소사이어티

사람들

arrow_downward최신기사

메신저

카카오톡, 메신저 피싱 예방하는 '글로브 시그널' 도입

카카오가 메신저 피싱 등으로 인한 이용자 피해 방지를 위해 카카오톡에 ‘글로브 시그널’을 새롭게 도입한다. 카카오는 지난 2012년부터 해외 번호 가입자일 경우 프로필에 국기 이미지를 노출해주는 ‘스마트 인지 기술’을 적용해왔다. 이번에 도입된 ‘글로브 시그널’은 한 층 강화된 이용자 보호 기능으로, 친구로 등록되지 않은 대화 상대가 해외 번호 가입자로 인식될 경우 이용자가 명확하게 인지할 수 있도록 주황색 바탕의 지구본 프로필 이미지를 보여준다. 해당 대화 상대를 친구로 추가하거나 채팅창을 누르면 팝업 형태의 경고창이 보여지며, 대화창의 상단에 대화 상대의 가입국가명과 함께 미등록 해외 번호 사용자에 대한 경고 및 주의사항이 안내된다. 카카오는 최근 해외 가상번호를 이용해 카카오톡에 가입한 뒤 친구나 가족 등을 사칭해 금전을 요구하는...

개인정보

포털 사칭 페이지 연결, 개인정보 탈취하는 피싱 메일 '주의'

안랩이 네이버와 다음 등 유명 포털 사이트 로그인 페이지로 위장해 사용자 계정 정보를 노리는 ‘피싱 메일’ 유포 사례가 발견됐다며 사용자 주의를 당부했다. 피싱 메일은 신뢰할 수 있는 개인 또는 기업을 사칭해 이메일을 보내 피해자의 비밀번호, 신용카드 정보 등과 같은 중요 개인정보를 얻으려는 공격 기법을 말한다. 이번 피싱 메일 공격자는 ‘발주 신청서’를 사칭한 악성파일(파일명: 2018XXXX_발주서.html)을 첨부해 메일을 무작위로 발송한다. 사용자가 무심코 해당 첨부파일을 실행하면, 실제 유명 포털과 구분하기 어려울 정도로 유사하게 제작된 가짜 로그인 웹페이지로 이동한다. 만약 사용자가 의심없이 해당 포털의 로그인 아이디와 비밀번호를 입력하면 이 계정 정보는 공격자에게 바로 전송된다. 공격자는 탈취한 계정정보를 바탕으로 향후 피해자를 사칭해 메신저 피싱, 소셜미디어...

다중인증

연말연시 스마트폰 '피싱' 공격 피하는 8가지 방법

연말연시, 연락이 쏟아지는 시기다. 반가운 연락도 많지만 기억나지 않는 이들에게서 오는 연락도 받게 된다. 이때 사이버 범죄자들의 ‘피싱’ 공격을 특히 주의해야 한다. 보안 기업 팔로알토네트웍스가 연말연시 피싱 공격으로부터 컴퓨터와 스마트폰을 안전하게 보호할 수 있는 팁 8가지를 소개했다. 알고는 있었지만 평소에 무심코 놓치던 것들이다. 피싱에 대해서는 '[IT용어사전] 피싱, 스피어피싱, 악성코드'에 자세한 설명이 나와있다. 1. 클릭하기 전에 메일주소를 확인하라 피싱은 ‘사기행위’다. 속이려고 작심한 사람을 피하기는 어렵다. 피싱 이메일은 특히 제목에서 눈길을 끄는 경우가 많다. 발송자의 주소를 반드시 살펴봐야 한다. 해당 이메일이 진짜인지 확인한 뒤 링크를 클릭하도록 하자. 대개 주소를 위조하기가 가장 어렵다고 한다. 2. 가능한 모든 곳에서 다중 인증(MFA) 거치도록 해커들이 말하길,...

