이번 콘텐츠에서는 피싱에서 더 발전한 사기형태인 파밍(Farming)에 대해 다뤄보겠습니다. 파밍은 사용자pc를 조작하는 방식으로 악성코드에 감염된 PC를 악성코드에 감염시키고 이용자를 가짜 사이트로 접속하게 하여 개인정보를 탈취하여 금전적인 피해를 입히는 사기수법입니다.

파밍, 피싱 서로 어떻게 다를까?

농작물을 한 번에 수확하는 농사를 뜻하는 Farming이란 단어에서 비롯된 파밍은 위조 사이트에 접속하도록 유도하여 대규모 개인정보를 탈취하는 수법입니다. 피싱이 사용자들을 속이는 정도라면, 파밍은 도메인 자체를 속이기 때문에 대규모 피해가 발생할 수 있습니다. 또한 피싱은 이메일, SMS에 첨부된 링크를 통해 접속을 유도하지만 파밍은 해당사이트의 도메인 자체를 변경하여 개인정보를 빼내는 방식입니다.

따라서 피싱의 경우 이용자가 주의를 기울여 피해를 예방할 수 있지만, 파밍은 해당 사이트 도메인 자체를 변경하기 때문에 공격을 피하기 쉽지 않으며, 사용자가 많은 서버를 대상으로 공격할 경우 피해범위가 광범위하게 늘어납니다.

파밍은 어떤 방식으로 일어날까?

파밍 사례로는 주요 은행, 카드사를 사칭하여 이용자에게 이메일을 발송하고, 발송된 메일에 해당 금융회사의 인터넷뱅킹 홈페이지를 복제한 가짜 홈페이지 링크를 통해 개인정보를 입력하도록 유도하는 사례가 있습니다. 또는 포털사이트, 쇼핑몰 등을 사칭하여 경품 당첨 혹은 이벤트 참가 등을 유도하며 주민등록번호, 휴대폰번호 등의 개인정보를 입력하도록 하기도 합니다.

최근에는 보이스피싱, 스미싱, 파밍과 같은 사기 수법들이 서로 연결되어 복합적인 방식으로 치밀하게 이루어지는 경우가 많습니다. ‘금융사기에 연루됐다’는 식의 문자메시지를 보낸 후 클릭한 피해자의 스마트폰을 악성 프로그램으로 장악한 후 전화를 통해 계좌가 범죄에 사용되었다는 말을 통해 피해자를 현혹시킵니다. 이처럼 파밍과 보이스피싱을 결합함으로써 피해자를 교묘하게 속이는 방식이 증가하고 있습니다.

파밍 관련 처벌

전자금융거래법

제21조의 4(전자적 침해행위 등의 금지)

누구든지 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.

1.    접근권한을 가지지 아니하는 자가 전자금융기반시설에 접근하거나 접근권한을 가진 자가 그 권한을 넘어 저장된 데이터를 조작·파괴·은닉 또는 유출하는 행위

2.    전자금융기반시설에 대하여 데이터를 파괴하거나 전자금융기반시설의 운영을 방해할 목적으로 컴퓨터바이러스, 논리폭탄 또는 메일폭탄 등의 프로그램을 투입하는 행위

제49조 제1항

이를 위반하여 전자적 침해행위를 한 자는 10년이하의 징역 또는 1억원 이하의 벌금에 처한다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률

제48조 제1항 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니된다.

제71조 제1항 제9호

이를 위반하여 정보통신망에 침입한 경우는 5년이하의 징역 또는 5천만원 이하의 벌금에 처한다.

파밍을 예방하기 위한 방법은?

보안카드 대신 비밀번호를 일회성으로 발급하는 OTP발생기를 신청하여 전자금융 거래 시 보안성을 강화할 수 있습니다. 또한 출처가 불명확한 메일이나 첨부파일은 바로 삭제해야 하며 컴퓨터 이메일 등에 공인인증서, 보안카드, 계좌 비밀번호 등을 저장하지 않아야 합니다. 은행에서 시행하는 전자금융 사기예방 서비스에 가입하여 SMS인증, ARS인증 등을 통한 추가인증으로 금융사기 피해를 예방할 수도 있습니다. 파밍 사이트는 기존 사이트와 비슷하게 만들어 놓고 사용자를 속이므로 사이트 주소가 정확한지 확인해볼 필요가 있습니다. 가짜 사이트는 한국 인터넷진흥원 보호나라(https://www.boho.or.kr)에 신고하실 수 있습니다.