 아울러, 신분증이 복제되고 테러국에서 사용한다면 복잡한 상황까지 염두해 두어야 한다는 것이다. 

 

3. 요구조건 제시



 

1번의 메일에서 보듯, 이 신용피싱의 경우 보험금을 수령한 뒤 그것을 서로 나눈다고 제안 해 왔다. 그래서 보험금 수령을 위해 메일을 주고 받던 중, 한국의 계좌로 바로 받으면 영국 금융당국에서 감시를 받을 수 있고 무엇보다 세금에 대한 우려로 영국 내 계좌를 만들어야 한다고 제시해 왔다. 바로 그것이다. 이 계좌를 만들기 위해 상대방의 여권과 신분증 사본, 그리고 각종 개인 정보를 요구한다.  

 

-> 기자는 이름과 전화번호는 실제 정보를 건네고 나머지는 허위 정보로 보내 주었다. 그 결과 전화가 온다. 그 전화번호는 추적이 불가능한 인터넷 전화로서 국가번호 44번(영국)을 사용하는 번호로 오게 된다. (44)7759120060을 사용하고, 구글과 같은 검색엔진에서 검색하면 기자 검색 당시 아무런 검색결과가 없어 피싱에 걸린 사람으로 하여금 가장 최신의 전화번호만을 돌려 사용하며 피싱임을 눈치 못채게 되어 있다. 이점에서 매우 치밀한 피싱중 하나임을 확인하게 되었다. 

 

이후, 더이상의 메일이나 전화통화는 없었다. 재미있었던 점은, 전화가 국가번호 44번인 영국에서 전화를 했다가 찾기도 힘든 국가번호에서 발신되기도 한다는 점이다. 그리고, 영국이나 미국의 영어가 아닌 중동계 발음으로서 알자지라 방송에서 중동사람들 인터뷰때 들었던 그것 이었다는 것이다.

 

4. 피해를 당하면?

 

이러한 신용피싱의 메일을 통해 피해를 볼 수 도 있다. 자신도 모르게 해외에 있는 자산에 변동사항이 생기거나, 영국이 주 피해지역이다 보니, 본인의 대포통장이 해적이나 테러범들의 손에 들어가 이용당하는 것을 걱정해야 한다. 

 

먼저 경찰청에 문의 해본 결과, 실질적인 경제적인 피해가 발생하지 않는다면, 사이버경찰청이나 언터폴의 수사는 어렵다고 한다. 그렇기 때문에 주기적인 신용정보 변동에 대해 점검을 해 보는것을 권하는 수준이었다. 그리고 주무부처인 외교통상부의 경우 "특별한 주의"밖에 없다고 말을 하며, 유출된 여권에 대한 재발급을 통해 피해를 최소화 하는 수밖에 없다니, 만약 자신의 개인정보가 국제적으로 유출된다면 뽀족히 답을 찾기에는 한계가 있다. 역시 예방이 최선이라는 것이 답이다. 

 

1. Dear로 시작되지 않고 From으로 시작되는 불특정 다수를 향한 메일은 No

2. 상식이라는 것을 언제나 생각하고, 검색엔진을 활용하여 메일을 검색

3. 안철수연구소나 안티피싱 커뮤니티등을 통해 보안에 대한 기초지식 확립

4. 개인정보는 그 누구도 보안화되지 않은 상태에서 함부로 요구하지 않음

5. 국제전화 역시, 추적이 불가능한 인터넷 전화를 염두하여 의심해 보아야

 

SCAM, Phishing과 같은 키워드로 검색엔진에서 검색만 해도 여러 사례들이 검색된다. 점점 지능화 되는 피싱의 형태는 인터넷이라는 제한되지 않는 공간에서 막대한 피해를 발생시키고 있다. 보안프로그램을 업데이트하는 것도 좋지만, 기계가 업데이트 못해주는 사용자의 보안화 된 인터넷 사용습관은 보안 커뮤니티와 같은 전문 뉴스채널을 통해 업데이트 하길 권해본다.

