2022년 1월호

[추적] 경찰도 두 손 든 ‘좀비폰’의 진화

  • 김건희 객원기자

    kkh4792@donga.com

    입력2021-12-30 10:00:02

  • 글자크기 설정 닫기
    • 네 폰을 내 맘대로, 돈만 주면 원하는 악성코드 제작

    • SMS로 악성코드 설치, 악성코드 URL 5000건 탐지

    • 이름·앱 목록부터 로그인 기록까지 온갖 정보 유출

    • 악성 앱 아이콘 숨기고 정상 앱 위에 정보 입력 화면 띄워

    • 최신 백신 프로그램 실시간 가동하는 게 최상의 예방책

    스마트폰에 악성 애플리케이션을 설치하면 통화 내용과 메시지, 사용자 위치, 금융정보 등 각종 정보를 뺏길 수 있으니 각별한 주의가 필요하다. [GettyImage]

    스마트폰에 악성 애플리케이션을 설치하면 통화 내용과 메시지, 사용자 위치, 금융정보 등 각종 정보를 뺏길 수 있으니 각별한 주의가 필요하다. [GettyImage]

    얼마 전 직장인 A씨는 자신이 사용하지도 않은 소액결제 금액을 고스란히 내야 했다. 누군가 A씨 스마트폰으로 소액결제를 했음에도 A씨는 그 사실을 까맣게 모르고 있었다. 더군다나 A씨는 소액결제 시 인증번호를 입력하라는 문자메시지나 결제 내역 알림조차 받은 적이 없다. 경찰 수사에 따르면 이씨는 문자메시지를 받고 무심코 눌렀다가 악성코드가 스마트폰에 설치된 경우다.

    사건 내막은 이렇다. 사기범은 다크웹을 통해 개인정보 판매상으로부터 수백 명의 연락처를 구한 뒤 이들에게 택배사 이용 만족도 설문조사 URL(인터넷상의 파일 주소)을 포함하는 문자메시지를 발송했다. 때마침 이 문자메시지를 본 A씨는 설문조사에 참여하면 포인트를 적립해 준다는 문구에 링크를 접속했다. 그 순간 A씨 스마트폰은 악성코드에 감염돼 ‘좀비폰’이 되고 말았다.

    SMS로 악성코드 설치, 연간 악성코드 URL 5000건 탐지

    사기범은 스마트폰에 저장된 개인정보가 C&C(Command & Control·단말기에 명령하고 제어하는 기능) 서버로 유출되자 A씨 개인정보를 빼낸 뒤 소셜커머스 업체의 회원으로 가입해 임의로 아이디를 만들었다. ‘브로드캐스트 리시버’(Broadcast Receiver·전화 통화나 문자메시지가 도착하면 알려주는 기능)와 하이재킹(Hijacking·가로채기) 기법을 연계하는 방식으로 수신 문자메시지도 가로챘다. 그러고는 소셜커머스 사이트에 접속해 시가 48만9100원 상당의 전자제품을 주문하고, A씨 주민등록번호, 연락처 등을 입력하면서 인증번호 수신을 요청했다. 결국 인증번호 문자메시지는 사기범에게 전송됐고, 소액결제를 통해 대금을 결제했다. 이후 사기범은 소셜커머스 사이트에서 주문을 취소한 뒤 미리 환불계좌로 등록한 제3자 명의의 계좌로 48만9100원을 환불받았다. 다음 날 해당 계좌에서 사기범 명의의 계좌로 돈을 송금받아 가상화폐를 구매하고, 며칠 뒤 가상화폐를 팔아 현금화하는 방식으로 부당이득을 챙겼다. 당시 사건을 담당한 형사의 말이다.

    “B씨 사례는 신종 스미싱(SMS 문자메시지를 이용한 사기) 수법에 당한 것이다. 사용자가 실수로 링크를 클릭하면 스마트폰이 눈 깜짝할 사이 사기를 당하는 구조다. 이 사기범은 또 다른 피해자에게도 접근해 악성코드를 유포하는 수법으로 돈을 빼갔을 뿐 아니라 피해자 개인정보를 활용해 대출까지 받았다.”

