파밍의 뜻과 정의
'피싱(phishing)'과 '조작(Farming)'의 합성어인 파밍(Pharming)은 웹사이트의 트래픽을 조작하여 기밀 정보를 탈취하는 피싱과 비슷한 온라인 사기로, 기본적으로 가짜 웹사이트를 만들어 사용자를 해당 사이트로 리디렉션하는 방식의 범죄 행위입니다.
파밍이란?
파밍은 범죄자가 특정 웹사이트에 접속하려는 인터넷 사용자를 다른 가짜 사이트로 리디렉션하는 일종의 소셜 엔지니어링 사이버 공격입니다. 이러한 '스푸핑(Spoofing)' 사이트는 피해자의 개인 식별 정보(PII)와 로그인 자격 증명(예: 비밀번호, 주민등록번호, 계좌 번호 등)을 수집하거나, 컴퓨터에 파밍 멀웨어를 설치하는 것을 목표로 합니다. 파밍 공격자들은 주로 은행, 온라인 결제 플랫폼, 전자 상거래 사이트 등의 금융 사이트를 표적으로 삼는 경우가 많으며, 궁극적인 목표는 신원 도용입니다.
파밍은 어떻게 이루어지나요?
사용자는 www.google.com과 같이 문자로 구성된 인터넷 주소를 사용하지만 실제 연결이 이루어지기 위해서는 DNS 서버를 통해 IP 주소로 변환하는 일련의 과정을 거치게 됩니다. 파밍은 바로 이러한 기본적인 인터넷 검색 과정을 악용합니다.
파밍은 다음과 같은 두 가지 방법 중 하나를 통해 이러한 프로세스를 공격합니다.
- 첫 번째는 해커가 사용자의 컴퓨터에 바이러스나 트로이 목마를 설치하는 악성 코드를 이메일로 보내는 방법입니다. 이러한 악성 코드는 컴퓨터의 호스트 파일을 변경하여 트래픽을 원래 방문하고자 했던 사이트에서 가짜 웹사이트로 유도합니다. '멀웨어 기반 파밍'이라고 불리는 이러한 형태의 파밍 공격을 받으면 사용자가 올바른 인터넷 주소를 입력해도 손상된 호스트 파일로 인해 사기 사이트로 이동하게 됩니다.
- 두 번째는 해커가 DNS 포이즈닝(poisoning)이라는 기술을 사용하는 방법입니다. DNS는 '도메인 이름 시스템(Domain Name System)'의 약자로, 해커는 서버의 DNS 테이블을 수정하여 여러 사용자가 합법적인 웹사이트가 아닌 가짜 웹사이트로 무심코 방문하도록 만들 수 있습니다. 파밍 공격자는 이러한 가짜 웹사이트를 통해 사용자의 컴퓨터에 바이러스나 트로이 목마를 설치하거나, 신원 도용에 사용할 개인 및 금융 정보를 수집하려고 시도할 수 있습니다.
DNS 서버는 조직의 네트워크에서 방어 체계의 보호를 받고 있기 때문에 공격이 어렵지만, DNS 포이즈닝은 성공할 경우 다수의 피해자에게 영향을 미칠 수 있으므로 사이버 범죄자가 큰 이익을 얻을 수 있습니다. 포이즈닝은 다른 DNS 서버로 확산될 수도 있는데, 감염된 서버로부터 정보를 수신하는 인터넷 서비스 사업자(ISP)는 손상된 DNS 항목을 ISP의 서버에 캐싱함으로써 더 많은 라우터와 기기로 확산시킬 수 있습니다.
파밍 공격이 위험한 이유는 별다른 실수를 하지 않아도 피해자가 될 수 있기 때문입니다. DNS 서버 포이즈닝의 영향을 받는 경우 사용자의 컴퓨터에 악성코드가 전혀 없더라도 피해자가 될 수 있습니다. 컴퓨터가 연결 요청을 보낸 후에 잘못된 방향으로 리디렉션되기 때문에, 웹사이트 주소를 직접 입력하거나 항상 신뢰할 수 있는 북마크를 사용하는 등의 예방 조치를 취하는 것만으로는 충분치 않습니다.
파밍 공격자는 입수한 사용자의 개인 정보를 직접 사기에 활용하거나 다크웹에서 다른 범죄자에게 판매합니다.
피싱과 파밍 - 피싱과 파밍의 가장 큰 차이점은 무엇인가요?
피싱과 파밍 사기는 비슷하지만 완전히 같지는 않습니다.