Redgumbaeng2
Yongsoo 
ysibm86@gmail.com 

 

 

저작자표시

'보안세상 기고글' 카테고리의 다른 글

아테나로부터 원자력발전소를 보호하라.  (0) 2011.02.14
명절없이 돌아가는 Ahnlab  (0) 2010.09.25
추석에도 실시간 보안 ON  (0) 2010.09.24
안철수의장과의 티타임. 대학졸업, 꼭 해야하나?  (0) 2010.09.05
안철수교수와의 만남  (0) 2010.09.03
Posted by Fast_Gumbaeng2
:

차세대 보안 세미나 Next Generation Network Vision 2010.

보안세상 기고글 2010. 6. 28. 12:19 |
▶ 2010년 보안 이슈 및 솔루션 한자리에...

2010년 3월 10일 코엑스 인터컨티넨탈호텔에서는 차세대 네트워크 보안에 관한 기술과 이야기를 들을 수 있는 차세대 네트워크 보안 세미나가 열렸다. 이번 행사는 보안기업의 선두 안철수연구소를 비롯, 스토리지 분야의 1인자 EMC, 미국의 McAfee, Cisco의 라이벌 주니퍼등이 참가하여 그 열기를 더했다.

세상에서 가장 안전한 이름 안철수연구소

V3 안티바이러스(백신)로 유명해진 안철수연구소는 더이상 백신만 만드는 기업이 아니었다. 작년 7.7 DDOS대란과 같이 해커들의 공격을 장비단에서 막아주는 네트워크 보안장비와, 실시간 보안 관제 시스템, 클라우드 컴퓨팅 기반의 보안시스템까지 V3에서 보안 장비까지 어우르는 폭넓은 보안 기술을 선보이고 있다.

● TrusGuard (DDoS 및 DoS 방어 장비)
― DDoS 모니터링, PC 및 서버 좀비화 방지, 유해 트래픽 판단을 통한 DDoS공격 방어   
● ACCESS(AhnLab Cloud Computing E-Security Service)기반의 실시간 방어시스템
― Cloud개념의 보안 시스템.
 사용자PC, 웹, 네트워크 장비들에서 수집되는 위협정보를 안랩 종합 위협 분석 시스템을 통해, 클라이언트들의 장비에 실시간 업데이트되어 DDoS공격 및 악성코드 차단. (참조 -> http://blog.ahnlab.com/ahnlab/788 )
● ASEC
― 안랩의 악성코드 분석가 및 보안전문가로 구성되어 3교대 근무를 하는 24시간 깨어있는 안랩을 보여주는 대표적인 부서. 전 세계 보안위협에 실시간 모니터링과 분석 대응으로 유저들에게 정보 제공하고. 최근엔 트위터(@ASEC_TFT)를 통한 실시간 보안 공지를 비롯, 코드 분석 내용 및 대응방법을 제공한다.

클라우드 컴퓨팅 환경에서의 보안 강화 방안 - Juniper
Cisco Systems와 라이벌인 Juniper의 섹션에서는 최근 트랜드인 클라우드 환경에서의 네트워크 보안 솔류션을 소개하여 그 눈길을 끌었다.

- 서버 및 어플리케이션 가상화(Virtualization)

현재까지는 서버 1대당 하나의 OS와 App을 설치하여 각 서버들의 사용량이 높지 않음에도 이미 설치한 서버이기에 전력, 냉방, 상면적 유지비용이 발생했다. 그러나, 클라우드의 서버 가상화 기술을 통해 서버당 다수의 OS와 App을 설치하여 서버대수를 30 대 → 15대 이하로 획기적으로 줄일 수 있어 서버 가상화가 매우 큰 이슈가 되고 있다.
참고로 필자가 참석한 2월에 있었던 마이크로소프트 클라우드 컨퍼런스에서, LG CNS는 2010년 말까지 그룹사 전체에 클라우드 기술을 도입할 예정이고, Microsoft는 이미 자사의 TechNet을 시작으로 점차 가상화 서버를 늘려가고 있다.
특히 정밀 전자, 헬스케어 부분 세계적인 기업 지멘스(Siemens)는 세계 각국에 있는 장비들에 대한 소프트웨어 업데이트를 비롯하여 관리비용등을 MS의 Windows Azure 플랫폼(클라우드 플랫폼)을 통해 상당량의 운용비용과 이산화탄소 감소를 가져왔다고 한다.
결국, IT인프라에 대한 트렌드는 상당량의 비용(Cost)과 이산화탄소 감소(Green IT)라는 점을 반영하여 Cloud에 대한 관심으로 이어지고 있다.