    스마트폰을 감염시키고 사기 범죄까지 치는 악성코드가 창궐하고 있다. 2021년 8월 23일 한국인터넷진흥원(KISA)이 발표한 ‘2021년 상반기 악성코드 은닉사이트 탐지 동향 보고서’를 보면, KISA의 악성코드 은닉사이트 탐지 시스템이 수집·탐지한 2021년 상반기 악성코드 경유지·유포지 URL은 5005건으로, 전년 동기(3350건)보다 49% 이상 증가했다. 같은 기간 악성코드 은닉사이트 탐지 시스템이 수집·탐지한 악성코드는 총 196개에 달했다. 전년 동기(230개) 대비 45% 줄었으나 여전히 적지 않은 악성코드가 유포되고 있다.



    악성코드는 바이러스(virus·정상적인 프로그램과 데이터를 파괴하는 악성코드), 웜(worm·컴퓨터시스템을 파괴하거나 작업을 지연·방해하는 악성코드), 트로이 목마(trojan horse·컴퓨터 사용자 정보를 빼가는 악성코드) 등 디지털 기기나 시스템에 유해한 코드를 통틀어 일컫는 용어다.

    이름, 설치 앱, 로그인 기록까지 온갖 정보 유출

    악성코드가 탈취하는 정보를 보면 걱정이 더 커진다. 전체 악성코드 유형 중 기기 정보 및 계정 정보 등의 정보유출형 악성코드 비율이 73.8%로 가장 높은 비중을 차지한다. 기기 정보는 단말기 및 사용자 이름, 설치 프로그램 목록, 실행 중인 서비스 목록 등을 일컫는다. 계정 정보는 브라우저, 메일, 로그인 데이터, 개인 설정 파일 등을 의미한다. 사용자가 문자메시지나 메신저에 첨부된 URL을 무심코 눌렀다가 스마트폰이 악성코드에 감염되면 단말기에 저장된 온갖 중요한 정보가 외부로 유출될 수 있다. 스마트폰에 금융 애플리케이션(앱)을 설치하거나 계정 로그인 시 자동완성 기능을 이용하는 사람이라면 경악할 일이다.

    악성코드 유포는 단순한 단말기 감염, 사생활 침해에 그치지 않고 다양한 종류의 사기 범죄를 초래한다는 점에서 심각한 문제다. 가장 흔히 발생하는 피해는 휴대전화 사용자에게 웹사이트 링크를 포함하는 문자메시지를 보낸 뒤 휴대전화 사용자가 링크를 누르면 악성코드에 감염돼 범죄자가 휴대전화를 통제하는 전자금융 사기다. 범죄자는 이를 이용해 제품, 가상화폐, 게임 아이템 등을 결제하고, 그 소액결제 대금은 피해자에게 청구된다. 이러한 사기를 ‘스미싱(Smishing)’이라고 한다. ‘SMS’와 ‘Phishing’을 합쳐 만든 말이다.

    스미싱 범죄는 나날이 증가하는 추세다. 국회 과학기술정보방송통신위원회 소속 정필모 더불어민주당 의원이 과학기술정보통신부와 KISA로부터 제출받은 자료에 따르면, 2020년 스미싱 문자 탐지 건수는 95만843건에 달한다. 2018년 24만2840건에서 290% 이상 증가한 수치다. 2020년 발생한 스미싱 악성 앱 유포 건수는 2419건으로 2018년(2540건)보다 5% 감소했으나 스미싱으로 인한 국민의 개인·금융정보 침해 위협은 여전히 높은 상황이다.

