피싱 사이트는 기술적으로 여러가지 방법이 있겠지만 최근에 개설된 금융권의 피상사이트를 분석하면 아래와 같은 형식으로 나타난다.
※ 피싱 절차
- 원격지에 다수의 시스템을 해킹 또는 정상적으로 사이트를 개설
- 도메인을 등록하여 해당 시스템을 등록
- 무작위 문자 배포
- 피싱 사이트를 통해 탈취한 개인 및 금융정보를 활용하여 자금 인출
※ 피싱 사이트 개설 방식
 |
||
가. iFrame을 이용 |
나. 소스코드 복사 |
다. 스크린 샷 |
피싱 사이트를 개설하기 전에 사전에 탐지 할 수 있는 방법이 있다면 좋겠지만, 매우 어려운 것이 사실이다.
여기서는 피싱 사이트 개설 방식별로 최단 시간내에 탐지하는 방안에 대해서 몇 가지 기술하고자 한다.
※ 탐지 방안
탐지 방안은 최단 시간에 피싱 사이트를 찾는 방법을 의미한다
- Referer를 활용하는 방법
"가", "나"의 경우는 홈페이지의 자원을 활용하게 되어 있는 구조로 피싱 사이트에 접속하면 Referer에 사이트의 주소가 남게된다. 이런한 원리를 이해하고 활용하면 Referer수집과 User-agent 등의 HTTP 프로토콜 정보를 활용하여 피싱 사이트와 접속한 브라우져 유형을 보고 대략적인 단말 종류와 접속한 규모를 가늠할 수 있다.
- 신규 도메인을 활용하는 방법
신규 도메인 정보를 제공하는 사이트 또는 차상위 도메인을 관리하는 Verisign 등에 등록해서 신규 도메일을 정보를 받아서 일정기간 접속 및 키워드 등의 검색을 통해서 탐지하는 방법이다.
.net .com .org 등등의 차상위 도메인은 하루 평균 5만건의 신규 도메인이 등록되는 것으로 보인다.
※ 한계점
여러가지 노력에도 불구하고 피싱 사이트를 최단 시간에 탐지 하였다고 하여도 한국인터넷진흥원(KISA)과 협조하여(정보통신방법으로 지정된 기관) 주요 ISP업체와 공조해야만 어느정도(100%아님) 차단이 가능하다.
이 부분은 피싱 공경의 특성상 현재까지는 한 기업이나 단체의 단독으로 통제 및 차단이 불가한 불가피한 부분이다.
Sub Domain을 활용한 "다" 방식의 경우는 "신규 도메인을 활용한 방법"은 무용지물이 된다. 여기 부터는 아마도 고객의 신고가 최선의 방법일 수 밖에 없을거 같다.
한동안 피싱 사이트 대응하면 알게된 부분을 정리햇습니다. 참고하세요.
