한국인터넷진흥원 강 재 경 수 석

Ⅰ. 사이버 공격 유형 및 사례

3

*개념 : 악성코드에 감염된 다수의 PC(좀비PC)를 이용

특정 시스템에 대량의 트래픽을 전송, 운영을 방해하는 행위

*개념 : 컴퓨터, 시스템의 정당한 접근권한 없이 또는 허용된

접근권한을 초과하여 정보통신시스템에 침입하는 행위

해킹(Hacking)

악성코드 감염 피싱(Phishing)

* 개념 : 유명 사이트를 사칭한 가짜 사이트를

만들어 개인정보, 금융정보 등을 갈취하는 행위

사 례

디도스(DDoS) 공격

사 례

*개념 : 이용자 몰래 컴퓨터에 설치되어, 자료유출, 시스템

파괴 등을 수행하는 컴퓨터 프로그램

방송,금융망 장애(3.20) 농협 전산망 장애,(‘11.4), SK

컴즈 개인정보 유출 (‘11.7) 등 악성코드에 의해 발생

사 례 사례

사이버 공격

Ⅰ. 피싱의 공격 유형 및 사례

4

구분 사이트 피싱 메신저 피싱 보이스 피싱 스미싱(SMS+Phshing)

방식

① 해커가 사칭 사이트 개설

② 이용자에게 이메일 등으로

접속 유도

③ 이용자가 사칭 홈페이지 접속

④ 개인/금융 정보 입력 시

해커에게 전송

① 이미 확보한 개인정보 및,

메신저 계정을 도용

② 친구, 동료 등 지인을 가장

메신저로 대화

③ 금품 송금 요구

① 전화로 협박/사기

-자녀유괴, 납치 협박

-경찰, 검찰 사칭 사고연루

- 세금,보험 환급 빙자 등

- 택배 반송 처리 등

② 계좌로 금액 송금 지시

① 해커가 악성코드가 있는

홈페이지를 개설

② SMS로 해당 홈페이지 주소

를 송부(경품 등 유혹)

③ 스마트폰으로 접속 시 악성

코드감염 / 소액 결제 등

주요

사례

o '05년 하나은행 피싱 발생

o '07년 국민은행,농협 피싱 발생

o ’12년 공공기관 사칭 증가

(검찰․경찰청, 금감원, 국세청 등)

o ‘09년 네이트온 피싱

- 확인된 피해자 130명

- 피해액 : 8억여원

o 피해규모(‘06~’12)

- 총 38,383건

- 피해액 : 4,057억원

o 스미싱 피해접수 건수

- ’12년: 2,500건 발생

예시

Ⅰ. 전자금융사기(피싱)란?

5

피싱(Phishing)은 개인정보(private data)를 낚는다(fishing)라는

의미의 합성어로 전화·문자 ·메신저, 인터넷 등을 사용, 이용자를

현혹하여 개인정보나 금융정보를 빼낸 후 금품을 갈취하는 일종의

특수사기범죄

보이스피싱 신고건수 및 피해금액

2008 2012

8,454건

877억

2011 2012

158,191건

2009

6,720건

621억 6,944건

2010

5,455건

554억

2011

8,244건

1,019억

1,091건 1,849건

문자피싱, 사이트피싱 신고

5,709건

595억

문자피싱 145배

사이트피싱 3.8배

Ⅱ. 추진경과 및 실적

6

국제전화 식별번호 표시 및 문자안내서비스 시행 ('09. 5월)

관계부처 합동「불법사금융 척결방안」발표 ('12. 4월)

음성전화 관련「발신번호 조작방지 가이드라인」시행 ('12. 7월)

「전기통신사업법 개정안」국회 제출 ('12. 9월)

※ 주요 통신사업자가 PSTN 방식의 국제전화에 대해서만 일부 시행

※ 총리실 주관으로 방통위, 법무부, 금융위, 경찰청 등의 종합대책, 대통령 보고

※ 기간통신사업자는 '13.1월부터 공공기관 사칭 전화 호 차단 등 합의

※ 거짓으로 표시된 전화 호 차단 등 기술조치 의무화(18대 국회 폐기로 재 제출)

「전자금융사기(피싱) 방지대책」마련 ('12.10월)

※ 문자피싱, 메신저피싱, 사이트피싱 등 복합적 피싱에 대한 방지대책 마련

한국인터넷진흥원 내에 「피싱대응센터」개소 ('13.1월)