피싱 사이버 범죄자가 믿을 수 있는 기업에서 보낸 것처럼 보이는 이메일을 보내는 사기 행위입니다. 이러한 이메일에는 순진한 사용자로 하여금 이름과 비밀번호와 같은 개인 정보를 입력하도록 요청하는 가짜 웹사이트로 연결되는 악성 링크가 포함되어 있습니다. 사용자가 해당 정보를 입력하면 사기범은 이를 범죄에 사용할 수 있습니다.
파밍은 피싱의 한 형태이지만 피해자를 유인할 수 있는 요소를 포함하고 있지 않습니다. 파밍은 두 단계로 진행되는데, 먼저 해커가 사용자의 컴퓨터나 서버에 악성 코드를 설치해 둡니다. 그런 다음에는 이러한 코드가 사용자를 가짜 웹사이트로 보내 개인 정보를 제공하도록 속이게 됩니다. 컴퓨터 파밍은 링크를 클릭하지 않더라도 자동으로 사기성 사이트로 리디렉션되어 사용자가 제공한 모든 개인 정보에 파밍 공격자가 액세스할 수 있게 됩니다.
피싱은 사기성 이메일이나 소셜 미디어 또는 문자 메시지를 사용하여 사용자의 금융 정보를 요구하는 반면 파밍은 미끼가 필요하지 않기 때문에 파밍을 '미끼 없는 피싱'이라고도 합니다. 파밍은 피해자가 딱히 어떤 행동을 하지 않아도 많은 컴퓨터에 영향을 미칠 수 있기 때문에 피싱보다 더 위험한 것으로 여겨집니다. 그러나 파밍 공격은 공격자가 훨씬 더 많은 작업을 해야 하기 때문에 피싱보다는 흔하지 않습니다.
파밍 공격 사례
2019년 베네수엘라에서 주목할 만한 파밍 공격이 발생했습니다. 그해 베네수엘라 대통령은 '베네수엘라를 위한 자원봉사자(Voluntarios por Venezuela)'라는 캠페인에 동참할 자원봉사자를 공개적으로 모집했습니다. 해당 캠페인은 인도주의적 지원을 제공하는 국제기구와 자원봉사자를 연결하기 위한 목적으로 추진된 것으로, 자원봉사자들은 이름과 신분증, 전화번호, 거주지 위치 및 그 밖의 개인 정보를 묻는 웹사이트를 통해 참가 등록을 하도록 요청받았습니다.
그런데 참가 등록 사이트가 개설된 지 일주일 만에 공식 웹사이트와 도메인과 구조가 거의 동일한 또 다른 웹사이트가 등장했습니다. 해당 웹사이트는 가짜로 밝혀졌지만, 문제는 베네수엘라 내에서는 진짜 웹사이트와 가짜 웹사이트가 모두 해커가 소유한 동일한 IP 주소로 등록되어 있었다는 것입니다. 즉, 사용자가 둘 중 어떤 웹사이트를 열든 결국에는 데이터가 가짜 웹사이트에 유입된다는 뜻입니다(해외에서는 다른 IP 주소로 연결).
한편 2015년 브라질에서는 공격자들이 브라질 최대 통신사인 UTStarcom 또는 TR-Link을 사칭하여 해당 통신사의 가정용 공유기를 사용하는 고객들에게 피싱 이메일을 보낸 사건이 있었습니다. 이메일에는 공유기의 취약점을 악용하여 공격자가 공유기의 DNS 서버 설정을 변경할 수 있도록 설계된 악성코드가 다운로드되는 링크가 담겨있었습니다.
최근에 일어난 일은 아니지만 파밍 공격 역사상 가장 중요하고 유명한 사건은 2007년에 미국, 유럽, 아시아 전역의 50개 이상의 금융 회사를 대상으로 벌어진 공격입니다. 당시 해커들은 표적으로 삼은 각 금융 회사별로 악성 코드가 포함된 가짜 웹페이지를 만들었으며, 해당 사이트를 통해 소비자의 컴퓨터가 트로이 목마를 다운로드하도록 유도하여 로그인 정보를 수집했습니다. 총 피해자 수는 확인되지 않았지만 공격은 3일에 걸쳐 진행되었습니다.
파밍 공격의 징후 - 파밍 피해자인지 구분하는 방법
파밍 공격의 피해자가 되었음을 알려주는 징후는 다음과 같습니다.
- 본인이 알지 못하는 PayPal이나 신용 카드, 직불 카드 요금이 청구되는 경우
- 소셜 미디어에 내가 작성한 것이 아닌 게시물이나 메시지가 올라와 있는 경우
- 소셜 미디어에 내가 보내지 않은 친구 요청이나 연결 요청이 표시되는 경우
- 온라인 계정의 비밀번호가 변경된 경우
- 다운로드하거나 설치하지 않은 새로운 프로그램이 기기에 나타나는 경우
이미 파밍 악성코드나 파밍 공격의 희생양이 되었다고 생각하는 경우에는 다음과 같은 조치를 취해야 합니다.
