• 네 폰을 내 맘대로, 돈만 주면 願하는 惡性코드 製作

• SMS로 惡性코드 設置, 惡性코드 URL 5000件 探知

• 이름·앱 目錄부터 로그인 記錄까지 온갖 情報 流出

• 惡性 앱 아이콘 숨기고 頂上 앱 위에 情報 入力 畵面 띄워

• 最新 백신 프로그램 實時間 稼動하는 게 最上의 豫防策

얼마 前 職場인 A氏는 自身이 使用하지도 않은 少額決濟 金額을 고스란히 내야 했다. 누군가 A氏 스마트폰으로 少額決濟를 했음에도 A氏는 그 事實을 까맣게 모르고 있었다. 더군다나 A氏는 少額決濟 時 認證番號를 入力하라는 文字메시지나 決濟 內譯 알림조차 받은 적이 없다. 警察 搜査에 따르면 李氏는 문자메시지를 받고 無心코 눌렀다가 惡性코드가 스마트폰에 設置된 境遇다.

事件 內幕은 이렇다. 詐欺犯은 다크웹을 통해 個人情報 販賣商으로부터 數百 名의 連絡處를 救한 뒤 이들에게 宅配社 利用 滿足度 設問調査 URL(인터넷上의 파일 住所)을 包含하는 文字메시지를 發送했다. 때마침 이 文字메시지를 본 A氏는 設問調査에 參與하면 포인트를 積立해 준다는 文句에 링크를 接續했다. 그 瞬間 A氏 스마트폰은 惡性코드에 感染돼 ‘좀비폰’李 되고 말았다.

SMS로 惡性코드 設置, 年間 惡性코드 URL 5000件 探知

詐欺犯은 스마트폰에 貯藏된 個人情報가 C&C(Command & Control·端末機에 命令하고 制御하는 機能) 서버로 流出되자 A氏 個人情報를 빼낸 뒤 소셜커머스 業體의 會員으로 加入해 任意로 아이디를 만들었다. ‘브로드캐스트 리시버’(Broadcast Receiver·電話 通話나 文字메시지가 到着하면 알려주는 機能)와 하이재킹(Hijacking·가로채기) 技法을 連繫하는 方式으로 受信 文字메시지도 가로챘다. 그러고는 소셜커머스 사이트에 接續해 市價 48萬9100원 相當의 電子製品을 注文하고, A氏 住民登錄番號, 連絡處 等을 入力하면서 認證番號 受信을 要請했다. 結局 認證番號 문자메시지는 詐欺犯에게 電送됐고, 少額決濟를 통해 代金을 決濟했다. 以後 詐欺犯은 소셜커머스 사이트에서 注文을 取消한 뒤 미리 還拂計座로 登錄한 第3者 名義의 計座로 48萬9100원을 還拂받았다. 다음 날 該當 計座에서 詐欺犯 名義의 計座로 돈을 送金받아 假想貨幣를 購買하고, 며칠 뒤 假想貨幣를 팔아 現金化하는 方式으로 不當利得을 챙겼다. 當時 事件을 擔當한 刑事의 말이다.

“B氏 事例는 新種 스미싱(SMS 文字메시지를 利用한 詐欺) 手法에 當한 것이다. 使用者가 失手로 링크를 클릭하면 스마트폰이 눈 깜짝할 사이 詐欺를 當하는 構造다. 이 詐欺犯은 또 다른 被害者에게도 接近해 惡性코드를 流布하는 手法으로 돈을 빼갔을 뿐 아니라 被害者 個人情報를 活用해 貸出까지 받았다.”

스마트폰을 感染시키고 詐欺 犯罪까지 치는 惡性코드가 猖獗하고 있다. 2021年 8月 23日 韓國인터넷振興院(KISA)이 發表한 ‘2021年 上半期 惡性코드 隱匿사이트 探知 動向 報告書’를 보면, KISA의 惡性코드 隱匿사이트 探知 시스템이 蒐集·探知한 2021年 上半期 惡性코드 經由地·流布地 URL은 5005件으로, 前年 同期(3350件)보다 49% 以上 增加했다. 같은 期間 惡性코드 隱匿사이트 探知 시스템이 蒐集·探知한 惡性코드는 總 196個에 達했다. 前年 同期(230個) 對比 45% 줄었으나 如前히 적지 않은 惡性코드가 流布되고 있다.



惡性코드는 바이러스(virus·正常的인 프로그램과 데이터를 破壞하는 惡性코드), 웜(worm·컴퓨터시스템을 破壞하거나 作業을 遲延·妨害하는 惡性코드), 트로이 木馬(trojan horse·컴퓨터 使用者 情報를 빼가는 惡性코드) 等 디지털 機器나 시스템에 有害한 코드를 통틀어 일컫는 用語다.

