피싱

Phishing = Private data + Fishing

피싱의 개요

피싱의 정의

전자우편 또는 메신저를 사용하여 신뢰할 수 있는 사람 또는 기업인 것처럼 가장하여 기밀을 요하는 정보를 부정하게 얻으려는 방법

피싱의 특징

• 신뢰할 수 있는 메일 주소로 가장
• 신용카드 번호나 패스워드 입력을 요구
• 백신 소프트웨어에 검출되지 않음
• 웹 사이트를 만드는 기술 이외 특별한 기술 불필요

피싱의 종류

보이스 피싱

액티브 피싱

• 중간자공격을 피싱 공격에 응용한 것으로, MITM 피싱 또는 실시간 (real-time) 피싱
• 기존 피싱 방지 기술인 2채널 인증, OTP로 방지가 어려움
• 사용자들의 교육을 통한 보안카드 전체 입력, HOST 파일 변조 확인, URL 오탈자 실수 방지의 사전 주의 교육으로 방지가 불가능

스피어 피싱

• 날카로운 창(Spear)으로 찌르는 것을 의미하는 것으로, 한 개인이나 조직을 집요하게 노리는 피싱 공격
• 일반 피싱이 불특정 다수를 노리는 것과는 달리 대상이 정해져 있다는 특징
• 수시로 기밀정보를 유출

피싱 예방방법

1. 신뢰할 수 없는 메일 링크는 클릭하지 않음
2. 메일 헤더를 확인
3. 주기적으로 메신저 비밀번호 변경
4. 사용하지 않는 계정 삭제
5. 단기적 목적으로 가입한 사이트는 탈퇴
6. 각 사이트 별 아이디/비밀번호 다르게 관리
7. 메신저를 최신 업데이트하고, 보안 기능을 최대로 설정하여 이용
8. 보안백신을 설치하고 주기적 업데이트 및 검사 수행
9. 피싱이 의심될 경우 즉각 송금중지를 요청하고 경찰, 은행에 신고 조치
10. 사용하는 브라우저는 최신 버전으로 업데이트