※ 공공기관 번호변작 차단시스템 운영, 피싱 피해 확산방지 및 대국민 상담 등

Ⅲ. 전기통신사업법 개정 추진

7

개정이유

이용자 전화사기(보이스피싱) 수법이 자녀납치 연출 등 날로 교묘해지고 전화, 문자,

가짜 홈페이지 등을 연계하여 광범위하게 이루어지고 있어 심각한 사회문제가 되고

있는 바,

전기통신사업자에게 거짓으로 표시된 발신번호를 차단하는 등의 조치 의무를 부과

하고 이를 위반한 경우 과태료를 부과함으로써 제도의 실효성을 높여 이용자 피해를

예방하고자 하는 것임

추진경과

2011.12.12일 : 18대 국회에 전기통신사업법 개정안 제출

2012. 5.29일 : 18대 국회 종료로 폐기

2012. 9. 5일 : 19대 국회에 개정안 발의(김희정 의원 등 16인)

2012. 9.24일 : 19대 국회에 개정안 재 제출(방통위)

2012. 6.15일 : 19대 국회에 개정안 발의(이언주 의원 등 10인)

Ⅲ. 전기통신사업법 개정 추진(계속)

8

정부 제출안

제84조 (송신인의 전화번호의 고지 등)

①. ~ ④. (생략)

⑤ 전기통신사업자는 송신인의 전화번호 변작(變作) 등으로 인한 이용자 피해를

예방하기 위하여 다음 각 호의 기술적 조치를 하여야 한다. 다만, 제4항 단서에

따른 정당한 사유가 있는 경우는 제외한다.

1. 변작되거나 거짓으로 표시된 송신인의 전화번호 차단 조치 또는

정상적인 송신인의 전화번호로 정정하여 수신인에게 송출하기 위한 조치

2. 국외에서 발신된 전화에 대한 국외발신 안내를 위한 조치

전기통신사업자에게 변작된 전화번호의 차단 등 이용자의 피해 예방을 위한 기술적

조치 의무를 부과

다만, 수신인의 편의제공(1588 등 기업용 번호), 공공 목적(112 등 특수번호) 등 정당한

사유가 있는 경우는 제외

Ⅲ. 전기통신사업법 개정 추진(계속)

9

정부 제출안

제104조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하

의 과태료를 부과한다.

1. ~ 3. (생략)

4. 제84조제5항 각 호에 따른 기술적 조치를 취하지 아니한 자

전기통신사업자가 거짓으로 표시된 전화번호의 차단 등 기술적 조치의무를 이행하지

아니한 경우 3천만원 이하의 과태료 부과

⑥ 방송통신위원회는 제4항 단서에 따른 정당한 사유와 제5항 각 호에 따른 기술

적 조치 방법 및 그 밖에 송신인의 전화번호의 변작 등을 방지하기 위하여 필요

한 사항을 정하여 고시할 수 있다.

5항의 기술적조치 및 그 밖에 전화번호 변작방지를 위해 필요한 사항 등을 미래창조

과학부가 고시로 제정

Ⅲ. 전기통신사업법 개정 추진(계속)

10

김희정 의원 발의안

보이스피싱 방지를 위한 신설 규정들의 내용이 현행 제84조(송신인의 전화번호 고지)

의 제1항 및 제2항과 입법취지가 다르므로 별도 조항으로 분리

※ 제84조 제1항 및 제2항은 원칙적으로 통신 비밀의 보호대상인 송신인의 발신번호 정보를

알려줄 수 있는 발신번호 표시제도의 근거조항을 마련하는 것이 취지인 반면, 제3항 및

제4항은 다른 사람을 속여 재산상 이익을 취할 목적으로 전화번호를 조작하여 전기통신을

이용하는 행위를 규제하기 위한 법적 근거를 마련하려는 취지임

제84조의2 (전화번호의 거짓표시 금지 및 이용자 보호) ① 누구든지 다른 사람을

속여 재산상 이익을 취하거나 폭언ㆍ협박ㆍ희롱 등의 위해를 입힐 목적으로 전화를

하면서 송신인의 전화번호를 변작하는 등 거짓으로 표시하여서는 아니 된다.

② 누구든지 영리를 목적으로 송신인의 전화번호를 변작하는 등 거짓으로 표시

할 수 있는 서비스를 제공하여서는 아니 된다. 다만, 공익을 목적으로 하거나

수신인에게 편의를 제공하는 등 정당한 사유가 있는 경우에는 그러하지 아니하다.