    악성코드를 이용한 보이스피싱 범죄도 기승을 부리고 있다. 보이스피싱은 음성(voice)과 개인정보(private data), 낚시(fishing)를 합친 말로 전화를 통해 불법적으로 주민등록번호, 신용카드 번호, 은행 계좌 번호 등을 빼내 범죄에 사용하는 신종 전화 사기 수법이다. 경찰청이 발표한 ‘2016~2020 보이스피싱 신고 피해’ 조사 결과에 따르면 2020년 신고된 보이스피싱 건수는 3만1681건으로 전년(3만7667건)보다 15.8% 감소했다. 하지만 피해 금액으로 보면 2020년(7000억 원)이 2019년(6398억 원)보다 9.4% 늘었다.

    전통적인 보이스피싱 수법은 사기범이 기관이나 지인을 사칭해 입금을 요구하는 것이었다면, 이제는 원격제어 앱을 설치하도록 유도해 피해자의 휴대전화에 들어가 직접 대출을 받거나 계좌이체를 하는 방식으로 진화했다.

    신종 보이스피싱 ‘전화 가로채기’, 3개월에 22% 증가

    2021년 8월 5일 금융감독원은 정부의 긴급 자금 대출이나 특별 보증 대출을 빙자하는 전자금융 사기 문자 발송이 증가하자 소비자 경보(주의)를 발령했다. [뉴시스]

    2021년 8월 5일 금융감독원은 정부의 긴급 자금 대출이나 특별 보증 대출을 빙자하는 전자금융 사기 문자 발송이 증가하자 소비자 경보(주의)를 발령했다. [뉴시스]

    최근 성행하는 보이스피싱 사기 가운데는 ‘전화 가로채기’도 있다. 전화를 가로채 받을 수 있는 악성 앱을 이용자 스마트폰에 깔도록 유인한 뒤 돈을 갈취하는 수법이다. 악성 앱을 내려받으면 보이스피싱 조직이 설정해 놓은 대표 전화번호로 전환되면서 금융사·수사기관 등의 대표 전화번호로 통화를 시도해도 보이스피싱 조직이 받아 이용자를 안심시킨 후 돈을 빼낸다. 인터넷 서비스 기업 후후앤컴퍼니에 따르면 2021년 3분기 스팸 차단 앱 ‘후후’ 이용자가 등록한 전화 가로채기를 당한 건수는 680건으로 2020년 2분기(557건)보다 22% 늘었다.

    현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법)에는 정당한 사유 없이 정보통신 시스템, 데이터, 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램을 전달·유포해서는 안 된다고 규정돼 있다. 이를 위반하는 경우 정통망법 제70조 2항에 따라 7년 이하의 징역 또는 7000만 원 이하의 벌금에 처한다.

    그럼에도 피싱(개인정보 탈취) 기술은 날로 진화하고 있다. 만약 스마트폰에 새로운 앱을 설치하고 실행했는데 ‘접근성 및 기기 관리자 권한’에 접근해도 되는지를 묻는 메시지창이 뜬다면 대다수가 의심 없이 필요한 과정으로 여기고 이를 허용할 것이다. 그런데 이 앱이 접근 권한을 허용하는 순간 각종 정보를 탈취하는 악성 앱일 수 있으니 각별한 주의가 필요하다.

    백신 프로그램 무력화, 악성 앱 지키는 기술 진화

    개인정보를 탈취하고 백신 프로그램의 탐지를 피하는 기술이 날로 교묘해지고 있다. [GettyImage]

    개인정보를 탈취하고 백신 프로그램의 탐지를 피하는 기술이 날로 교묘해지고 있다. [GettyImage]

