우리의 지갑을 노리는 해커, 사이버 사기의 진화

1. 서 론

조선시대 봉이 김선달은 평양에 살았던 유명한 사기꾼으로 대동강에 나가서 물을 길어 가는 사람들에게 본인 돈을 나눠 주면서 다음 날 그 돈을 돌려 달라고 한 후 다음 날 대동강 나룻터에서 “물 값을 주시오”하며 돈을 되돌려 받았다. 이를 본 외지인은 대동강 물이 김선달 것인 줄 알고 큰 돈을 주고 대동강 물을 샀다. 이 후 외지인은 대동강에서 물을 팔려고 했으나 아무도 사지 않아 그제서야 봉이 김선달에게 사기 당했음을 깨닫는다. 조선시대 봉이 김선달은 오프라인에서 발로 뛰며 활동하였으나 현대 수많은 봉이 김선달은 전화로 속여 돈을 갈취하기도 하고 스마트폰 혹은 컴퓨터에 악성코드를 설치하고 개인정보를 탈취하여 금전적 이득을 얻고 있다. 본 기고문에서는 사이버 상에서 우리의 지갑을 노리는 해커의 시대별 진화에 대해 기술하고 대응방안을 살펴본다.

2. 우리의 지갑을 노리는 해커, 사이버 사기의 진화

한국인터넷진흥원 인터넷이용실태조사에 따르면 우리나라 가구 인터넷 접속률은 2000년 49.8%이었으나 2018년 99.5%으로 증가하였다1. 대다수 국민이 매일 스마트폰 혹은 PC를 통해 자료 및 정보 획득, 커뮤니케이션, 전자상거래, 쇼핑 등을 하고 있으며 인터넷은 그만큼 우리 생활에 밀접한 영향을 미치고 있다. 오프라인에서 이루어지던 상거래 활동이 온라인에서 이루어지고 있으며, 이에 따라 인터넷은 해커에게 금전 탈취를 위한 좋은 장소이기도 하다. 본 절에서는 사이버 사기를 위한 해커의 진화에 대해 살펴본다.

1) 보이스 피싱 및 메신저 피싱

2000년대 초 “아이를 납치했다”, “세금을 환급해주겠다”, “수사 중인 불법 계좌에 당신 계좌도 포함됐다” 등 보이스 피싱이 기승을 부리며 피해가 점점 증가하였다. 당시 보이스피싱 범죄의 피해자가 피해금을 돌려받으려면 반드시 해당 계좌 명의인이나 은행 등을 상대로 부당이득반환 청구 소송 절차를 거쳐야 했기 때문에 피해구제가 어려웠다. 이에 따라 정부는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법을 제정하고 2011년 시행하였다. 이러한 노력에도 불구하고 경찰청에 따르면 2007년 434억 원이었던 보이스 피싱 피해액은 2018년 기준 11월 말 기준 3630억 원으로 8배 이상 증가하였다2. 보이스 피싱 뿐만 아니라 2008년 네이트온 메신저를 이용한 피싱도 등장하였는데 주로 악성링크를 전송하거나 “머해?”, “바뻐?”라는 메시지를 보낸 후 답변이 오면 지인을 가장하여 송금을 요구하는 형태였다.

< 초창기 메신저 피싱3>

2) 게임 계정 탈취형 악성코드를 이용한 금전 탈취

초기 게임 계정 탈취형 악성코드는 인터넷 응용 프로그램인 인터넷 익스플로어, 어도비 플래쉬 등의 취약점을 통해 악성코드를 설치하는 경우가 대부분이었다. 악성코드는 게임 사이트에 로그인할 때 입력하는 아이디 패스워드를 모니터링하고 가로채 해커의 원격 사이트로 유출하였다. 게임 상에서 유통되는 사이버 머니가 현금처럼 거래되는 점을 이용하여 성행하였던 사이버 사기로 2012년 3월 KISA(KrCERT/CC)에서 발표한 악성코드 유포 탐지 현황에 따르면 약 35%를 차지하였다4.

 

3) 금융 정보 탈취형 파밍 악성코드를 이용한 금전 탈취

2007년 처음 등장한 금융 정보 탈취형 악성코드는 사용자의 PC에 감염되어 사용자가 정상 은행 사이트에 접속하더라도 해커가 만들어놓은 가짜 피싱 사이트에 연결되어 사용자에게 보안카드 등 개인 정보 입력을 요구하였다. 해커는 이렇게 수집한 금융정보를 기반으로 정상 사용자를 가장하여 계좌 이체 등을 통해 금전적 이득을 맛보았다.

