KB국민은행 피싱사이트 분석.

최근에 나타나는 인터넷 피싱은 은행홈페이지와 매우 유사한 홈페이지를 제작한 뒤 마치 현재 사용자가 가지고 있는 계좌의 보안을 향상시켜야 한다며, 해당 피싱사이트를 접속하도록 유도하는 문자를 전송하고 있습니다. 

실제 이 피싱사이트에 접속하면 각종 계좌정보(보안카드 정보, 비밀번호)를 묻는 페이지가 나타납니다. 자신의 계좌정보를 입력할 경우 해당 정보가 외부로 유출되며 계좌내의 돈이 인출됨은 물론, 해당 명의로 대출 등등 각종 금전적 피해가 발생할 수 있습니다. 

이 피싱사이트의 특징을 알아보고, 페이지를 세부적으로 뜯어보겠습니다. (예시로 www.kbhsg.net 를 이용했습니다.)

< KB국민은행 공식사이트 메인화면 >

< KB국민은행 피싱사이트 메인화면 >

공식사이트와 피싱사이트의 차이를 보면, 실제 보안강화 서비스 신청하기 라는 팝업 외에는 전혀 차이가 없다는 것을 알 수 있습니다. 피싱사이트의 메뉴, 공지등등 모두 공식홈페이지와 연결되어 있어 모두 정상적으로 작동하고 있습니다. 제작자가 원하는 것은 팝업창 내의 보안강화 서비스 신청하기 라는 버튼을 클릭하는 것 입니다.

< 보안프로그램 가짜 로딩 창 >

< 가짜 로딩 페이지 내의 소스 >

버튼을 클릭하니 index.html 으로 넘어갑니다. 이 페이지에서는 마치 보안프로그램이 작동하기 위해 로딩이 되고있는 듯한 가짜 로딩페이지입니다. 과거 은행피싱사이트와는 다른 점이 있다면, 이 처럼 보안프로그램이 마치 존재하는 신뢰있는 이미지를 심어주기 위한 페이지가 추가적으로 삽입되었습니다. (로딩이미지 : img/progress_sec.swf)

페이지 내의 소스를 보니 중국어로 주석이 달려있는 것을 볼 수 있습니다. 중국에서 소스가 제작되었다는 것을 의심해볼 수 있습니다. 또한 로딩페이지 이후에 다른 페이지로 넘어가는 소스가 존재합니다만, 크롬에서는 정상적으로 작동하지 않아 계속해서 로딩만 계속되는 증상이 나타났습니다. 

(iframe 형식의 페이지 이동 : <iframe id="demo" src="main.aspx" width="100%" height="1800px" frameborder="0" scrolling="no" marginheight="0"></iframe>)

그리고, 실제로 보안프로그램이 설치되지 않았음에도 어떠한 설치과정도 존재하지 않으며, 보안프로그램을 실행하는 소스 조차 없습니다. 즉, 단순히 사용자를 속이기 위한 페이지라는 것을 알 수 있으며, 소스에 중국어를 남길 정도로 페이지가 매우 조잡하게 제작되었음을 알 수 있습니다. 

< 보안정보를 입력하는 페이지 >

로딩페이지가 잠깐 나타나고 약 30초 후 main.aspx 로 페이지가 이동했습니다. 이 페이지가 피싱사이트의 가장 핵심되는 페이지 입니다. 뒷 배경은 KB국민은행의 보안서비스를 관리하는 페이지로써 마치 정상적인 보안강화서비스 인 것 처럼 꾸며놓았습니다. 그리고 페이지 중앙에는 개인정보와 보안카드, 계좌정보를 입력하는 페이지가 나타나며, 실제 보안승급과는 다르게 무리한 개인정보를 입력하도로 하고 있습니다.

(입력 값 체크 : js/check.js, 주민등록번호 유효성 검사 및 기타 데이터 전송 : js/function_utill.js)

가짜 정보를 입력하더라도 어떠한 에러가 나타나지 않기 때문에 가짜 페이지임을 알 수 없습니다. 또한, KB국민은행에서는 플래시메뉴의 링크를 상대주소로 제작하였기 때문에 실제 서브메뉴가 전혀 작동하지 않음을 알 수 있습니다. 

 < 주소 https:// 를 확인하라! >

무엇보다 KB국민은행에서는 현재 피싱사이트를 구별하는 방법으로 사이트 주소의 시작이 https:// 인지 확인해 볼 것을 권고하고 있습니다. https:// 는 기존의 http:// 과 달리 정보가 암호화 전송되고 있음을 의미하며, 인증된 사이트에 한해서만 사용이 가능한 것이기 때문에 피싱사이트에서는 함부로 구현할 수 없는 방식입니다. 

과거에는 홈페이지 접속 시 시작페이지 부터 보안프로그램이 실행되는지 여부를 통해 피싱사이트를 구별하였지만, 최근에는 크롬/파이어폭스 와 같은 보안프로그램이 자동으로 설치되기 어려운 환경의 브라우저 이용자수가 증가함에 따라 공식사이트에서도 이용자를 보호하기 위해 보안프로그램을 설치해야 접속할 수 있는 페이지를 줄여나가고 있습니다. 즉, 보안프로그램 실행여부로 피싱사이트를 구별하기 어려워 졌다는 것입니다.

이러한 범죄가 끊임없이 발생하고 있다는 것은 그만큼 피해가 꾸준히 발생하고 있다는 의미이기도 합니다. 보이스피싱과 비교해보면 많은 인력이 필요하지 않고, 항상 상주해 있을 필요가 없으니 그만큼 범죄자들에게는 인터넷 피싱이 매력적으로 보일 수 밖에 없습니다. 

너무나 많은 개인정보를 요구할 경우 한번 쯤 의심해보시기 바랍니다.