최근 유병언과 관련된 사회적 이슈를 이용하여 트위터(Twitter)를 통해 안드로이드(Android) 악성앱을 유포하는 사례에 대해 소개한 적이 있습니다.
당시 사이버 범죄자가 이용하던 서버를 살펴보던 중 보이스피싱과 관련되는 부분을 발견하여 추가적인 정보를 공개할 예정이었는데, 불행하게도 개그우먼 권미진씨가 최근에 보이스피싱을 통해 금전적 피해를 보았다는 글이 올라온 것을 확인할 수 있었습니다.
권미진씨가 공개해 주신 소중한 보이스피싱 피해 사례를 기반으로 범죄가 어떻게 이루어지는지 전체적인 흐름을 살펴보도록 하겠으며, 특히 이 글에서는 인터넷뱅킹 서비스를 이용하는 모바일 환경을 중심으로 다루도록 하겠습니다.
보이스피싱을 이용한 범죄는 전화를 받는 대상의 개인정보를 상당 부분 사전에 알고 있을 가능성이 매우 높으며 걸려오는 전화번호를 사전에 판단하기 위해서는 "뭐야 이 번호"와 같은 어플을 통해 1차적으로 판단할 수 있습니다.
보이스피싱 범죄자는 일반적으로 경찰서 수사관으로 사칭하여 대포 통장과 관련된 수사 중 본인의 계좌에 범죄 자금이 입금되었기에 연락한 것처럼 속이고 있습니다.
이를 통해 겁을 먹은 피해자는 검찰청 검사로 사칭하는 범죄자와의 통화를 통해 특정 피싱(Phishing) 웹 사이트로 접속을 유도할 수 있습니다.
연결된 서울중앙지방검찰청 피싱(Phishing) 사이트는 실제 웹 사이트와 거의 동일하게 제작되어 있으며 전화를 통해 "빠른 민원 서비스 → 나의 사건 조회" 버튼을 클릭하도록 유도합니다.
보이스피싱 범죄자들이 알려주는 웹 사이트 주소(URL)가 신뢰할 수 있는 정부 기관(go.kr) 도메인인지를 판단하라고 홍보는 하지만, 실제 대다수 국민의 경우 웹 사이트 접속을 인터넷 검색을 통해 한다는 점에서 주소(URL)를 자세히 알 수 없기 때문에 쉽게 믿을 수 있습니다.
사건 조회 웹 페이지는 형사사법포털처럼 제작된 피싱(Phishing) 사이트이며, 일반적으로 회원이 아니므로 비회원 실명 확인(이름, 주민등록번호) 방식으로 로그인을 시도하게 됩니다.
이를 통해 접속이 이루어지면 "서울 중앙대검 2014년 조사0668호 안건"이라는 공문서를 생성하며, 사용자가 로그인에 사용한 이름과 주민등록번호를 이용하여 마치 범죄에 연관된 것처럼 공포심을 유발합니다.
특히 권미진씨가 언급한 내용을 보면 "급수 : 특급"과 같은 부분을 강조하여 빠른 시간 내에 사건을 처리해야 함을 강조하여 보이스피싱 범죄자들이 요구하는 절차에 따르도록 유도하고 있습니다.
참고로 공문을 자세히 살펴보면 대검찰청 총장 이름이 채동욱, 김진태로 서로 다르게 표시되어 있는 등의 엉성한 문서라는 점을 눈치챌 수 있지만, 유선으로 이루어지는 보이스피싱 범죄자들의 독촉으로 인해 눈에 들어오지는 않을 것으로 보입니다.
이렇게 성공적으로 피해자에게 공포심을 불어넣은 보이스피싱 범죄자는 인터넷뱅킹 사용 유무를 물어보며, 권미진씨처럼 인터넷뱅킹을 사용하지 않는 경우에는 직접 은행을 방문하여 범죄자들이 사전에 준비한 대포 통장으로 돈을 이체하도록 유도하므로 관련 내용은 권미진씨 피해 사례 게시글을 잘 읽어보시기 바랍니다.
하지만 상당수의 피해자는 인터넷뱅킹을 이용하고 있으며 전화를 받는 사용자가 PC를 사용할 수 있는 환경인지를 체크하여 PC 사용자인 경우에는 사전에 만들어놓은 파밍(Pharming) 웹 사이트로 접속을 유도하여 공인인증서, 금융 정보, 보안 카드 번호를 모두 입력하도록 하여 금전적 피해를 유발할 것으로 추정됩니다.
만약 PC가 아닌 안드로이드(Android) 스마트폰 사용자의 경우에는 다음과 같은 추가적인 절차에 따라 금전적 피해를 유발할 수 있을 것으로 보입니다.
보이스피싱 범죄자는 피싱(Phishing) 사이트의 "빠른 민원 서비스 → 증명서 발급"을 클릭하여 악성 어플<SHA-1 : 04a9157b77e6b940ed3edd85d7daf533eaeeb4ee - AhnLab V3 : Android-Malicious/SMSstealer (VT : 20/53)> 설치를 유도할 수 있습니다.