한국인터넷진흥원 악성코드 은닉사이트 탐지 동향 보고서에 따르면 2012년 7월5에는 온라인게임계정 유출형 악성코드가 47%로 다수를 차지했고 금융정보 탈취형 악성코드는 6%로 미미했다. 그러나 금융정보 탈취형 악성코드는 점차 증가하여 2014년 1월에는 68%6를 차지하였다.

재미있는 것은 해커는 금융정보 탈취형 악성코드를 유포할 때 종종 게임 계정 탈취형 악성코드도 함께 유포했다는 사실이다. 초기 금융정보 탈취형 악성코드는 단순히 호스트파일을 변경하여 피해자가 정상 사이트에 접속하더라도 가짜 피싱 사이트에 접속되도록 하였다. 한국인터넷진흥원이 금융 정보가 유출되는 서버를 차단하고 백신이 호스트 파일 변경 여부를 체크하는 등 피해 예방에 나서자 해커는 이를 우회하기 위한 여러 가지 방법을 고안했다. 그 방법에는 ① VPN에 접속하여 피싱 서버 정보 획득하는 방법, ② 중국 블로그 혹은 핀터레스트 등에서 피싱 서버 정보를 획득하는 방법 등이 있었다. 특히 두 번째 방법의 경우, 정보 유출 서버가 차단될 시 게시 글 하나 생성으로 쉽게 피싱 서버 정보를 변경할 수 있기 때문에 자주 사용되었다.

2013년에 발견된 파밍형 악성코드는 사용자가 인터넷 뱅킹 중 입력한 계좌번호, 공인인증서 번호 등을 메모리에서 찾아 해커에게 유출하고 거래를 중단시켰다. 기존 인터넷뱅킹이 거래 중단 시 다음 거래에서 동일한 보안카드 번호를 사용하는 것을 악용하여 해커는 금전을 탈취했다. 또 다른 악성코드 유형은 감염된 PC의 DNS 서버를 자기 자신 아이피(127.0.0.1)와 구글 DNS(8.8.8.8)로 설정한 뒤 일반 사이트는 구글 DNS를 통해 아이피 정보를 가져오고, 은행사이트의 경우 자기 자신을 거쳐 피싱 사이트로 포워딩하는 역할을 수행하였다.

2014년 해커는 감염 확대를 위해 비밀번호 설정이 취약한 공유기를 찾아 DNS 설정을 변경하여 가짜 피싱 사이트로 접속하도록 유도하였다. 뿐만 아니라 악성코드는 감염 PC에서 공인인증서 폴더(NPKI)를 찾아 압축하여 해커의 FTP로 업로드하였다. 해커, 총책, 인출책으로 구성된 조직은 복합적으로 수집한 금융 정보를 이용해 금전을 탈취한 것으로 보인다. 실제 경찰은 지난해 11월 피해자 23명이 대포통장으로 송금한 1억5000만 원을 범죄수익금 관리계좌로 송금한 혐의로 한국인 29명과 중국인 1명을 체포한바 있다7.

< 연도별 파밍 악성코드 기법 변화8,9,10,11>

4) 스미싱을 이용한 악성 앱 유포 및 금전 탈취

스미싱(smishing)은 문자메시지(SMS)와 피싱(Phising)의 합성어로, 스마트폰 사용이 보편화되며 발생한 신종 사이버 사기 수법이다. 피해자가 문자메시지에 포함된 인터넷주소(URL)를 클릭하면 악성앱이 설치되며 개인정보, 금융정보 등이 유출되어 금전적인 피해를 일으키거나 이차 사이버 사기를 위한 수단으로 활용된다. 2012년 처음 등장한 스미싱은 교통법규 위반, 청첩장 및 지인, 공공기관, 사회적 이슈 등을 사칭하였으며 주로 크롬, 구글플레이, 은행 및 대출서비스 앱, 백신 앱과 같이 정상 앱으로 가장하여 사용자를 속인다. 이러한 사칭 유형은 2015년~2017년에 걸쳐 다양한 주제를 활용하여 스미싱 사기가 이루어졌으나 최근에는 청첩장, 대출, 택배, 민원, 사진 및 동영상 클릭 유도로 단순화되었다.

