파밍 공격자, 공인인증서 없는 텔레뱅킹 허점 노린다

실시간
뉴스

침해사고/위협동향

파밍 공격자, 공인인증서 없는 텔레뱅킹 허점 노린다

디지털데일리 발행일 2014-11-25 18:39:18

이민형

URL복사

[디지털데일리 이민형기자] 공인인증서를 사용하지 않는 텔레뱅킹의 특징을 이용해 금전탈취를 시도하는 공격자가 나타나고 있어 주의가 요망된다.

허위 사이트를 통한 정보수집 기법인 '파밍'으로 사용자의 아이디, 비밀번호, 계좌번호, 보안카드 번호 등 사용자 정보를 수집한 뒤 텔레뱅킹으로 거래하는 방법이다. 텔레뱅킹은 공인증서 없이 계좌정보와 보안카드만으로 거래할 수 있기 때문이다.

25일 보안업체 ‘빛스캔’이 확보한 파밍사이트 데이터에는 사용자 계정정보, 계좌정보 등과 더불어 ’텔레뱅킹 시도’, ‘오티피 소지안함’과 같은 기록이 남아있었다. 이 기록은 인터넷뱅킹으로 금전탈취가 어려워진 공격자들이 보다 난이도가 낮은 텔레뱅킹으로 방향을 전환했다는 근거가 된다.

공격자들은 기본적으로 파밍사이트를 통해 사용자 금융정보를 수집한다. 수집되는 정보에는 아이디, 비밀번호, 이체 비밀번호를 비롯해 보안카드 등도 포함된다. 공인인증서까지 확보한 경우 인터넷뱅킹 등을 통해 금전탈취를 시도하지만 확보하지 못했을 경우 텔레뱅킹으로 수법을 변경하고 있다.

특히 공인인증서 탈취에 대한 금융회사와 보안업계의 대응이 빨라지면서 텔레뱅킹으로의 전환이 더 가속화된 것으로 보인다.

대부분의 전자금융서비스 사용자들은 텔레뱅킹 대신 인터넷뱅킹이나 모바일뱅킹 서비스를 쓰고 있으나, 텔레뱅킹 서비스를 별도로 해지하지 않았을 경우엔 언제든지 금전탈취의 피해자가 될 수 있다.

전문가들은 파밍으로 인한 텔레뱅킹 피해를 예방하기 위해서는 무엇보다도 금융정보를 타인에게 알려주거나 웹사이트 등에 입력해서는 안된다고 지적한다. 또 일회용비밀번호(OTP) 생성기와 같은 멀티팩터 인증을 사용할 것을 추천한다. 아울러 텔레뱅킹을 사용하지 않는다면 해지하는 것이 사고를 미연에 방지할 수 있는 방법이다.

<이민형 기자>kiku@ddaily.co.kr