예시로 알아보는 피싱, 파밍, 스미싱 구분, 예방 및 대처 방법

피싱, 파밍, 스미싱에 대해서 한 번쯤은 들어 보셨을 겁니다.

비슷 비슷 하지만 각각의 특징과 차이점이 있는데 이번 게시물에서는 각각 어떠한 차이점이 있는지와

어떻게 예방 및 대처할 수 있는지에 대한 내용을 통해 피해 예방에 도움이 되었으면 합니다.

---

피싱, 파밍, 스미싱이란? 예방 및 대처 방법은?

피싱(Pishing) 이란?

Fishing(낚시)에서 유래된 말로

Private Data + Fishing의 합성어로 개인정보를 절취하는 것을 말합니다.

 

정상 홈페이지와 화면은 유사하나 URL 주소(도메인, IP)가 다른 사칭용 홈페이지를 만든 후,

이용자에게 문자 메시지, SNS, 이메일 등으로 접속을 유도한 후 개인정보, 금융정보 등을 입력하게 하여

정보를 탈취하는 인터넷 사기 행위를 말합니다.

 

보이스피싱(voice phishing) 도 같은 개념으로 문자 메시지, 이메일이 아닌 직접 통화를 통하여

금융 사기를 하는 것을 말합니다.

 

대표적 피싱 유형

1. 이메일 피싱 : 이메일을 통한 세금계산서, 견적서, 입사지원서 등으로 클릭 유도
   • 실제 사이트에서 보내는 것과 거의 동일하여 구분이 어려움
   • 불법적으로 수집된 인적 사항을 토대로 이메일, 직장명, 이름, 전화번호 등을 도용하여 메일 발송
   • 보안이 취약한 이메일 계정을 직접 해킹하여 피싱 메일 발송
   • 세금계산서, 견적서, 입사지원 등 회사 업무에 꼭 필요한 내용으로 위장되어 주의 필요
2. 메신저 피싱 : 문자메시지나 메신저 계정을 통해 사람을 사칭하여 돈을 이체하도록 유도
   • 액정이 깨지거나 핸드폰을 분실한 것처럼 대화 유도
   • 환불받아야 하니 신분증, 계좌번호, 비밀번호 등 요구
   • 가상번호로 가입한 해외 계정 또는 대포폰을 이용함
   • 해외 계정일 경우 카카오톡에서는 프로필에 붉은색의 주의 아이콘으로 표시됨
   • 고전적인 문자 메시지를 이용하는 형태로 변화하고 있
3. 보이스 피싱 : 전화를 통해서 불특정 다수에게 전화를 걸어 당황하게 만든 다음에 계좌이체를 유도
   • 카드, 세금 연체 또는 환급해 주겠다
   • 이벤트 당첨, 상급 지급해 주겠다
   • 검찰청 및 범죄연루 되어 있다
   • 우체국 우편물, 택배 반송 되었다
   • 계좌가 금융범죄에 노출, 대포 통장에 이용되었다
   • 자녀, 지인이 다쳤다거나 납치되었다
   • 나름대로의 시나리오를 가지고 접근하기 때문에 당황하면 당하기 쉽다 

 

피싱 사례 알아보기

피싱 사이트는 모양은 동일하지만 주소를 비슷하게 하여 만드는 경우가 가장 많습니다.

daum.net을 daun.net, daum.com 등으로 입력을 잘 못하거나 구분이 어렵도록 하는 경우가 많습니다.

 

최근에 문제가 되었던 피싱 사이트는 우리나라 최대 포털 사이트 네이버를 가장하였는데

정상적인 네이버의 주소는 naver.com이지만, naverportal.com으로 네이버와 동일한 사이트를 만들어서

사용자 정보를 탈취하려 했던 사건이 발생했습니다.

 

아래 링크에 뉴스가 있으니 꼭 한번 읽어보길 추천합니다.

https://www.donga.com/news/Society/article/all/20230614/119759530/2

“이게 가짜?”…北 해커가 만든 ‘네이버 피싱 사이트’ 적발

 

피싱 메일 및 문자 메시지 예시

아래의 이미지는 실제 이메일을 통한 피싱 메일과 문자 메시지입니다.

 

피싱 이메일을 보면 제목, 내용, 이미지 및 구성이 정교하게 위조되어 구분이 정말 어렵습니다.

그러나 자세히 보면 피싱 메일이라는 것을 확인할 수 있는데

보낸 사람(From : )이 국세청과 팝빌이 아닌 개인 메일 또는 잘 알려지지 않는 사이트라는 것을 확인할 수 있습니다.