구글

"구글 문서 공유해요" 피싱 이메일 주의보

팀플 작업을 할 때 가끔 구글 문서 파일을 공유하곤 한다. 그런데 문서 파일 공유 이메일을 받고 내부 링크를 클릭하기 전, 한번 더 확인해보자. ‘ 이메일’일 수 있기 때문이다. <엔가젯>은 5월3일 구글 지메일을 통해 구글 문서 파일을 공유하는 듯한 내용의 피싱 메일이 발송됐다고 보도했다. 구글은 이를 인지하고 빠르게 해당 계정을 삭제하고 보안 업데이트를 시행했다. 피싱은 이렇게 이뤄졌다. 마치 지인이 보낸 것처럼 보이는 메일을 클릭하면, 구글 문서 파일 공유 링크로 위장된 내용이 적혀 있다. 이 링크를 클릭하면 앱에 로그인하게 된다. 가짜 앱이다. 접속하면 접속한 사람의 구글 계정에 대한 접근 권한을 해킹 앱이 부여받게 된다. 주소록이 공유돼 메시지를 보낸 적이 있는 모든 사람들에게...

Password Alert

구글, 피싱 방지 크롬 확장 프로그램 공개

가짜 웹사이트를 만들어 사용자 아이디와 비밀번호를 가로채는 피싱이 극성이다. 구글 아이디로 다른 서비스에 가입하는 ‘소셜 로그인’ 기능이 널리 쓰이면서 구글 아이디를 노린 피싱도 늘었다. 잘 꾸며진 피싱 사이트는 45% 확률로 사용자를 낚아낸다. 절반에 가까운 누리꾼이 진짜 구글 로그인인줄 알고 아이디와 비밀번호를 적어 넣는다는 뜻이다. 구글은 G메일로 오가는 e메일 가운데 2% 가량이 피싱 e메일이라고 밝혔다. 털린 구글 아이디를 페이스북이나 다른 데서도 쓴다면 피해는 훨씬 클 테다. 해커는 이렇게 손에 넣은 로그인 데이터를 스피어피싱 등 더 복잡한 해킹 공격에 기초 자료로 악용하기도한다. 이런 상황을 해결하고자 구글이 직접 팔 걷고 나섰다. 구글은 피싱 방지용 크롬 확장프로그램 ‘비밀번호 경보’를 만들어 4월29일(현지시각) 발표했다. '비밀번호 경보'는...

apt

[IT용어사전] 피싱, 스피어피싱, 악성코드

IT기사, 너무 어려운가요? 핀테크, O2O, SaaS… 도대체 무슨 말인지 모르시겠다고요? <블로터>가 설명해드리겠습니다. IT기사 읽다가 도저히 이해가 안 되는 기사가 있다면 <블로터>에 제보해주세요. 기자가 직접 읽고 풀어서 설명해드리겠습니다. 여기(nuribit@bloter.net)로 기사 웹주소(URL)와 질문을 함께 보내주세요. 보안사고가 잇따라 터지는 요즘입니다. 기사를 읽긴 하는데 너무 어렵습니다. 스피어피싱, APT, 멀웨어… 알아듣기 힘든 용어를 한두 문장으로 설명하긴 하는데, 읽어도 도저히 무슨 뜻인지 모르겠습니다. 지난 2월26일 SK가 보안 담당기자를 서울 중구 SK선린빌딩으로 불러모아 현안 설명회를 열었습니다. 이 자리에서 김용철 SK인포섹 관제솔루션사업팀 팀장은 헷갈리기 쉬운 각종 해킹 용어를 일일히 짚어가며 설명했습니다. 저도 그동안 개념을 섞어 쓰기도 했더군요. 이날 들었던 이야기를 재가공해 독자님께 공유합니다. 해커가 무한상사를 노린다면 시나리오를 써봅니다. ‘무한상사'에서 기밀정보를 빼돌리고 싶은 악성 해커가 있다고...