초창기 스미싱 악성 앱은 감염된 스마트폰에서 소액결제 관련 문자를 탈취하여 사용자 모르게 소액 결제를 진행하여 피해가 발생하는 유형이 많았다. 스미싱 사기는 점차 발전하여 PC에서 발생한 파밍형 악성코드와 유사하게 가짜 은행 화면에 정보를 입력하도록 유도하여 금융정보를 탈취하였다. 뿐만 아니라 유출지 서버 차단을 회피하기 위해 PC 악성코드와 동일하게 중국 블로그에 접속하여 유출지 서버 아이피 정보를 가져왔다.

또한 악성 앱은 스마트폰에서 공인인증서 저장 폴더를 찾아 압축한 뒤 중국 이메일 아이디와 패스워드로 로그인하여 공인인증서를 자기 자신에게 발송하였다. 이메일의 제목은 피해자 전화번호이었으며 첨부파일은 압축한 공인인증서 파일이었다. 최근 악성 앱에서는 금융정보 탈취 유형보다는 대출 사기 유형이 발생하고 있는데 이는 “5) 보이스 피싱과 메신저 피싱 결합된 신종 사이버 사기”에서 살펴본다.

또 다른 스미싱 사기 유형은 메신저 등을 통해 가짜 포털사이트 로그인 URL을 보내 아이디와 패스워드를 탈취한다. 이렇게 수집한 계정정보로 메일, 드라이브, 블로그에 접속하여 개인 사생활을 수집한다. 해커는 이렇게 수집한 개인정보로 지인에게 접근하고 추가 사이버 공격을 감행한다. 아래 그림은 한 단계 더 진화한 방법으로 포털사 쇼핑 페이지를 위장하여 싼 가격에 물건을 내놓은 것처럼 사용자를 속이고 아이디 및 패스워드 뿐 아니라 연락처 배송지를 입력하도록 유도한다.

피해자에게 정신적 스트레스를 주어 자살까지 이르게 하는 사이버 사기 범죄도 등장하는데 몸캠 피싱이다. 몸캠 피싱은 주로 나이 어린 남성에게 접근하여 음란한 행위를 유도하고 음성이 안 들린다는 이유 등을 핑계로 화상 채팅을 위한 앱을 설치하도록 한다. 설치된 악성 앱은 전화번호부, 사진 등을 해커에게 전송하며 해커는 추후 알몸이 담긴 동영상 등을 담보로 송금하라고 협박한다. 지난해 경찰은 3700명에게 55억 원을 뜯어낸 중국 범죄 조직의 국내 자금 총책 등 조직원들을 대거 검거하였다12.

5) 보이스 피싱과 메신저 피싱 결합된 신종 사이버 사기

메신저를 통해 지인을 사칭하여 송금을 요구하는 유형은 고전적인 수법으로 금융감독원에 따르면 2017년 1407건 대비 2018년 9601건으로 582.4% 증가하였다13. 이러한 메신저 피싱은 진화하여 최근에는 보이스 피싱과 결합된 형태가 발견되고 있다. 해커는 저금리로 대출이 승인이 났다고 전화한 뒤 카카오톡 또는 문자를 통해 앱을 설치할 것을 권유한다. 이 과정에서 “출처가 불분명한 앱” 설치를 허용하는 방법을 상세히 안내한다.

이렇게 설치된 악성 앱은 후후, 후스콜, 뭐야이번호, T전화 등 스팸 차단 앱이 설치되어있는 지 확인한 후 피해자가 해당 앱을 사용하지 못하도록 방해한다. 또한 은행, 공공기관 등과 관련된 전화에 대한 목록을 보유하고 있다가 관련 전화 수신 시 보이스 피싱 조직에게 포워딩한다. 따라서 진위 여부 확인을 위해 대출 은행에 전화하더라도 피해자는 속을 수밖에 없다. 이 외에도 서울지방검찰청이라고 사칭한 뒤 범인이 검거되는 과정에서 본인의 계좌가 악용되어 소환장이 발급되었으니 특정 아이피에 들어가서 TeamViewer quick Supoort 앱과 Add-On:[제조사명] 앱을 설치하라고 한 뒤 원격 조정하는 사례도 존재한다. TeamViewer의 경우, 일반 회사가 제작하여 원격 제어를 위해 제공되는 정상 앱이나 보이스피싱 조직이 자주 악용하므로 주의가 필요하다.