Ⅲ. 전기통신사업법 개정 추진(계속)

11

③ 방송통신위원회는 거짓으로 표시된 전화번호로 인한 이용자의 피해를 예방

하기 위하여 전기통신사업자에게 다음 각 호의 조치를 명할 수 있다.

다만, 제2항 단서에 따른 정당한 사유가 있는 경우는 제외한다.

1. 변작 등 거짓으로 표시된 전화번호의 전화 호를 차단하거나 송신인의 정상적인

전화번호로 정정하여 수신인에게 송출하기 위한 조치

2. 국외에서 국내로 발신된 전화에 대한 국외발신 안내를 위한 조치

3. 기타 이용자 보호를 위하여 방송통신위원회가 정하는 사항

미래창조과학부는 전기통신사업자에게 거짓으로 표시된 전화번호의 차단 등 이용자

피해 예방을 위한 조치를 명할 수 있는 권한 부여

위 각호의 조치를 우회한 신종피싱 발생시 이에 대한 효율적인 대응을 위해 기타

이용자 보호를 위하여 필요한 사항을 정할 수 있도록 함

김희정 의원 발의안

Ⅲ. 전기통신사업법 개정 추진(계속)

12

④ 방송통신위원회는 제3항에 따른 조치의 이행여부를 확인하거나 이용자의

피해가 확산되는 것을 방지하기 위하여 전기통신사업자에게 다음 각 호에

해당하는 자료의 열람이나 제출을 요청하거나 필요한 검사를 할 수 있다.

1. 전기통신사업자가 변작 등 거짓으로 표시된 전화번호의 호를 차단한 경우

해당 호의 전화번호, 호 차단시각, 호 연동 사업자명

2. 수신자가 변작 등 거짓으로 표시된 전화번호에 대해 신고한 경우 호 연동

사업자명

3. 기타 제3항 각 호의 조치 이행 여부를 확인할 수 있는 관계 자료

전기통신사업자의 조치의무 이행여부 확인과 이용자의 피해 확산 방지를 위해 미래

창조과학부에 사업자에 대한 해당 자료의 열람·제출을 요청하거나 필요한 검사를

할 수 있는 권한을 부여

김희정 의원 발의안

Ⅲ. 전기통신사업법 개정 추진(계속)

13

⑤ 방송통신위원회는 제3항과 제4항에 따른 조치를 시행하기 위하여 대통령령

으로 정하는 바에 따라 한국인터넷진흥원에 업무를 위탁하고 이에 소요되는

비용을 지원할 수 있다.

⑥ 방송통신위원회는 제2항에 따른 정당한 사유와 제3항 및 제4항의 이행을

위한 구체적 절차․방법 및 제3항제3호의 기타 이용자 보호를 위한 필요한

사항을 정하여 고시할 수 있다.

전화번호 변작방지 및 기타 이용자 보호를 위해 필요한 사항 등을 미래창조과학부가

고시로 제정

전기통신사업법의 효율적 집행을 위해 미래창조과학부의 자료제출 요구권한 등을

한국인터넷진흥원에 위탁

김희정 의원 발의안

Ⅲ. 전기통신사업법 개정 추진(계속)

14

제104조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의

과태료를 부과한다.

1. ~ 3. (생략)

4. 제84조의2 제3항에 따라 방송통신위원회가 명한 각 호의 조치를 취하지

아니하는 자

④ 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다.

1. ∼ 17. (현행과 같음)

18. 제84조의2 제4항에 따른 자료제출 및 검사요구에 응하지 아니하거나 거짓

으로 자료제출을 한 자

전기통신사업자가 거짓으로 표시된 전화번호의 차단 등 기술적 조치의무를 이행하지

아니한 경우 3천만원 이하의 과태료 부과

차단결과 정보 및 각종 이행조치 관련 자료 등을 제출하지 않거나 허위로 제출 또는

검사에 불응하는 경우 1천만원 이하의 과태료 부과

김희정 의원 발의안

Ⅲ. 전기통신사업법 개정 추진(계속)

15

이언주 의원 발의안

전화번호를 변작하거나 허위로 표시하는 행위를 금지하는 유형에 동의 받지 않은

상업적 광고를 추가하고, 그 방법으로 전화 외에 문자메세지를 추가

제84조의 (송신인 전화번호의 고지 등)

①. ~ ②. (생략)

③ 누구든지 다른 사람을 속여 재산상 이익을 취하거나 폭언·협박·희롱 등의

위해를 입힐 목적 또는 수신인의 동의를 받지 않은 상업적 광고의 목적으로 전

화(문자메시지를 포함한다)를 하면서 송신인의 전화번호를 변작하거나 거짓으

로 표시하여서는 아니 된다.