    그렇다면 악성 앱에는 어떤 기능이 포함돼 있을까. 보안 기업 안랩은 2020년 8월 31일 공개한 ‘금융정보 노리는 3가지 악성 앱 분석과 예방법’ 보고서를 통해 2020년 상반기 V3 모바일 플러스가 진단한 금융정보 탈취형 악성 앱 3가지 유형을 분석했다. ▲카이시(Kaishi) ▲나루트(Narut) ▲피싱앱(Phishing App)이 그것이다. 카이시는 악성코드의 한 유형으로, 피싱 범죄에 주로 쓰인다. 사용자의 혼동을 초래하기 위해 금융사 앱과 유사한 페이지를 만들어 사칭하는 수법이다. 나루트 또한 금융사기 범죄에 악용되는데, 스마트폰에 저장된 금융정보를 수집해 뒀다가 문자메시지를 수신하면 금융정보를 가져간다. 피싱앱은 등장 초기에는 크롬이나 페이스북으로 가장해 전파됐으나 근래에는 택배 관련 스미싱 메시지를 사칭해 전파되고 있다. 주소록·문자메시지·인증서·계정정보·통화녹음·은행계정 등을 탈취할 뿐만 아니라 기기에 어떤 앱이 설치됐는지를 감시한다.

    보안 전문가와 경찰 수사관에 따르면 백신 프로그램에 걸리지 않도록 피하는 기술 또한 갈수록 교묘해지고 있다. 악성 앱을 제어하는 프로그램이 기기에 설치된 앱 목록을 확인한 후 사용자가 앱 목록에서 악성코드 또는 악성 앱을 삭제하지 못하도록 자신의 앱 아이콘을 숨기는 식이다. 최근에는 단말기에 설치된 악성코드나 악성 앱을 탐지하지 못하도록 구글 플레이 프로텍트(Google Play Protect) 기능을 비성활화하는 기법도 포착됐다.

    구글은 앱 설치 전 해당 앱이 안전한지 검사하고 위험 요소를 포함하고 있는지를 검사하는 구글 플레이 프로텍트 기능을 운용하고 있다. 정상 앱 화면 위에 정보 입력을 유도하는 화면을 띄우기도 한다. 사용자가 정상적인 앱을 실행하면 백그라운드에서 실행되던 악성 앱이 오버레이(Overlay·프로그램을 여러 부분으로 분할하는 프로그래밍 기법) 기능을 통해 정상 앱 화면 위로 개인·금융정보 입력을 유도하는 화면을 띄워 정보를 탈취하는 식이다.

    백신 프로그램을 우회하는 기법도 지능적이다. 구글은 안드로이드 개발자를 위해 프로가드(ProGuard) 솔루션을 무료로 제공한다. 해커는 프로가드가 지원하는 기능과 문자열 정보 사이에 의미 없는 함수를 마구 넣거나 파일 여러 개를 만들어 악성 앱을 발견하지 못하도록 한다.

    화이트해커로 활동하는 한 보안업계 관계자는 “예전에는 사기범들이 해커를 고용하거나 악성코드 만드는 방법을 배워 사기 수법에 이용해 왔는데 최근에 비용만 지불하면 의뢰인 요구에 맞춰 악성코드를 제작해 주는 사람들이 생겨났다”며 “머지않아 악성코드 제작 서비스가 대중화할 것”이라고 우려했다.

    최신 백신 프로그램 실시간 가동하는 게 최상의 예방책

    전자금융 사기 피해를 예방하는 가장 좋은 방법은 스마트폰에 최신 백신 프로그램을 설치하고 실시간 감시 기능을 설정하는 등의 예방 조치다. 또 앱 설치를 유도하는 문자메시지를 받더라도 링크 주소에 접속하기보다 공인된 앱 마켓을 통해 설치하는 것이 바람직하다. 출처가 불분명한 URL 접속은 하지 않도록 한다. 의심스러운 금융거래를 제시하는 경우 사용자 휴대전화가 아닌 타인의 휴대전화 등을 이용해 금융사 또는 수사기관에 직접 확인하는 것이 안전하다. 이정현 숭실대 소프트웨어학과 교수는 “편의성과 보안성은 반비례 관계다. IT 기술 발전과 코로나19 사태 이후 비대면 서비스가 강화되면서 사용자가 편리해지는 만큼 보안은 취약해진 면이 있다”면서 “이용자가 이 점을 인지하고 주의하는 것이 최선”이라고 강조했다.

    #좀비폰 #스미싱 #피싱 #전화가로채기 #신동아



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사