6) 스피어피싱 이메일을 통한 사이버 공격 및 금전 탈취

스피어피싱이란 물속에 있는 물고기를 작살로 잡는 ‘작살낚시(spearfishing)’에서 기원한 용어로 주로 이메일을 통해 이루어지는 것이 특징이다. 불특정 다수에게 광고성 정보가 전송되는 스팸 메일과 달리 스피어피싱은 금전적·정치적 목적 등을 위해 정보를 탈취하거나 악성코드를 설치하여 사이버 공격을 수행한다. 실제 2016년 구시퍼 2.0 해커는 미국 민주당 관계자에게 스피어피싱 이메일을 보내 계정 정보를 탈취한다. 탈취한 이메일 계정으로 내부에서 주고받은 이메일 내용을 들여다보는데 성공한 해커는 ‘위키리스크’ 와 함께 이메일 내용을 폭로한다. 이메일 내용에서 민주당 경선 관리가 힐러리 클린턴 후보에게 유리하도록 조성하는 당내 모의가 적나라하게 드러나 버니샌더스 후보지지자들이 힐러리 클린턴에게 등을 돌리는 사태가 발생한다. 결국 도널드 트럼프 공화당 후보가 힐러리 클린턴을 재치고 대통령이 되었다. 이러한 형태의 공격은 지능형 APT 공격이라고 불리며 국내의 경우 주로 공공기관이나 일반 기업에서 주로 사용하는 아래한글(.hwp), 스크린세이버(.scr, exe), 압축파일(zip)등이 이메일에 첨부되어 악성코드 감염으로 연계된다.

금전적 목적을 위해 스피어피싱 이메일을 이용하는 경우는 크게 두 가지인데 첫 번째는 무역회사를 상대로 한 사이버 사기이다. 해커는 먼저 수입자와 수출자에게 스피어피싱 이메일을 보내 계정 정보를 탈취하고 둘 사이의 모든 거래에 대해 파악한다. 수출자가 수입자에게 보낸 청구서를 가로채 수령인, 계좌번호, 은행정보를 자기 자신으로 바꾸고 조작된 청구서를 수입자에게 전송한다. 수입자는 청구서를 참고하여 해커의 계좌로 물품비를 송금한다. 둘 간에 송금 문제로 다투고 있을 때쯤 해커는 수입자와 수출자에게 무역 업체 시스템이 해킹이 되어 모든 메일을 알고 있으니 정상적으로 무역업을 지속하기 위해 추가 입금을 하라고 종용한다.

그 밖에도 내부지침, 이미지 도용, 위반에 따른 과태료, 택배 배송장 등을 위장하여 랜섬웨어가 첨부된 스피어피싱 이메일을 유포하는 유형이 있다. 2016년 이전에는 랜섬웨어가 첨부된 이메일은 주로 영어였으나 점차 한국어로 된 스피어피싱 이메일이 등장하여 피해가 증가하는 추세이다. 이메일에 첨부된 랜섬웨어 클릭 시 사용자 PC 내 파일들이 암호화되며 복호화키를 받기 위해 해커에게 암호화폐를 지불해야만 한다. 금액을 지불하고 복호화키를 받는 경우에도 복구가 되지 않아 어려움을 겪는 피해자도 발생하고 있다.

3. 대응방안

금전 목적으로 사용자를 속이는 해커는 피해자의 심리를 파악하고 사회 공학 기법을 통해 대출, 납치, 채용 등 다급한 상황을 이용한다. 이에 따라 아무리 다급한 상황이더라도 한번 더 신중하게 생각하고 의심하며 이성적으로 대처해야 한다. 금융감독원이 발표한 보이스피싱 10계명에 따르면 정부기관을 사칭하거나, 대출 처리 비용을 빙자하여 입금을 요구하거나 개인정보 입력을 요구하는 경우 보이스피싱이므로 금융감독원, 경찰청 등에 즉시 신고 후 피해금 환급 신청하기를 권유한다.

