국내 최초로 은행 홈페이지를 가장한 ‘피싱(Phishing) 사이트’를 만들어 개인정보를 빼낸 범인은 고교생인 것으로 밝혀졌다. 1일 안철수연구소에 이 피싱 사이트가 신고되면서 금융감독원은 5일 ‘피싱 사기 사이트 주의보’까지 내렸다.
경찰청 사이버테러대응센터는 13일 A은행 가짜 사이트를 만든 뒤 접속한 이용자들의 개인정보를 빼낸 혐의(정보통신망이용촉진 및 정보보호 등에 관한 법률 위반)로 경기 군포시 B고 2학년 김모(17)군을 불구속 입건했다. 김군은 이 개인정보로 게임 사이트에서 470회에 걸쳐 77명 명의로 사이버머니와 아이템을 팔아 90여만원을 챙겼다.
경찰에 따르면 김군은 1학년 때 반장, 2학년 때 부반장을 맡는 등 모범적인 학생이었으나 지난해 초부터 인터넷게임에 지나치게 몰두했다. 집안이 어려워 용돈이 항상 부족했던 김군은 자신의 아이템을 팔아 몇 차례 돈을 번 뒤 남의 ID와 비밀번호로 아이템을 만들어 팔기로 했다.
김군은 컴퓨터 실력이 뛰어나지 않았지만 인터넷에 널려 있는 방대한 해킹자료를 통해 피싱 사이트로 개인정보를 확보할 수 있다는 사실을 알게 됐다.
그의 피싱 수법은 지능적이고 정교했다. 일단 2월 가짜 은행 사이트(XXX.wo.ro)를 만들었다. 모 은행 사이트 초기화면의 파일만 저장한 뒤 ‘실명인증 프로그램 다운로드’란 메뉴를 추가했다. 하지만 실제론 ‘실명인증프로그램’ 대신, 원거리 컴퓨터를 원격 관리하는 상용프로그램(SMPClient)을 설치했다. 이 역시 인터넷 자료실에서 쉽게 구할 수 있었다.
김군은 게임을 하던 중 만난 이용자에게 채팅을 통해 “아이템을 사고 싶으니 은행에서 실명인증을 해달라”는 요구했고 게임이용자는 김군이 가르쳐준 가짜 은행 사이트에서 실명인증 프로그램으로 위장한 상용프로그램을 다운 받았다.
상대의 컴퓨터를 원격 조정하게 된 김군은 상대의 백신프로그램을 삭제해 보안망을 무력화한 후 해킹 전용프로그램(넷버스)을 몰래 깔아 개인정보를 마음껏 전송 받았다.
경찰 관계자는 “공인인증서를 이용하는 은행의 인터넷 뱅킹은 기존 피싱 범죄로부터 비교적 안전했으나 이번 사건처럼 피싱과 해킹이 결합되면 거의 모든 금융거래정보가 유출될 수 있다”고 경고했다.
고찬유기자 jutdae@hk.co.kr
■‘피싱(Phishing)이란? 개인정보(Private Data)와 낚시(Fishing)의 합성어로 정상 웹서버를 해킹해 위장 사이트를 만든 뒤 네티즌들이 프로그램을 내려 받도록 하거나 이메일을 보내는 등 수법으로 개인정보를 빼내 범죄에 악용하는 행위.
기사 URL이 복사되었습니다.
댓글0