본문 바로가기

Security Indicator/Insight

피싱 및 파밍 사고 예방. 과연 이게 최선 입니까?

피싱 및 파밍 사고 예방. 과연 이게 최선 입니까?

며칠전 받은 문자 한통;
"파밍 사기 예방을 위해 설연휴기간 절대로 보안카드 35개의 숫자를 입력하지 마세요."

뭐 대충 이런 문구 였죠. 정말 이게 최선 인가요? 생태계가 무너지면 이건 끝이에요. 온라인 거래로 수익 많이 나셨지만 이젠 아닐 수도 있다고 생각해야죠. 


조 단위 수익이 나는 금융회사와 비교도 안될 정도로 미미 했던 모 포털의 게임 부분 관리 할때도 이 문제는 환경 개선을 시도 한 적이 있습니다. 관련 내용은 검색 하셔도 나옵니다.  모두 처음 시도한 내용들이긴 합니다.

2005년 무렵이네요. 벌써 8년전.  기억 하시는 분들 좀 있으실듯
그때도 온라인 상의 계정 탈취를 위한 BHO 기능을 가진 악성코드들이 처음 출현한 시기 입니다. 피해가 계속 늘어나서 원인 제거를 위한 방안들을 짧은기간에 기획하고 진행한 적이 있습니다.

1. 온라인에서 게임계정 탈취를 위한 악성코드가 로드 되어 있다면 첫페이지 접근시에 (로그인 하기 전에 ) ActiveX로 전용백신을 설치하여 해당 프로세스 제거하여 원인을 줄입니다. 차단 횟수 무척 많았습니다.

2. 악성코드가 설치되는 공격코드들을 살펴보니 주로 세가지 정도의 윈도우 취약성을 이용했던 것으로 기억합니다. 그때는 윈도우 패치가 자동 업데이트 없었습니다. 파일 하나하나 다운로드 받아서 직접 설치 했어야 했죠. 그 당시 국내 신생 업체 중 온라인에서 패치 파일을 검증하고 설치해 주는 서비스 ( 요즘은 일반화 되어 있죠?  PMS ) 가 막 시작할 때였죠.   웹상에서 ActiveX로 일반 방문자의 브라우저가 해당 게임사 홈페이지로 접근하면 동의를 받고 온라인 패치 서비스를 설치 하도록 했습니다.  그리고 우리가 관찰한 가장 적극적으로 활용된 취약성 3가지를 가장 먼저 패치하고 이후에도 계속 했었죠.  그 후로 6개월 동안 패치한 유니크한 피씨는 1100만대 였습니다. 그때가 2006년 입니다.

이후 시간이 지나 여러 곳에서 온라인 패치를 하기 시작했고 ( 이것도 기억 하는 분들 많이 있을듯. ) 그 뒤 MS에서도 자동 업데이트를 하기 시작했죠. 지금이야 자동이지만 몇년전만 해도 자동 아니였습니다.

..
8년전 했던 일입니다. 현상이 있다면 그 원인을 제거해야 개선 시킬 수 있고 문제를 낫게 만들 수 있습니다. 지금은 현상만 알려주고 주의를 하라고 한다면 과연 개선이 될까요? 금융 사고의 피해는 누가 입나요? 일차적으로는 이용자고 그 뒤는 금융사입니다. 최종적으로는 금융 시스템 자체의 불신으로 넘어 갈 수도 있는 사안이죠.

예전의 사례를 든건 ..저 때에도 저런식으로 문제를 풀고 개선 시켜 왔다는 점입니다.

지금의 해결방식은 누군가가 대신 해주기를 바라고 책임전가를 하는 것에 지나지 않는 것 같습니다.  근원 문제 해결을 위해 각 금융기관 차원에서도 차별성을 지니기 위해서 원인 제거와 같은 활동을 해야 하지 않을까요?

하다못해 형식적으로 가져다 놓고 온갖 원망을 사고 있는 금융사 접근시 마다 깔리는 ActiveX들이 효율적으로 운용이나 되고 있는지요? 정체를 파악해서 위험을 사전에 제거 하고 등등 말입니다. 문제 해결에는 도움이 안되고 번거롭게만 하니 원망을 사는거죠. 물론 규제가 있고 설치를 해야만 하니 형식적 운용을 하겠지만 말입니다.


왜? 어째서? 안하는걸까요? 몰라서라기 보단 당장 수익이 없기 때문이겠지만 그건 시스템 체계의 공멸로도 갈 수 있을 겁니다.

뭐 하든 안하든 상관 없습니다만 현재 문제의 개선은 앞으로도 막막해 보이네요.


-바다란