연말정산 보안 위협과 대처 방안

    보안 이야기 2019.01.18 15:35

     

    2018년 무술년 한 해는 잘 보내셨나요?

    2019년 기해년 1월!

    13월의 월급을 준비하시는 분들이 많을 텐데요.

    요즘 간편해진 연말정산에서는

    피싱 메일, 스미싱, 파밍, 피싱 등 보안 위협으로부터 주의해야 할 부분도 많습니다.

    이번 포스팅에서는 연말정산 보안 위협과 대처 방안에 대해 알아보도록 할게요.

     

     

    ㅣ 피싱 메일 - 연말정산 안내를 가장한  사칭 이메일

    연말정산 보안 위협과 대처 방안, 연말정산 안내 피싱 메일 ㅣ 출처 : 이스트 시큐리티

     

      피싱(Phishing)은 개인의 중요한 정보를 부정하게 얻으려는 공격 시도이다.

      개인 정보를 낚으려는(Fishing) 의도가 반영되어 있는 단어에서도 알 수 있듯이,

      일반적으로 피싱 공격자는 전자메일이나 메신저와 같은 전달 수단을 통해

      신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장된 메시지를 공격 대상자에게 보낸다.

      그리고 이를 통해 미리 공격자가 만들어 놓은 위장된 사이트로 들어온 공격 대상자의

      주민등록번호, 비밀번호, 그리고 금융 정보와 같은 기밀이 요구되는 개인 정보를 얻으려고 한다.

     

      피싱 메일을 보내는 공격자는 보다 합법적인 메시지로 보이도록 실제 웹사이트의 로고를

      사용하여 전자메일 메시지를 만들어 보낸다. 그리고 공격 대상자에게 금전적인 보상을 약속하거나

      즉각적인 반응을 하지 않으면 계정을 삭제한다는 위협을 하여

      신중한 판단을 할 수 없도록 유도한다. 현혹된 공격 대상자가 여기에 반응하면

      공격자가 만들어 놓은 함정에 바져 개인 정보 침해나 금전적인 피해와 같은 공격을

      당하게 된다.

     

      ※ 출처 :  [네이버 지식백과] 인터넷에서 낚시를?

                   피싱 공격(훤히 보이는 정보보호, 2018. 11. 25., 한국전자통신연구원(ETRI), 전자신문사)

     

    연말정산 변경사항 안내를 가장한
    사칭 이메일을 발송하는 피싱 메일이 증가하고 있어요.

    2018년도 연말정산 변경사항 안내라는 제목과 내용으로

    의심 없이 파일을 열도록 유도하는데요.

    첨부파일은 다운로드하게 되면 MS 사의 매크로 기능이 활성화되어

    특정 서버에서 악성코드를 내려받고 실행된다고 합니다.

    해당 파일에 첨부파일을 열지 않는 것이 중요하고,

    열었더라도 매크로 실행을 하지 않아야 개인 정보를 보호할 수 있습니다.

     

     

    ㅣ 스미싱 - 연말정산 관련 문자메시지

    연말정산 보안 위협과 대처 방안, 스미싱(Smishing)

     

      스미싱(Smishing)

      문자메시지(SMS)와 피싱(Phishing)의 합성어로, 인터넷 접속이 가능한 스마트폰의 문자메시지를

      이용한 휴대폰 해킹을 뜻한다. 해커가 보낸 메시지를 웹사이트 주소를 클릭하면 악성코드가

      깔리게 되고, 해커는 이를 통해 피해자의 스마트폰을 원격 조종하게 된다.

     

      ※ 출처 : [네이버 지식백과] 스미싱(시사상식사전, 박문각)

     

    연말정산 관련 URL이 포함된 문자를 받는다면

    주자하지 말고 바로 삭제하세요.

    연말정산 예상 세액 조회하기, 연말정산 환급 도우미 같이

    문자의 URL을 클릭하게 된다면 휴대폰에 악성코드가 설치돼서

    개인 정보가 해커에게 전달될 수 있습니다.

    국세청은 문자 안내를 하지 않으니, 연말정산 관련 문자는 꼭 삭제해주세요.

     

     

    ㅣ 피싱 - 국세청 홈택스 URL 확인, 또 확인!

    연말정산 보안 위협과 대처 방안, 피싱(Phishing)

     

      피싱(Phishing)은 개인 정보(Privite Date)와 낚시(Fishing)의 합성어로 해커들이 만든 용어이며,

      사회공학적 방법 및 기숙적 은닉기법을 이용해서 민감한 개인 정보, 금융계정 정보를 절도하는

      신종 금융 사기 수법이다.

     

      피싱은 유명 기관을 사칭한 위장 이메일을 불특정 다수 이메일 사용자에게 전송하고

      위장된 홈페이지로 유인하여 인터넷상에서 신용카드번호, 사용자 아이디, 패스워드 등

      개인의 금융 저보를 획득한다.

     

      ※ 출처 :  [네이버 지식백과] 인터넷에서 고기잡이를?

                   피싱(훤히 보이는 정보보호, 2018. 11. 15., 한국전자동신연구원(ETRI), 전자신문사)

     

    국세청 홈택스 주소는 https://hometex.co.kr/ 입니다.

    URL 주소의 글자가 하나라도 다르면

    원하는 페이지로 가지 못하거나 다른 사이트로 이동하게 됩니다.

    다른 사이트로 이동하여 개인 정보를 입력하게 되면,

    개인 정보를 유출하게 되어 2차 피해로 이루어질 수 있습니다.

    주소가 다르지 않은지 비슷한 주소로 바뀐 것이 아닌지 꼭 확인해주세요.


     

    ㅣ 파밍 - 가짜 사이트 주의

    연말정산 보안 위협과 대처 방안, 파밍(Pharming) ㅣ  출처 : 국세청 홈택스

     

      파밍(Pharming)

      피싱(Phishing)에 이어 등장한 새로운 인터넷 사기 수법이다.

      넓은 의미에서는 피싱의 한 유형으로서 피싱보다 한 단계 진화한 형태라고 할 수 있다.

      그 차이점은 피싱은 금융기관 등의 췝사이트에서 보낸 이메일로 위장하여 사용자로 하여금

      접속하도록 유도한 뒤 개인 정보를 배내는 방식인데 비하여,

      파밍은 해당 사이트가 공식적으로 운영하고 있던 도메일 자체를 중가에서 탈취하는 수법이다.

      피싱의 경우에는 사용자가 주의 깊게 살펴보면 알아차릴 수 있지만, 파밍의 경우에는 사용자가

      아무리 도메인 주소나 URL 주소를 주의 깊게 살펴본다 하더라도 쉽게 속을 수밖에 없다.

      따라서 사용자들은 늘 이용하는 사이트로만 알고 아무런 의심 없이 접속하여

      개인 아이디(ID)와 암호(Password), 금융 정보 등을 쉽게 노출시킴으로써

      피싱 방식보다 피해를 당할 우려가 더 크다.

     

      ※ 출처 : [네이버 지식백과] 파밍 [Pharming] (두산백과)

     

    파밍은 정상적인 주소라고 하더라도

    가짜 사이트로 연결되기 때문에 파악하기 어려운데요.

    PC가 악성코드에 감염되었을 경우 정상 주소를 입력해도

    가짜 사이트로 이동하게 되니 백신을 최신으로 업데이트해야 합니다.

    그리고, 홈택스의 주소가 https로 되어 있는지

    연두색 주소창과 자물쇠 마크가 있는지 꼭 확인해주세요.

     

     

     


    티스토리 툴바