- DNS 캐시를 삭제합니다.
- 바이러스 백신 프로그램을 실행하여 악성코드를 제거하고 기기가 안전한지 확인합니다.
- 서버가 손상되었다고 생각되면 인터넷 통신 서비스 업체에 문의합니다.
- 모든 온라인 계정의 비밀번호를 변경합니다.
- 해당하는 경우 온라인 뱅킹, 이메일, 소셜 미디어 플랫폼의 사기 신고 절차를 따르세요.
파밍 공격 예방 방법
- 믿을 수 있는 인터넷 서비스 제공업체(ISP)를 선택하세요. 정상적인 업체는 의심스러운 리디렉션을 필터링하는 기능을 갖추고 있어 애초에 파밍 웹사이트에 접속할 일이 없도록 합니다.
- 신뢰할 수 있는 DNS 서버를 이용하세요. 대부분의 경우 통신사의 DNS 서버를 이용하지만, DNS 포이즈닝에 대해 더 강력한 보안을 제공할 수 있는 전문 DNS 서비스로 전환할 수도 있습니다.
- HTTP가 아닌 HTTPS로 시작하는 링크만 따라가세요. 'S'는 '보안'을 의미하는 것으로, 사이트에 유효한 보안 인증서가 있다는 것을 나타냅니다. 사이트에 접속하면 주소 표시줄에 자물쇠 아이콘이 있는지 확인하세요. 이는 사이트가 안전하다는 또 다른 표시입니다.
- 모르는 발신자가 보낸 링크를 클릭하거나 첨부파일은 열지 마세요. DNS 포이즈닝을 방지할 수는 없지만 파밍 공격을 가능케 하는 악성 소프트웨어는 피할 수 있습니다. 확실치 않은 이메일이나 메시지의 링크를 클릭하거나 첨부 파일을 열지 마세요.
- URL에 오타가 있는지 확인하세요. 파밍 공격자는 방문자를 속이기 위해 도메인 이름의 글자를 교묘하게 바꾸거나 추가하는 등의 수법을 사용하는 경우가 있습니다. URL을 자세히 살펴보고 오타가 발견되면 해당 사이트는 방문하지 마세요.
- 전체적으로 의심스러워 보이는 웹사이트는 피하세요. 전체적으로 의심스러워 보이는 웹사이트는 피하도록 합니다. URL 외에도 맞춤법이나 문법 오류가 있거나, 익숙하지 않은 글꼴이나 색상이 사용되었거나, 콘텐츠가 누락된 경우(예: 일부 파밍 사기범은 개인정보 처리방침이나 이용약관은 생략하기도 함) 주의해야 합니다. 또한 정보를 제출하기 전에 혹시 일반적인 경우와 다른 점은 없었는지 확인합니다.
- 조건이 너무 좋아 보이는 거래는 피하세요. 조건이 너무 좋아 보이는 거래는 피하세요. 온라인 사기범은 합법적인 경쟁업체보다 훨씬 파격적인 할인 혜택 등 눈길을 끄는 거래 조건으로 피해자를 유인하는 경우가 있습니다. 판매 조건이 믿기 어려울 정도로 좋다면 주의해야 합니다.
- 가능하면 2단계 인증을 사용하도록 설정합니다. 대다수의 플랫폼에서 2단계 인증 옵션을 제공하고 있으며, 해당 옵션을 사용할 수 있는 경우에는 이를 활성화하는 것이 좋습니다. 2단계 인증을 사용하면 사기꾼이 파밍을 통해 로그인 정보를 알아내더라도 계정에 액세스할 수 없으므로 해킹을 저지르기가 어려워집니다.
- Wi-Fi 공유기의 기본 설정을 변경하세요. 일반적인 비밀번호 대신 강력한 비밀번호를 개인 네트워크에 사용하면 DNS 포이즈닝을 방지하는 데 도움이 됩니다. 또한 공유기를 최신 상태로 유지하는 것이 중요합니다. 공유기에 자동 업데이트 기능이 없는 경우, 해당 기능이 있는 제품으로 교체하는 것이 좋습니다.
- 강력한 악성코드 방지 및 바이러스 백신 솔루션을 사용하고 최신 상태로 유지하세요. Kaspersky Total Security는 해커와 바이러스, 악성코드로부터 사용자를 보호하고 24시간 상시 작동하여 기기와 데이터를 보호합니다.
파밍 및 피싱과 같은 사이버 범죄로부터 자신을 보호하는 가장 좋은 방법은 종합적인 바이러스 백신 보호 솔루션을 이용하고, 최신 사이버 보안 모범 사례를 따르는 것입니다.