⑤. ~ ⑥. (정부 제출안과 동일, 생략)

미래창조과학부 검토결과 상업적 광고의 경우 정보통신이용망법의 관련 조항과

내용이 중복되어, 문자메시지 내용만 수용의견 제출

Ⅲ. 전기통신사업법 개정 추진(계속)

16

[사전예방] 통신사업자의 기술적 조치사항(제84조의2 제3항)

[확산방지] 통신사업자의 이행여부 확인 등(제84조의2 제4항)

국외발신 안내(제2호)

기간통신사업자

전화연결

변작번호 차단(제1호)

[번호변작치딘시스템]

수신

휴대전화

유선전화

피싱발신

공공기관 신고기관

수사기관

공공기관

금융기관

공공기관 전화번호 등록

피싱 신고

신고건 확인(제2호)

피싱 신고건에 대한 호연동 사업자명 등 제출

차단 결과 제출

공공기관 전화번호 DB조회

별정(A)

(00X-02-1234-0112)

(02-1234-0112) 별정((C) 별정(B)

X

(009-02-1234-0112)

피싱대응센터

국제전화 안내

피싱회선 차단(약관)

피싱에 이용된 가입자 회선 일시정지 또는 해지

피싱 신고건

과태료 부과(제104조)

기술적 조치 미이행 : 3천만원 자료제출 거부 : 1천만원

피싱신고 정보 공유

피싱전화 전달경로 추적

공공기관 사칭여부

판단

식별번호00X 삽입

변작 번호 차단

식별번호009 삽입

“국제전화입니다” 안내 (문자, 벨소리)

차단결과 제출(제1호)

차단호의 전화번호, 호차단 시각, 호연동 사업자명 제출

기간통신사업자

O

Ⅳ. 피싱방지 종합대책

17

4대 중점분야 13개 세부 추진과제

1. 피싱 분야별

선제적 대응

문자피싱

① 휴대전화 문자 발신번호 변경 제한

② 인터넷 발송 피싱 문자 차단(앱 개발)

③ 인터넷 발송 문자 식별기호 표시 및 번호체계정비

보이스피싱

④ 공공기관 등 사칭 국제전화 호 차단

⑤ 피싱에 이용된 가입자회선 해지 등 피해확산 차단

⑥ 국제전화 알림 및 수신거부 서비스 제공

메신저피싱 ⑦ 메신저 가입인증 강화 및 서비스 정책 개선

피싱사이트 ⑧ 피싱사이트 신고절차 개선 및 차단 강화

2. 법제도 개선 ⑨ 피싱 방지를 위한 법제도 개선

⑩ 가이드라인 마련 및 이용약관 개정

3. 피싱대응기반 구축 ⑪ 체계적인 업무수행을 위한 피싱대응센터 신설

⑫ 통신사업자 이행실태 점검 및 협력체계 구축

4. 대국민 인식제고 ⑬ 피싱예방을 위한 대국민 인식제고 추진

Ⅳ. 피싱방지 종합대책(계속)

18

1. 휴대전화 문자 발신번호 변경 제한

휴대전화에서의 문자메시지 발신번호 변경을 제한('12.9월)

발신번호가 변경된 경우 사업자가 통신망에서 차단 및 고지('13.2분기)

2. 인터넷 발송 피싱문자 차단

피싱에 주로 이용되는 전화번호, 문구 등을 수집·분석하고, 통신사에 실시간 제공

하여 피싱 관련 문자메시지 차단('13.2분기)

Ⅳ. 피싱방지 종합대책(계속)

19

문자피싱에 자주 사용되는 문구 및 패던 등을 분석하고, 수집하여 대량문자서비스

사업자에게 제공, 특정 문구 및 패턴 발견시 문자 발송 차단

금칙어 기반 문자피싱 차단

* 금칙어 분류 등급에 따라 단독 혹은 &조건으로 차단 로직 구성

20

회신번호기반 문자피싱 차단

Ⅳ. 피싱방지 종합대책(계속)

21

3. 인터넷 발송 문자 식별기호 표시 및 번호체계 정비

인터넷 발송 문자본문에 식별기호 표시를 시범 도입('13.3분기)