보안

스미싱 방지 원칙, ‘문자메시지 링크 안 누르기’

설 연휴를 즈음해서 어른들을 만나니 노파심에 ‘이상한 문자메시지에 반응하지 말라’고 말씀하십니다. 전화로 개인정보, 금융정보를 빼내는 ‘보이스피싱’, 스마트폰에 악성코드를 심어 모든 정보를 훔치고 기기를 원격으로 제어할 수 있는 ‘스미싱’은 이제 늘 경계해야 하는 대상입니다. 그 기법은 아주 다양하긴 있지만 결과적으로 스미싱의 방법은 크게 두 가지에서 벗어나지 않습니다. 첫 번째는 가짜 페이지를 통해 이름과 전화번호, 주민등록번호를 비롯한 특정 정보를 수집하는 것, 다른 하나는 악성코드가 깔린 가짜 앱을 스마트폰에 심었다가 스마트폰에 담긴 모든 정보를 빼가는 방식입니다. 인터넷진흥원, 통신사, 보안업체 등 관련 업계는 늘 피싱에 대해 경고합니다. 링크를 누르지 말라, 수상한 앱을 설치하지 말라는 겁니다. 많은 분들이 오해하고 계시는 부분이 ‘문자메시지를 받기만 해도 스마트폰이...

스미싱

스미싱 문자에 낚여봤어요, 일부러

“딩동~” 7월 10일 오후 5시, 평소처럼 인터넷 뉴스를 살펴보고 있는데 문자메시지 한 통이 도착했다. 내가 인터넷상에서 악플로 명예훼손 및 협박죄로 진정서가 접수됐으니 확인해 달라는 내용이었다. 문자 메시지 내용은 한눈에 봐도 요즘 유행하는 ‘스미싱’의 일종으로 보였다. 경찰이 행정부 소속이긴 하지만, ‘서울정부’라는 명의로 서류를 발송하지는 않는다. 진정서가 접수됐다 해도 참고인으로 출석하라는 출석요구서가 발송하는 게 우선이지, 피진정인에게 그것도 문자메시지로 진정서를 보여줄 리 없다. 모바일 앱 개발자인 나로선 이러한 스미싱 앱을 분석해보고 싶은 욕구가 샘솟았다. 한 번 스미싱을 시도하려는 자(이하 ‘녀석’이라 한다)가 어떤 수법을 사용하는지, 사용자들이 일명 ‘낚이는’ 이유도 알고 싶었다. ‘녀석’이 보낸 문자메세지는 ‘[서울정부]시민수사 인터넷 악플 명예훼손,협박죄로(진정서)확인 http://bit.do/xxx' 형식으로 돼 있었다. 이 메시지를...

금융감독원

"유사 금융앱스토어 차단은 표현의 자유 침해"

사단법인 금융결제원이 선보인 '금융앱스토어'(www.fineapps.co.kr) 서비스의 피싱 위험성을 알리기 위해 개설된 웹사이트인 '금융얩스토어(www.flneapps.co.kr)'가 4월24일부터 26일까지 접속이 차단되는 사건이 발생했다. 금융얩스토어가 사용자를 속여 개인정보를 수집할 위험이 높다는 이유로 한국인터넷진흥원(KISA)이 웹사이트 차단 조치를 취했기 때문이다. 이에 대해 오픈웹브라우저 운동을 진행하는 사단법인 오픈넷은 30일 기자간담회를 열고 "금융얩스토어가 해킹사이트나 개인정보유출을 시도하는 웹사이트가 아님에도 불구하고 한국인터넷진흥원 측이 임의로 사이트를 차단조치했다"라며 "금융위원회, 금융감독원, 한국인터넷진흥원은 웹사이트 차단 조치에 대해 사과하고 재발 방지책을 발표하라"라는 내용의 성명서를 발표했다. 금융결제원은 지난 22일 국내 17개 은행에서 제공하는 뱅킹 응용프로그램(앱) 등을 한곳에서 내려받을 수 있는 금융앱스토어 서비스를 선보였다. 안드로이드, 블랙베리, 윈도우OS를 사용하는 스마트폰 사용자는 금융앱스토어 웹사이트에서 금융 앱을 내려받아 사용할 수 있다. 같은...