만약 파밍형 악성코드로 인해 가짜 은행 피싱 사이트로 연결되었다면 주소창을 확인하고 정상 사이트가 맞는지 확인해야 한다. 또한 보안카드 번호와 같이 과도하게 많은 개인정보를 요구하는 경우, 일단 파밍을 의심해보아야 한다. 메신저를 통해 지인을 사칭하여 송금을 요구한다면 해외에서 접속한 아이디인지 여부를 확인하고 지인에게 직접 전화를 걸어 정말 본인이 맞는지 확인한다. 저금리 대출을 빙자하여 해외 아이피 주소 혹은 도메인 주소에서 관련 앱 설치를 권유한다면 보이스피싱과 결부된 스미싱일 확률이 높으므로 주의를 요한다. 그러나 앞서 나열한 방법 외에도 해커는 지속적으로 변화된 방법으로 사용자를 속이므로 백신 설치, 스팸차단 앱 설치 등을 통해 피해를 예방하고 의심하는 습관만이 적으로부터 나를 지키는 방법일 것이다.14

  1. 한국인터넷진흥원(2018), 『2018 인터넷이용실태조사 국문 요약보고서』

    https://www.kisa.or.kr/public/library/etc_View.jsp?regno=0011990&searchType=&searchKeyword=&pageIndex=1 [본문으로]

  2. 서울경제(2018.12.17), 『진화하는 보이스피싱…피해 사상최대』

    https://www.sedaily.com/NewsVIew/1S8I2DARD3 [본문으로]

  3. 네이트온(2019), 『네이트온 도용 신고』

    http://nateonweb.nate.com/guide/messenger/windows/4.1/html/win07_6.php [본문으로]

  4. 한국인터넷진흥원(2012),『2012년 3월 악성코드 은닉사이트 탐지 동향 보고서』 https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=743&queryString=cGFnZT0zJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9dGl0bGVfbmFtZSZzZWFyY2hfd29yZD0lRUMlOUQlODAlRUIlOEIlODk= [본문으로]
  5. 한국인터넷진흥원(2012),『2012년 7월 악성코드 은닉사이트 탐지 동향 보고서』

    https://www.boho.or.kr/data/trendView.do?bulletin_writing_sequence=1163&queryString=cGFnZT0zJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9dGl0bGVfbmFtZSZzZWFyY2hfd29yZD0lRUMlOUQlODAlRUIlOEIlODk= [본문으로]

  6. 한국인터넷진흥원(2014),『2014년 1월 악성코드 은닉사이트 탐지 동향 보고서』

    https://www.boho.or.kr/data/trendView.do?bulletin_writing_sequence=20643&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9dGl0bGVfbmFtZSZzZWFyY2hfd29yZD0lRUMlOUQlODAlRUIlOEIlODk= [본문으로]

  7. 파이낸셜 뉴스(2017.11.13.), 『고수익 알바에 솔깃.. 중국 보이스피싱 국내 인출책 일당 검거』

    http://www.fnnews.com/news/201711131219022839 [본문으로]

  8. 하우리(2013), 『[주의] 인터넷 뱅킹 “계좌정보 변경하는 악성코드”』

    https://www.hauri.co.kr/security/issue_view.html?intSeq=196&page=11&article_num=168 [본문으로]

  9. 안랩(2013)『이체 계좌번호까지 변조하는 악성코드 등장』

    https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?cmd=print&seq=21578&menu_dist=2 [본문으로]

  10. 하우리(2014), 『새로운 방식의 파밍 악성코드』

    https://www.hauri.co.kr/security/issue_view.html?intSeq=238&page=9&article_num=189 [본문으로]

  11. 한국인터넷진흥원(2014),『최근 피싱, 파밍 기법을 이용한 금융정보탈취 동향』 -https://boho.or.kr/filedownload.do?attach_file_seq=850&attach_file_id=EpF850.pdf [본문으로]
  12. 뉴시스(2018.9.3),『3700명에게 55억원 뜯어낸 몸캠피싱 조직원들 무더기 검거』

    http://www.newsis.com/view/?id=NISX20180903_0000408269&cID=10805&pID=10800 [본문으로]

  13. 금융감독원(2019.2.28), 『2018년 보이스피싱 피해액, 역대 최고수준!』

    http://www.fss.or.kr/fss/kr/promo/bodobbs_view.jsp?seqno=22106&no=14515&s_title=&s_kind=&page=22 [본문으로]

  14. 한겨례(2016.12.30),『러시아의 미 대선개입 해킹, 어떻게 진행됐나?』

    http://www.hani.co.kr/arti/international/america/776799.html [본문으로]

저자 : 이동은

한국인터넷진흥원 탐지팀 책임연구원