- Juniper의 클라우드 환경 속 보안 기술

* 보안 장비의 통합 및 가상화
* 액세스 레이어 가상화
* 코어 및 접선 레이어 병합.
* 데이터 센터들 간의 연결 제공
* 관리의 단순화

네트워크 토폴로지의 디자인에 따라 다르겠지만, 예를 들어 스위치당 4개 정도(SSl VPN, Firewall, IPSec VPN, IPS) 두었던 보안장비를 데이터 센터에 Juniper가 제공하는 보안장비 하나로 이전의 DMZ안에 존재하던 많은 보안장비들을 대체한다는 것이 핵심이었다. 즉, 가상화를 통한 비용 및 이산화탄소 감소 = Green IT 가 핵심이었다.
Case : NYSE(나스닥), TSE(도쿄 증권 거래소)

작년 DDoS사태를 돌이켜 볼 때 방어 시스템에 대한 건 없나요?
도스(DoS)는 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에서 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP연결(쉽게 인터넷)을 바닥내는 등의 공격이 이 범위에 포함된다.

분산 서비스 거부공격 디도스(Distributed DoS=DDoS)

여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 방법이다. 이는 정당한 인터넷 사용 정책에 반하는 것으로 여겨지며 거의 모든 인터넷 서비스 공급자의 허용할 수 있는 사용 정책도 위반한다. 또한 ㄱ별 국가의 법률에도 저촉된다. - 위키디피아.

쉽게 간단한 Ping 명령어를 통해 설명할 수 있다. 이 명령어를 사용하면 자신이 사용하는 장비와 목적지의 장비간의 통신이 정상적으로 이루어지는지를 파악할 수 있다. A에서 ping xxx.xxx.xxx.xxx(ip주소) or www.xxx.xx.xx 같이 도메인주소를 입력했을 시 B장비에서는 A의 Ping signal에 대해 통상적으로 응답을 하겠금 되어있다. 이것을 이용하여 상당히 많은 장비들에서 동시 다발적으로 Ping 신호가 하나의 장비에 집중적으로 간다면, Ping 조차 한 장비의 자원(리소스)를 소모하기 때문에 B와 같은 장비는 과부하에 걸려 정상적으로 서비스 되지 않는 경우가 발생한다. 
  한번 Yahoo를 상대로 Ping을 발생시켜 볼까?
  Windows User : Start - 실행 - cmd    실행창 - ping www.yahoo.co.kr
  Linux/Unix User : 터미널 - ping www.yahoo.co.kr
  Cisco Router/Switch : enable - ping www.yahoo.co.kr
### 64byte 사이즈의 핑 패킷을 야후(206.190.60.37)로 부터 icmp(ping이 사용하는 포트)  ttl(OS마다 다르지만 Unix는 128 Windows 255, 위의 48은 아무래도 라우팅을 거쳐서 적어질 가능성이 있음.) 등 패킷이 발생한 것을 볼 수 있다. (참고로 발생 패킷의 사이즈와 몇 번 핑을 발생시킬지도 설정이 가능합니다.) ###

이런 DDoS 공격에 대해 주니퍼는 라우터, 스위치, 보안 장비들이 유기적으로 연결이 되어 정상적인 ICMP 에 대한 유해트래픽과 정상트래픽을 좀비컴퓨터들로부터 차단시켜 DDoS를 막는다는 솔루션을 소개했다. 2009. 03. 10 Wed.


RedGumbaeng2
KIM YONG SOO
Twitter  @ysibm
ysibm86@gmail.com

'보안세상 기고글' 카테고리의 다른 글

SW가 글로벌 수준이 되려면...  (0) 2010.06.29
소셜 게임 전략 컨퍼런스 - 보안세상 기고글 원문  (0) 2010.06.28
아이폰 OS 4.0 Beta가 릴리즈 되었습니다.  (11) 2010.04.10
CEO가 말하는 성공기업의 조건  (0) 2010.03.26
감성시대가 요구하는 창조적 User eXperience(UX) 세미나.  (0) 2010.03.25
Posted by Fast_Gumbaeng2
:

티스토리툴바