피싱, 스미싱, 파밍, 스머핑 비교 분석

피싱 vs 스미싱 vs 파밍 vs 스머핑

 

피싱

피싱(Phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장하여, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사회 공학 기법(social engineering)의 한 종류입니다. 피싱(phishing)이란 용어는 fishing에서 유래하였으며 private data와 fishing의 합성어입니다. 점점 더 복잡한 미끼들을 사용해서 사용자의 금융 정보와 패스워드를 ‘낚는’다는 데서 유래되었습니다.

 

 

피싱 종류에는 특정한 개인이나 회사들을 대상으로 시도하는 스피어 피싱(spear phishing), 링크나 첨부 파일이 포함된 이메일을 통한 클론 피싱(clone phishing), 고위 경영 간부와 비즈니스 내 기타 고위직을 대상으로 이루어지는 웨일링(whaling)이 있습니다.

 

 

피싱의 특징은 신뢰할 수 있는 송신자로 속여 신용카드 번호나 패스워드 입력을 요구하는 것입니다.

 

 

 

---

스미싱

스미싱(SMS phishing, 문자메시지 피싱, Smishing)은 문자메시지를 이용한 피싱입니다. 스미싱은 SMS(문자메시지)와 피싱(Phising)의 합성어입니다. 문자메시지를 통해 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장하여 개인비밀정보를 요구하거나 휴대폰 소액 결제를 유도하는 것이 특징입니다. 스마트폰 이용자들이 늘어남에 따라 돌잔치, 결혼 청첩장 등이 도착하였다고 하면서 링크를 걸어 안드로이드 애플리케이션 설치파일인 apk 파일을 설치하도록 유도하여 휴대폰 내의 정보를 빼가는 수법이 늘고 있습니다.

 

 

 

---

파밍

파밍(Pharming)은 넓은 의미에서 피싱의 한 유형으로 분류되며, 정확한 명칭은 DNS Spoofing(DNS 스푸핑)이라고 합니다. 파밍은 인터넷 주소창에 방문하고자 하는 사이트의 URL을 입력하였을 때 가짜 사이트(fake site)로 이동시켜 개인정보를 탈취하는 공격을 말합니다. 올바른 URL을 입력하더라도 잘못된 서버로 접속하게 되며, 이러한 측면에서 피싱보다 한 단계 진화한 형태의 새로운 인터넷 사기 수법이라고 할 수 있습니다. 

 

 

 

---

스머핑

스머핑(Smurfing/Smurf)이란 인터넷 프로토콜(IP), 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위를 뜻합니다.이 경우 스머핑이라는 프로그램을 사용하여 네트워크를 공격하는데, 스머핑은 IP와 인터넷 제어 메시지 프로토콜(ICMP)의 특성을 이용합니다. 스머핑 프로그램은 마치 다른 네트워크 주소로부터 생성된 것처럼 보이는 네트워크 패킷을 만들어 주어진 네트워크 내의 모든 IP 주소들로 메시지를 보내게 됩니다. 메시지에 대한 응답은 스머핑 주소로 보내지는데, 엄청난 양의 핑과 그에 대응한 에코 메시지로 인해 네트워크는 실시간 트래픽을 처리할 수 없을 만큼 많은 정보로 넘쳐 흐르게 되어 불능 상태가 됩니다.(DDoS 공격) 스머핑 공격을 무력화시키는 방법은 각 네트워크 라우터에서 IP 브로드캐스트 주소를 사용할 수 없게 미리 설정해 놓는 방법 등이 있습니다.