2010년 3월 30일 화요일
Google 온라인 보안 블로그의 최근 게시물에서 피싱 페이지를 식별하는 시스템에 대해 다루었습니다. 스캐너로 피싱 여부를 분석하는 수백만 개의 웹 페이지 중에서 피싱 페이지 10개 중 9개를 식별합니다. Google의 분류 시스템은 피싱이 아닌 사이트를 피싱 사이트로 잘못 신고하는 경우는 1만 번 중 1번에 불과하며, 유사한 시스템보다 훨씬 나은 수치입니다. Google의 경험에 비춰볼 때 일반적으로 이러한 '거짓양성' 사이트는 스팸을 배포하도록 만들어졌거나 다른 의심스러운 활동과 관련이 있을 수 있습니다. 사이트가 Google의 피싱 페이지 목록('신고된 웹페이지 위조')에 잘못 추가된 경우 Google에 오류를 신고해 주세요. 반면 사이트가 멀웨어 목록('이 사이트는 컴퓨터에 문제를 야기할 수 있습니다')에 추가된 경우 멀웨어 문제 해결의 안내를 따라야 합니다. Google팀에서는 모든 신고를 하루 안에 해결하고자 노력하며 보통 몇 시간 이내에 답변을 드립니다.
유감스럽게도 신고에 대해 후속 조치를 하려고 할 때 Google에서 자동화 시스템만큼이나 혼란스러워하는 경우도 있습니다. 웹사이트 운영자이신가요? 실수를 빠르게 해결하고 사이트가 피싱 페이지 목록에 표시되지 않게 하는 데 도움이 되는 간단한 가이드라인을 소개합니다.
사이트에 속해 있지 않은 사용자 이름과 비밀번호를 요청하지 마세요.
Google에서는 기본적으로 이 행동을 피싱으로 간주하며, 금지합니다. 다른 사이트에 부가기능 서비스를 제공하려면 공개 API 또는 OAuth를 사용하는 것이 좋습니다.
로그인 입력란 근처에 본인 소유가 아닌 로고를 표시하지 마세요.
웹 서핑을 하는 사람이 이 로고가 웹사이트를 대표한다고 착각할 수 있습니다. 이 경우 사용자가 다른 사이트에 입력해야 할 개인 정보를 내 사이트에 입력하게 될 수 있습니다. 또한 Google에서 언제나 웹마스터의 이러한 행동에 의도가 있는지 알 수 있는 것은 아니므로 안전을 위해 사이트를 차단할 수 있습니다. 오해를 방지하기 위하여, 이러한 로고를 표시할 때는 주의를 기울이는 것이 좋습니다.
사이트, 특히 로그인 시 사용되는 도메인 수를 최소한으로 줄이세요.
사이트 Y에서 사이트 X의 사용자 이름과 비밀번호를 묻는 것은 굉장히 의심스러워 보이는 행동입니다. 이렇게 하면 Google에서 웹사이트를 평가하기 어려워질 뿐 아니라 방문자에게 의심스러운 URL을 무시하도록 교육하게 되므로 방문자가 실제 피싱 시도에 더 취약해질 수 있습니다. 기본 사이트의 도메인과 다른 도메인에 로그인 페이지를 사용해야 한다면 사용자가 기본 도메인에서 이 페이지에 액세스할 수 있도록 투명 프록시를 사용하는 것이 좋습니다. 다른 방법이 모두 실패한 경우...
페이지 링크를 쉽게 찾을 수 있도록 하세요
기본 사이트에서 페이지로 연결되는 링크를 찾기 어려운 경우 Google과 사용자가 내 사이트에서 도메인 외부 페이지를 누가 제어하고 있는지 파악하기 어렵습니다. 이 문제를 해결하려면 각각의 도메인 외부 페이지를 해당하는 도메인 내부 페이지로 다시 연결하면 됩니다. 이렇게 하지 않았는데 실수로 페이지 중 하나가 Google의 목록에 표시되는 경우, 오류 보고서에 기본 사이트에서 잘못 차단된 페이지로 연결되는 링크를 찾는 방법을 알려주시기 바랍니다. 이러한 조치를 전혀 취하지 않는다면,
이메일 또는 메신저를 통해 이상한 링크를 보내지 마세요
Google에서 이메일 또는 채팅 메시지에만 표시되어 있는 특이한 링크를 확인하는 것은 불가능합니다. 더욱 심각한 점은, 이러한 종류의 링크를 사용하면 사용자/고객/친구가 이메일이나 IM을 통해 수신되는 이상한 링크를 클릭하게 되므로 피싱뿐 아니라 다른 인터넷 범죄에도 노출될 가능성이 있다는 것입니다.
이 권장사항이 상식적이라고 생각하기 쉽지만, Google에서는 주요 전자상거래 및 금융 기업에서 때로 이러한 가이드라인을 위반하는 상황을 목도합니다. 이 권장사항을 준수하면 Google 피싱 방지 시스템 사용 환경을 개선할 수 있을 뿐만 아니라 방문자에게 더 나은 온라인 환경을 제공할 수도 있습니다.