피싱 공격과 방어

전문가 제언

○ 피싱(Phishing)은 개인정보를 뜻하는 Private data와 낚시의 의미를 갖는 Fishing 의 합성어이다. 피싱은 이메일 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 사용자의 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사이버 범죄의 하나이다. 피싱 공격은 사용자가 주의를 기울임으로 어느 정도 방어할 수 있지만 피싱 공격자는 더욱 더 진화된 방법으로 공격하기 때문에 방어하기가 매우 힘들다.

 

○ 피싱 공격은 이메일만을 이용하는 것이 아니라 음성메시지, SMS, 인스턴트 메시지, 소셜 네트워크, 심지어 멀티 플레이어 게임을 통하여 침투한다. 피싱의 주목적은 희생자가 위장된 사이트를 방문케 하는데 있다. 그 사이트는 겉으로 보기에는 확실하며 안전한 사이트로 믿게 함으로서 사용자 이름과 패스워드를 입력하게 하여 개인정보를 훔친다. 피싱 사이트는 일반적으로 개인의 신용카드 번호, PIN, 사회 안전 번호, 은행계좌와 패스워드를 알아내기 위해 설치되는 사이트다.

 

○ 국내에서도 피싱과 DNS 파밍(pharming)공격을 방어하기 위한 연구와 프로그램개발이 활발히 진행되고 있다. Symantec은 최근에 한국의 인터넷 사용자를 겨냥한 피싱 공격이 증가되고 있다고 보고하였다. 대학과 연구소에서도 피싱과 파밍 연구가 주목받고 있다. 스피어 피싱(spear phishing) 사이트 탐지연구는 전북대(박정욱)에서, DRL 스푸핑(spoofing)방어 연구는 고려대(민동욱)에서, 피싱및 파밍 방지를 위한 인지기반 연구는 인하대(김연주)에서 수행되고 있으며 대부분 국내대학의 정보통신 대학원에서 피싱 공격과 방어 연구가 수행되고 있다.

 

○ 이 리뷰의 3명의 저자중 Dr. Junaid Ahsenali Chaudhry는 아주대학교에서 학위(Ph. D)를 받았으며, Dr. Robert G. Rittenhouse는 현재 계명대 컴퓨터공학과 교수로 재직 중에 있으며 교신저자다. 현재로서 피싱 문제를 완벽하게 해결할 수 있는 묘책은 없다. 그러나 우리는 좀 더 강건한 사이버 건강체로 훈련되는 사용자가 되도록 노력할 필요가 있기 때문에 이 리뷰를 추천한다.

저자

Junaid Ahsenali Chaudhry, et al.

자료유형

니즈학술정보

원문언어

영어

기업산업분류

정보통신

연도

2016

권(호)

10(1)

잡지명

International Journal of Security and Its Applications

과학기술
표준분류

정보통신

페이지

247~256

분석자

윤*중

분석물

• 피싱 공격과 방어.pdf [554,622 byte]

이미지변환중입니다.