 

피싱문자의 경우, 국제발신이 많아서 문자 상단에 [국제발신]이라는 문구가 추가되어 있어

그나마 구분을 쉽게 할 수 있습니다.

국세청과 팝빌을 가장한 실제 피싱 메일 예시

피싱 문자 예시

 

---

 

파밍(Pharming) 이란?

파밍(Pharming)은 피싱의 업그레이드 버전으로 해킹, 바이러스, 악성코드 등을 통해

감염된 PC를 조작해 정상 사이트 주소를 입력해도 가짜 사이트(피싱사이트)로 강제로 연결되도록 하는 방법을 말합니다.

일반적으로 이용자 PC의 호스트(hosts) 파일을 변조하는 악성코드에 감염되어 발생합니다.
 
예를 들어, 윈도의 호스트(hosts) 파일을 수정하여 

정상적인 tistory 홈페이지 주소가 http://www.tistory.com 아닌 특정 (파밍) 사이트로 접속하도록 설정되어 있으며 

원래의 http://www.tistory.com 아닌 특정 (파밍) 사이트로 접속되도록 해킹되어 있어

사용자는 정상 사이트로 오인하기가 쉽습니다.

---

스미싱이란?

문자메시지(SMS)와 피싱(Phishing)의 합성어로,

1. "장례 및 부고 알림", "돌잔치 초대장", "결혼 청첩장", "택배 알림" 등을 내용은하는 문자메시지(SMS)에 피싱사이트 링크를 넣어놓고 해당 링크를 클릭하면
2. 피싱 사이트를 통해서 악성코드가 스마트폰에 설치되고
3. 소액결제 피해 발생 또는 사진, 개인정보, 금융정보를 탈취당하는 범죄행위입니다.

이때, 악성코드는 결제 및 본인 인증에 필요한 인증번호를 가로채어 금융 피해를 발생시키는 것도 문제이지만,

스마트폰에 저장된 연락처, 주민등록증, 운전면허증, 보안카드, 공인인증서 등 개인정보를 탈취하여 더 큰 금융범죄로

이어지기 때문에 특별히 주의해야 합니다.

---

예방 및 대처 방법

피싱, 파밍, 스미싱 노출된 개인정보를 통해서 맞춤형으로 시나리오를 만들고,

지속적으로 변화하고 다양화되고 있기 때문에 조심해야 합니다.

 

하지만, 아래에 알려드린 내용을 참고하시면 피해를 당할 확률을 줄일 수 있습니다.

 

• 연락처에 등록되지 않은 사람의 문자, 이메일, 메신저의 링크는 바로 열지 않습니다.
• 보낸 사람과 보낸 이메일을 확인하여 많이 사용하지 않는 메일로 들어온 링크는 주의한다.
• 자주 사용하는 사이트는 즐겨찾기에 등록 후 해당 사이트에 직접 들어가 확인한다.
• 스마트폰에 주민등록증, 운전면허증, 보안카드, 공인인증서를 저장하지 않는다.
• 신분증, 계좌번호, 비밀번호는 알려 주지 않는다.
• 뜬금없이 이상한 전화가 왔을 때 아예 상대를 안 하는 게 가장 좋은 방법이며, 추후 해당 은행 등에 전화 걸어 확인한다.
• 스마트폰 업데이트 및 PC 업데이트는 최신으로 유지한다.
• 백신 프로그램을 설치한다.

실제 파밍 사기로 인해 금전적인 피해가 발생한 피해자는 다음과 같이 지급정지 및 환급신청을 합니다

(「전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법」 제3조 참조)

1. 신속히 경찰서나 금융회사 콜센터를 통해 지급정지 요청을 한 후
2. 해당 은행에 경찰이 발급한 ‘사건사고 사실확인원’을 제출하여 피해금 환급 신청을 합니다.

• 지급정지·피해신고
  • 경찰청 국번 없이 ☎112 / 금융회사 콜센터
• 피해상담 및 환급금 환급안내
  • 금융감독원 국번없이 ☎1332

---

이번 시간에는 피싱, 파밍, 스미싱에 대한 내용과 예방 및 대처 방법에 대해서 알아보았습니다.

방법이 날로 교묘해지고 있기 때문에 주의를 기울이지 않으면 금융 사고의 피해자가 될 수 있으니

제 글이 피해 예방에 도움이 되었으면 합니다.