해당 악성 어플 소스를 봐서는 NQ Mobile Security 모바일 백신처럼 표시되어 있지만, 실제적으로는 암호화된 DexToLoad.apk (SHA-1 : 82eb6710769a0eb65975bab80dd72f07fe927709) 파일을 로딩하여 설치가 이루어지고 있습니다.
android.permission.INTERNET
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.CALL_PHONE
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.READ_CALL_LOG
android.permission.WRITE_CALL_LOG
android.permission.ACCESS_NETWORK_STATE
android.permission.CHANGE_NETWORK_STATE
android.permission.PROCESS_OUTGOING_CALLS
android.permission.GET_TASKS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.READ_EXTERNAL_STORAGE
다운로드한 악성앱 설치를 진행하면 "검찰청 안내" 애플리케이션 설치를 유도하고 있으며, 주요 권한을 살펴보면 SMS 문자 훔쳐보기, 사용자의 통화 기록 읽기, 주소록 보기, 사용자의 발신 전화 모니터링을 통한 바꿔치기 또는 차단, 경고창 생성, 최근 실행된 작업 확인, SD카드 읽기/쓰기 등의 동작을 수행할 수 있습니다.
또한 감염된 기기 정보를 일본(Japan)에 위치한 "quanjingguo.yourtrap.com (36.54.37.100)" C&C 서버로 전송하고 있습니다.
최초 검찰청 안내 악성앱이 설치된 상태에서는 바탕 화면에 바로가기 아이콘이 생성되지만, 사용자가 검찰청 안내 악성앱을 실행한 경우에는 바로가기 아이콘을 제거하여 백그라운드 방식으로 자동 동작합니다.
특히 검찰청 안내 악성앱은 실행시 "보안을 고객님의 안전한 서비스 이용을 위한 보안프로그램들을 통합관리할[활성화]를 클릭하시면 자동으로 보안강화가 진행됩니다." 메시지를 통해 기기 관리자 활성화를 요구하여 쉽게 제거할 수 없도록 합니다.
이렇게 실행된 검찰청 안내 악성앱은 기본적으로 2개의 서비스(EmailService, MainService)와 com.play.goo_g 프로세스를 실행하여 동작하며, 감염된 모바일에 설치된 금융앱을 체크하여 추가적인 다운로드를 통해 악성앱으로 바꿔치기할 수 있습니다.
또한 모바일에 저장된 공인인증서를 찾아 특정 이메일 계정으로 ZIP 압축 방식으로 전송할 수 있으며, 지속적으로 SMS 메시지 등의 민감한 개인정보를 수집하여 외부로 유출할 수 있습니다.
특히 해당 악성앱은 112(긴급 경찰 신고), 1301(검찰청), 182(실종 신고), 118(보호나라)를 비롯한 1,256개의 전화번호를 모니터링하여 발신 차단 또는 다른 전화로 연결을 시도할 수 있습니다.
이렇게 감염된 검찰청 안내 악성앱을 제거하기 위해서는 반드시 기기 관리자에서 활성화된 검찰청 안내 항목을 비활성화한 후 애플리케이션에서 제거를 하셔야 합니다.
또한 감염으로 인하여 추가적인 악성앱 다운로드를 통해 금융앱이 악성앱으로 변경되었을 수도 있으므로 모바일을 이용하여 인터넷뱅킹을 사용하는 사용자는 모바일 백신으로 정밀 검사를 해보시길 권장하며 되도록 공인인증서와 보안 카드는 폐기하고 재발급을 받으시기 바랍니다.
예전에 경찰청에서 신종 금융사기예방 홍보 캠페인으로 제작한 보이스피싱 범죄자는 조선족처럼 특유의 억양을 사용한다고 언급하지만, 최근에는 국내인들이 범죄에 참여하여 목소리로는 전혀 판단할 수 없으므로 다음과 같은 점을 분명히 인지하시고 보이스피싱 범죄자들로부터 금전적 피해를 당하지 않도록 하시기 바랍니다.
- 상대방이 검찰, 경찰, 법원 등 수사/사법 기관이라고 하더라도 법적인 문제는 전화상으로 무조건 응대하지 마시기 바랍니다. 만약 전화로 사건 처리를 요구하면 전화를 끊고 인터넷 등을 통해 관련 기관에 직접 전화를 하여 사실 여부를 재확인하시기 바랍니다.
- 전화상으로는 금융 정보와 관련된 어떠한 정보도 응답하지 마시기 바랍니다.
- 전화상으로 특정 웹 사이트 접속 및 애플리케이션 다운로드를 요구하는 경우에는 절대로 접속 및 다운로드를 하지 마시기 바랍니다.
마지막으로 최근 국민권익위원회에서는 2014년 2분기(피해액 : 2억 7300만원) 접수된 보이스피싱 피해 상담건수가 1분기(피해액 : 2억 350만원)에 비해 22.8% 증가했다고 밝히고 있습니다.
이에 비해 언론 등에서는 여전히 피해 사례를 단발성으로 홍보하여 예방 효과가 떨어지고 있는 것으로 보이므로, 더욱 지속적인 홍보를 통해 여전히 위와 같은 피해에 노출되는 국민들이 없도록 해주었으면 좋겠습니다.