이름, 設置 앱, 로그인 記錄까지 온갖 情報 流出

惡性코드가 奪取하는 情報를 보면 걱정이 더 커진다. 全體 惡性코드 類型 中 機器 情報 및 計定 情報 等의 情報流出型 惡性코드 比率이 73.8%로 가장 높은 比重을 차지한다. 機器 情報는 端末機 및 使用者 이름, 設置 프로그램 目錄, 實行 中인 서비스 目錄 等을 일컫는다. 計定 情報는 브라우저, 메일, 로그인 데이터, 個人 設定 파일 等을 의미한다. 使用者가 文字메시지나 메신저에 添附된 URL을 無心코 눌렀다가 스마트폰이 惡性코드에 感染되면 端末機에 貯藏된 온갖 重要한 情報가 外部로 流出될 수 있다. 스마트폰에 金融 애플리케이션(앱)을 設置하거나 計定 로그인 時 自動完成 機能을 利用하는 사람이라면 驚愕할 일이다.

惡性코드 流布는 單純한 端末機 感染, 私生活 侵害에 그치지 않고 다양한 種類의 詐欺 犯罪를 招來한다는 點에서 深刻한 問題다. 가장 흔히 發生하는 被害는 携帶電話 使用者에게 웹사이트 링크를 包含하는 文字메시지를 보낸 뒤 携帶電話 使用者가 링크를 누르면 惡性코드에 感染돼 犯罪者가 携帶電話를 統制하는 電子金融 詐欺다. 犯罪者는 이를 利用해 製品, 假想貨幣, 게임 아이템 等을 決濟하고, 그 少額決濟 代金은 被害者에게 請求된다. 이러한 詐欺를 ‘스미싱(Smishing)’이라고 한다. ‘SMS’와 ‘Phishing’을 합쳐 만든 말이다.

스미싱 犯罪는 나날이 增加하는 趨勢다. 國會 科學技術情報放送通信委員會 所屬 정필모 더불어民主黨 議員이 科學技術情報通信部와 KISA로부터 提出받은 資料에 따르면, 2020年 스미싱 文字 探知 件數는 95萬843件에 達한다. 2018年 24萬2840件에서 290% 以上 增加한 數値다. 2020年 發生한 스미싱 惡性 앱 流布 件數는 2419件으로 2018年(2540件)보다 5% 減少했으나 스미싱으로 인한 國民의 個人·金融情報 侵害 威脅은 如前히 높은 狀況이다.

惡性코드를 利用한 보이스피싱 犯罪도 氣勝을 부리고 있다. 보이스피싱은 陰性(voice)과 個人情報(private data), 낚시(fishing)를 합친 말로 電話를 통해 不法的으로 住民登錄番號, 信用카드 番號, 銀行 計座 番號 等을 빼내 犯罪에 使用하는 新種 電話 詐欺 手法이다. 警察廳이 發表한 ‘2016~2020 보이스피싱 申告 被害’ 調査 結果에 따르면 2020年 申告된 보이스피싱 件數는 3萬1681件으로 前年(3萬7667件)보다 15.8% 減少했다. 하지만 被害 金額으로 보면 2020年(7000億 원)李 2019年(6398億 원)보다 9.4% 늘었다.

傳統的인 보이스피싱 手法은 詐欺犯이 機關이나 知人을 詐稱해 入金을 要求하는 것이었다면, 이제는 遠隔制御 앱을 設置하도록 誘導해 被害者의 携帶電話에 들어가 直接 貸出을 받거나 計座移替를 하는 方式으로 進化했다.

新種 보이스피싱 ‘電話 가로채기’, 3個月에 22% 增加

最近 盛行하는 보이스피싱 詐欺 가운데는 ‘電話 가로채기’도 있다. 電話를 가로채 받을 수 있는 惡性 앱을 利用者 스마트폰에 깔도록 誘引한 뒤 돈을 喝取하는 手法이다. 惡性 앱을 내려받으면 보이스피싱 組織이 設定해 놓은 代表 電話番號로 轉換되면서 金融社·搜査機關 等의 代表 電話番號로 通話를 試圖해도 보이스피싱 組織이 받아 利用者를 안심시킨 後 돈을 빼낸다. 인터넷 서비스 企業 後後앤컴퍼니에 따르면 2021년 3分期 스팸 遮斷 앱 ‘煦煦’ 利用者가 登錄한 電話 가로채기를 當한 件數는 680건으로 2020년 2分期(557件)보다 22% 늘었다.

現行 情報通信網 利用促進 및 情報保護 等에 關한 法律(正統網法)에는 正當한 事由 없이 情報通信 시스템, 데이터, 프로그램 等을 毁損·滅失·變更·僞造하거나 그 運用을 妨害할 수 있는 프로그램을 傳達·流布해서는 안 된다고 規定돼 있다. 이를 違反하는 境遇 正統網法 第70條 2項에 따라 7年 以下의 懲役 또는 7000萬 원 以下의 罰金에 處한다.

그럼에도 피싱(個人情報 奪取) 技術은 날로 進化하고 있다. 萬若 스마트폰에 새로운 앱을 設置하고 實行했는데 ‘接近性 및 機器 管理者 權限’에 接近해도 되는지를 묻는 메시지창이 뜬다면 大多數가 疑心 없이 必要한 過程으로 여기고 이를 許容할 것이다. 그런데 이 앱이 接近 權限을 許容하는 瞬間 各種 情報를 奪取하는 惡性 앱日 수 있으니 각별한 注意가 必要하다.

