The Korea Herald


신종 해킹피싱 등장, 공인인증서 노린다!

By KH디지털뉴스부공용

Published : Jan. 30, 2013 - 14:39

    • Link copied

(123rf) (123rf)

피해자들의 전자메일을 통해 침투해 공인인증서를 도용, 단시간에 은행 계좌를 터는 신종 ‘해킹 결합형 피싱’ 사례가 등장했다고 경찰이 밝혔다.

‘피싱’이란 ‘개인정보(private data)’와 ‘낚는다(fishing)’의 합성어로 국내에서는 지난 2004년 처음 등장했다. 이후 지난 8년간 보이스피싱, 메신저피싱, 스미싱 등 다양한 변종 수법들이 나타났다.

경찰 관계자는 “신종 피싱범들은 피해자들의 전자메일 계정을 통해 공인인증서를 훔치고 이를 이용해 온라인 게임머니 등을 구입하는 2차 과정을 거치는데, 이 때문에 직접 송금을 통해 돈을 빼가던 과거 수법들에 비해 추적이 훨씬 어렵다”고 밝혔다.

앞서 금융감독원은 각종 금융사기 사례에 대한 대안으로 300만원이 넘는 금액을 이체할 시 10분간 해당 계좌에서 인출할 수 없게 하는 방안을 내놓았다. 그러나 이번에 보고된 신종 ‘해킹 결합형 피싱’은 이 방안의 허점을 공략한 것으로 알려졌다.

한편 이 신종 피싱의 가장 큰 문제점은 공인인증서 해킹의 기술적 난해성으로 인해 피해자들이 게임회사와 결제대행사 가운데 어느 쪽에 피해 구제를 요청해야 하는 지 여부가 불확실하다는 점이다.국내 기업들은 직원들에게 앞다투어 확인되지 않은 계정에서 발신된 전자메일을 열어보지 말라는 지침을 내려 큰 피해를 야기할 수 있는 기업 서버컴퓨터 해킹을 사전에 단속하고 있다. (코리아헤럴드)

<관련 영문 기사>

New email-hacking phishing spreading

A new form of phishing crime, stealing a victim’s accredited certificates by hacking into email accounts, has been spreading, the police reported.

Phishing is a compound word of “private data” and “fishing” and was first reported in Korea in 2004.

Scammers have been refining fraud techniques to steal personal data over the last 8 years and a variety of tricks like voice-phishing and smishing, one by text message, have hit many unsuspecting users.

“Offenders of the new phishing fraud break into victims’ email accounts and exploit accredited certificates for banking to purchase online game money using victims’ bank credit, which makes them much harder to trace compared to previous means including direct wire transfer,” officials at the police said.

The Financial Supervisory Service had already introduced a countermeasure against banking fraud by prohibiting a withdrawal within 10 minutes after transferring money worth more than 3 million won ($2,770) in the same bank account. The new scam allegedly targets a loophole in the system.

The biggest problem of the new phishing scam is that it is difficult for the victims to restore the financial losses since the technological complexity of hacking involving accredited certificates makes it hard to clarify who is responsible. The parties concerned are banks, game companies and online payment agencies.

A growing number of Korean companies are sending messages to their employees, asking them not to open emails sent from unidentified accounts in order to prevent hacking attacks into companies’ computer servers.

From news reports