지난 5일 김진영(30·가명)씨는 인터넷을 켜자 평소에 볼 수 없었던 팝업창이 뜨는 것을 발견했다. 팝업의 왼쪽 상단에는 금융감독원이라고 쓰여 있었다. 

팝업에는 “보안관련 인증 절차를 진행하고 있습니다”,“공인인증서가 본 PC에 설치되었나요?”같은 문구가 적혀있었다. 인터넷 뱅킹을 사용할 때 뜨는 금융감독원의 팝업과 모양이 같았다. 문구 아래에는 농협, 국민은행, 기업은행 등 18개 은행이 링크돼있었다. 

파밍이었다. 파밍은 피싱(전자 우편을 통해 가짜 웹서비스를 접속하도록 한 후 금용정보를 빼내는 사기 수법)의 한 종류다. 피싱이 전자 우편을 사용하는 것과는 달리 사용자의 PC 내부에 악성코드를 주입하는 등의 방법으로 개인정보를 훔치는 사기수법이다. 언제 감염되었는지 모르는 악성코드가 인터넷을 키자마자 팝업창을 뜨게 한 것이다. 

경찰청에 따르면 올해 7월까지만 파밍 차단건수가 5956건이다. 2012년 110건이었던 파밍 차단건수는 2013년에 2980건으로, 2014년 6397건으로 꾸준히 늘어왔다. 작년 파밍건수와 올해 파밍건수를 비교해보면 이미 올해 상반기 동안 작년 한 해 동안의 건수와 비슷한 파밍이 발견된 셈이다. 피해 금액도 크게 늘었다. 2013년 164여억 원이었던 피해금액이 지난해 256여억 원으로 늘었다. 

김씨는 파밍에 관해 알고 있었기에 직접적 피해는 입지 않았지만 파밍의 진화에 놀랐다. 파밍은 특정 사이트를 검색하거나 URL을 입력해서 사이트에 방문한 경우에만 일어난다고 생각하고 있었기 때문이다. 

이번 파밍은 바탕화면에서 인터넷 익스플로러나 크롬 등 브라우저를 실행하면 나오는 첫 화면부터 가짜 사이트로 만들었다. 흔히 브라우저의 첫 화면으로 쓰는 네이버나 다음 까지 모두 가짜였던 것이다. 매일 이용하는 포털이 가짜일 것이라고 의심하는 사람은 별로 없다. 이런 종류의 파밍이 위험한 이유다.  

   
▲ 가짜 네이버 사이트. 로그인 창 아래 '투데이'창에 날짜가 없다. 뉴스와 실시간 검색어도 1년 전의 것들이다. 사진=미디어오늘
 

가짜 포털 사이트는 사진과 같이 진짜 사이트와 전혀 구분할 수 없을 정도로 정교했다. 마치 ‘다른 그림 찾기’ 놀이를 하는 것처럼 꼼꼼하게 진짜 사이트와 비교해야했다. 하지만 정교하게 비교한다면 충분히 의심스러운 부분을 찾을 수 있다. 가짜 사이트를 구분하려면 사이트에 적혀있는 날짜와 뉴스, 실시간 검색어를 유심하게 봐야 한다. 

우선 날짜가 쓰여 있는 부분을 찾는다. 진짜 네이버 포털의 경우 로그인 창 아래 ‘투데이’ 창에서 오늘 날짜를 확인할 수 있다. 하지만 가짜 네이버 포털의 경우 투데이  창에서 오늘의 날짜를 볼 수 없다. 

더 정확한 방법은 실시간 검색어나 뉴스의 시기를 확인하는 것이다. 가짜 포털 사이트에 뜬 뉴스나 실시간 검색어는 1~2년 전의 것이 떠있기도 한다. 

김씨가 들어간 가짜 네이버 포털 사이트의 경우 메인 광고창 아래 떠 있는 연합뉴스 기사 제목이 ‘채림, 두 살 연하 중국 배우…’라고 쓰여 있는 것을 볼 수 있다. 

김씨가 이 가짜 포털에 들어간 것은 2015년 9월 5일이다. 실제로 연합뉴스의 "채림, 두살 연하 중국 배우 가오쯔치와 결혼한다"가 나온 날은 2014년 6월 17일이다. 검색창 바로 아래의 실시간 검색어에 있는 ‘모기가 피를 빠는 이유’를 검색해보면 같은 시기인 2014년 6월 9일부터 관련 기사가 여러 개 나온다. 2015년 9월 5일에 포털사이트를 들어갔지만, 진영 씨가 접속한 사이트는 2014년 6월에 맞춰 만들어진 가짜 사이트인 것이다. 

   
▲ 가짜 다음 사이트. 왼쪽 뉴스창에 '야권 봉하마을 집결'이라는 뉴스가 떠있다. 가짜 사이트에는 실제 접속한 날로부터 무려 2년 전 기사가 뜨기도 한다. 사진=미디어오늘
 

가짜 다음 사이트도 마찬가지다. 김씨가 들어간 가짜 다음 사이트를 보면 실시간 검색어로 ‘박해미 5억 빚’, ‘강호동 롤모델 유재석’ 등이 떠있다. 뉴스 창 맨 위의 기사를 보면 ‘야권 봉하마을 집결…’이라는 문구를 볼 수 있다. 

실제로 ‘박해미 5억 빚’에 관련된 뉴스는 2013년 5월 23일 집중적으로 생산됐다. ‘강호동 롤모델 유재석’관련 기사 역시 같은 시기인 2013년 5월 22~24일에 생산된 것이 많다. ‘야권 봉하마을 집결’ 기사도 고 노무현 전 대통령의 기일인 5월 23일 만들어진 것이다. 가짜 다음 사이트는 2년 전 다음 사이트를 토대로 만들어진 것이다.

국내에서 많이 사용하는 네이버·다음·구글 포털 가운데 구글 사이트만 가짜 포털 사이트가 발견되지 않았다.  

김씨 경우와 같이 국내 주요 포털 사이트에 접속하면 금융감독원 팝업이 나오거나 가짜 은행 사이트로 연결되는 사례는 지난해부터 발견돼왔다. 이러한 파밍은 사용자의 공유기가 해킹된 것으로 공유기의 DNS(도메인 네임 시스템, Domain Name System)주소를 변경해 사용자들을 피싱 사이트나 파밍 사이트로 유도하는 공격 가운데 하나일 가능성이 높다. 기존의 파밍이 은행과 같은 특정 사이트를 가짜 사이트로 만들어 유도한 것과 달리 포털 사이트부터 가짜라는 것이 이 공격의 특징이다. 

이러한 파밍에 노출되지 않으려면 공유기의 펌웨어를 최신의 상태로 유지하는 것이 기본이며 무선 공유기의 비밀번호를 설정해놓는 것이 중요하다. 이미 노출되었다면 공유기를 리셋 하는 것도 방법이다. 

저작권자 © 미디어오늘 무단전재 및 재배포 금지