피싱(phishing)이란 점점 더 복잡한 미끼들을 사용해서 사용자의 금융 정보와 비밀번호를 ‘낚는’다는 데서 유래된 용어로서 신용카드 번호, 암호, 계좌 데이터, 기타 정보 등 개인의 중요한 데이터를 훔치는 사기 유형을 말한다. 피싱을 하고자 하는 사기범들은 주로 메신져, 이메일, 전화 등을 이용하여 은행이나 신용 카드 회사 또는 정부 기관와 같이 신뢰하는 곳에서 보내는 메시지인냥 가장하여 개인 정보를 요구한다. 이러한 과정을 통하여 “낚인” 경우에는 나의 중요한 정보가 사기범들에게 고스란히 제공되어 금전적 피해까지 보게 된다.

피셔들이 주로 사용하는 수법

2003년 9월 21일, 호주의 Westpac 은행 사건이 공식적으로 보고된 은행 대상의 피싱이 최초 사례이며 2003년 11월 17일에는 이베이 고객들도 개인인증번호, 사회보장번호, 생년월일, 어머니의 결혼 전 성까지 피싱을 당하기도 했다. 우리나라의 경우에는 2007년 초, 국내 유명 은행의 인터넷 뱅킹 사이트를 모방한 가짜 홈페이지에 접속한 이용자 5,000여 명이 개인정보와 보안카드 비밀번호를 의심 없이 입력하였으며 이들의 공인인증서가 고스란히 해킹 당했다. 이후에 이들 피싱 사이트는 중국에 주소를 둔 서버임이 밝혀졌다. 또 국내의 한 외국계 은행 사이트에서도 온라인 신용카드 결제대행시스템 해킹을 막지 못해 이용자 정보가 유출되었으며 이중 20여 명의 계좌에서 5,000여 만원이 무단 결제되는 사상 초유의 사태가 발생, 피싱의 피해에 대한 관심을 불러일으켰다.

내 OpenID를 피싱으로 부터 보호하자!

내가 사용하는 OpenID의 경우를 생각해 보자.
OpenID로 로그인 시도 시 OpenID Provider로 부터 인증 과정을 거치게 된다. 만약 악의적인 피셔로 인해서 그 인증화면이 내가 사용하는 OpenID Provider의 인증화면이 아닌 피싱 사이트라면? 상상만 해도 아찔하지 않은가?
OpenID Provider로서 IDtail이 이러한 피싱으로 부터 사용자를 보호하기 위하여 채택한 방법이 바로 사용자가 자신만의 이미지와 텍스트를 지정해 인증페이지에서 보여주는 피싱방지 기능이다.

IDtail에서 피싱방지 설정하기

IDtail에 로그인을 하게 되면 “나의 오픈아이디”라는 메뉴 내에 피싱방지 항목이 있다.

피싱방지 화면에서 이미지와 문구를 입력해 보자. (그림1) 피싱방지용 이미지와 문구를 입력 후 저장하게 되면 이후에 IDtail의 OpenID 로그인 시 인증용에 내가 입력해 놓은 이미지와 문구가 출력된다. (그림2)
즉, 내가 입력해 놓은 이미지와 문구가 나타나지 않는다면 그 화면은 바로 피싱 사이트인 것이다.
단, 피싱방지설정의 원리는 사용자 PC의 쿠키를 사용하기 때문에 아래의 경우에는 내가 피싱방지 이미지와 문구를 설정해 놓았다고 하더라도 나타나지 않는다.

• 1. 피싱방지 설정을 했던 PC가 아닌 경우
• 2. 피싱방지 설정을 했던 PC지만 PC의 쿠키를 삭제한 경우
• 3. 피싱방지 설정을 했던 PC이지만 설정했던 브라우져와 다른 브라우져로 접근한 경우 (Internet Explore에서 설정을 하고 Fire Fox에서 피싱방지 화면을 확인하신 경우 혹은 그 반대)

피싱이란 기법이 우리가 의심하지 않는 순간에 일어나는 일이기 때문에 피싱방지 설정 기능만을 통해서 모든 피싱으로 부터 100% 안전하다고는 볼 수 없다. 다음으로 이야기 될 “안전로그인” 기능 등을 함께 사용하는 등 피싱 방지를 위해서는 기본적으로는 사용자의 주의가 필수이다.
IDtail은 OpenID 사용자들의 안전한 인터넷을 위해서 피싱방지 기능 외에도 지속적으로 안전한 OpenID를 위해서 노력하고 있다.