백신 프로그램 無力化, 惡性 앱 지키는 技術 進化

그렇다면 惡性 앱에는 어떤 機能이 包含돼 있을까. 保安 企業 안랩은 2020年 8月 31日 公開한 ‘金融情報 노리는 3가지 惡性 앱 分析과 豫防法’ 報告書를 통해 2020年 上半期 V3 모바일 플러스가 診斷한 金融情報 奪取型 惡性 앱 3가지 類型을 分析했다. ▲카이시(Kaishi) ▲나루트(Narut) ▲피싱앱(Phishing App)李 그것이다. 카이시는 惡性코드의 한 類型으로, 피싱 犯罪에 主로 쓰인다. 使用者의 混同을 招來하기 위해 金融社 앱과 類似한 페이지를 만들어 詐稱하는 手法이다. 나루트 또한 金融詐欺 犯罪에 惡用되는데, 스마트폰에 貯藏된 金融情報를 蒐集해 뒀다가 文字메시지를 受信하면 金融情報를 가져간다. 피싱앱은 登場 初期에는 크롬이나 페이스북으로 假裝해 傳播됐으나 近來에는 宅配 關聯 스미싱 메시지를 詐稱해 傳播되고 있다. 住所錄·文字메시지·認證書·計定情報·通話錄音·銀行計定 等을 奪取할 뿐만 아니라 機器에 어떤 앱이 設置됐는지를 監視한다.

保安 專門家와 警察 搜査官에 따르면 백신 프로그램에 걸리지 않도록 避하는 技術 또한 갈수록 巧妙해지고 있다. 惡性 앱을 制御하는 프로그램이 機器에 設置된 앱 目錄을 確認한 後 使用者가 앱 目錄에서 惡性코드 또는 惡性 앱을 削除하지 못하도록 自身의 앱 아이콘을 숨기는 式이다. 最近에는 端末機에 設置된 惡性코드나 惡性 앱을 探知하지 못하도록 구글 플레이 프로텍트(Google Play Protect) 機能을 非性활化하는 技法도 捕捉됐다.

구글은 앱 設置 前 該當 앱이 安全한지 檢査하고 危險 要素를 包含하고 있는지를 檢査하는 구글 플레이 프로텍트 機能을 運用하고 있다. 正常 앱 畵面 위에 情報 入力을 誘導하는 畵面을 띄우기도 한다. 使用者가 正常的인 앱을 實行하면 백그라운드에서 實行되던 惡性 앱이 오버레이(Overlay·프로그램을 여러 部分으로 分割하는 프로그래밍 技法) 機能을 통해 頂上 앱 畵面 위로 個人·金融情報 入力을 誘導하는 畵面을 띄워 情報를 奪取하는 式이다.

백신 프로그램을 迂廻하는 技法도 知能的이다. 구글은 안드로이드 開發者를 위해 프로가드(ProGuard) 솔루션을 無料로 提供한다. 해커는 프로가드가 支援하는 機能과 文字列 情報 사이에 意味 없는 函數를 마구 넣거나 파일 여러 個를 만들어 惡性 앱을 發見하지 못하도록 한다.

화이트해커로 活動하는 한 保安業界 關係者는 “예전에는 詐欺犯들이 해커를 雇用하거나 惡性코드 만드는 方法을 배워 詐欺 手法에 利用해 왔는데 最近에 費用만 支拂하면 依賴人 要求에 맞춰 惡性코드를 製作해 주는 사람들이 생겨났다”며 “머지않아 惡性코드 製作 서비스가 大衆化할 것”이라고 憂慮했다.

最新 백신 프로그램 實時間 稼動하는 게 最上의 豫防策

電子金融 詐欺 被害를 豫防하는 가장 좋은 方法은 스마트폰에 最新 백신 프로그램을 設置하고 實時間 監視 機能을 設定하는 等의 豫防 措置다. 또 앱 設置를 誘導하는 文字메시지를 받더라도 링크 住所에 接續하기보다 公認된 앱 마켓을 통해 設置하는 것이 바람직하다. 出處가 不分明한 URL 接續은 하지 않도록 한다. 疑心스러운 金融去來를 提示하는 境遇 使用者 携帶電話가 아닌 他人의 携帶電話 等을 利用해 金融社 또는 搜査機關에 直接 確認하는 것이 安全하다. 李貞鉉 崇實大 소프트웨어學科 敎授는 “便宜性과 保安省은 反比例 關係다. IT 技術 發展과 코로나19 事態 以後 非對面 서비스가 强化되면서 使用者가 便利해지는 만큼 保安은 脆弱해진 面이 있다”면서 “利用者가 이 點을 認知하고 注意하는 것이 最善”이라고 强調했다.

#좀비폰 #스미싱 #피싱 #電話가로채기 #新東亞