신속한 추적을 위해 발송사업자 식별번호체계를 정비('13.3분기)

Ⅳ. 피싱방지 종합대책(계속)

22

4. 공공기관 사칭 해외발신 전화번호 차단

기간통신사업자는 해외 발신 국제전화 중 수사기관, 우체국 등 국내 공공기관 전화

번호로 변작된 해외 발신 전화 호에 대해 차단조치 실시('13.1월 )

별정사업자의 전화호도 기간통신사업자가 대신

Ⅳ. 피싱방지 종합대책(계속)

23

발신번호 변경서비스 금지 예외사항

공익을 목적(①,②)으로 하거나 수신인에게 편의를 제공(③~⑥)하는 등 정당한

사유 외에는 통신사업자의 발신번호 변경서비스 제공을 금지

① 전기통신번호관리세칙 제11조에서 규정하고 있는 특수번호(10Y, 11Y, 12Y, 13YY)

를 사용하는 경우

② 발신번호 조작방지 가이드라인에 따라 국외에서 발신된 전화 호의 발신번호

앞에 국제전화 식별번호를 추가하여 표시하는 경우

③ 전기통신번호관리세칙 제8조 및 제11조서 규정하고 있는 전화부가서비스

(030, 050, 060, 080, 15YY, 16YY, 18YY)를 이용하는 경우

④ 방통위의 번호정책에 따라 01X(X는 1, 6, 7, 8, 9) 번호를 010으로 변경해도

발신번호를 변경 전의 01X 번호로 표시하는 경우

⑤ 방통위의 승인에 따라 하나의 단말기에서 이동전화와 인터넷전화 번호 중

이용자가 선택한 번호를 표시하는 경우

⑥ 동일인 명의로 각각 가입한 유선전화서비스(시내전화, 인터넷전화)간에 대하여

발신번호를 변경하는 경우

Ⅳ. 피싱방지 종합대책(계속)

24

5. 피싱에 이용된 가입자회선 해지 등 피해확산 차단

보이스피싱 전화 호의 전달경로를 확인하여 범죄에 이용된 가입자 회선을 해지

시키는 등 신속 대응체계 구축(개정안 통과 후)

Ⅳ. 피싱방지 종합대책(계속)

6. 국제전화 알림 및 수신거부 서비스

국제전화 알림서비스(음성벨소리, 문자 안내 등)와 국제전화 수신거부 서비스

제공을 위해 관련 기능 개발 및 표준화 추진('13.3분기)

7. 메신저 가입 인증강화 및 서비스 정책 개선

서비스 가입시 본인인증 등을 강화('13.2분기)

모바일 메신저 피싱 방지를 위한 사업자 지침서 개발·배포('13.2분기)

25

8. 피싱사이트 신고절차 개선 및 차단 강화

피싱사이트 신고절차를 간소화하여 차단 소요시간을 단축(2시간→1시간]

Ⅳ. 피싱방지 종합대책(계속)

인터넷 사업자의 차단 시행여부를 실시간으로 모니터링('12.4분기)

9. 피싱 방지를 위한 법 제도 개선

피싱방지의 실효성 제고를 위해 전기통신사업법 개정을 추진('12.4분기)

10. 가이드라인 마련 및 이용약관 개정

입법화 이전 사업자의 조치사항을 담은 문자피싱 가이드라인을 마련('13.1분기)

관련 사항 및 이용정지, 해지 등의 근거를 사업자 이용약관에 반영('13.2분기)

세부 이행 방법 및 절차 등을 고시 등에서 구체화('13.3분기)

* 보이스피싱 가이드라인은 기 배포(‘12.6.28)

26

11. 체계적인 업무수행을 위한 피싱대응센터 신설

공공 및 금융기관 사칭 번호변작 차단시스템 운영, 금융기관 사칭 문자피싱 차단

시스템 운영, 대국민 피싱 상담 및 예방활동 등('13.1.30)

Ⅳ. 피싱방지 종합대책(계속)

12. 통신사업자 이행실태 점검 및 협력체계 구축

전기통신사업자 및 대량문자발송 사업자의 피싱방지 종합대책 이행현황 정기 점검, 경찰청, 금감원 등 유관기관과 정보공유 및 공동대책 발굴·시행(연중)

13. 피싱예방을 위한 대국민 인식제고 추진

신종 피싱수법에 대한 피싱합동경보제('13.1분기)

한국인터넷진흥원, 전기통신사업자, 대량문자발송 사업자와 공동 예방활동(연중)