피싱 사기 이끄는 ‘전화 탈취 악성 앱’ 직접 시연해보니…“눈 뜨고 당한다”

"저리 대출로 갈아타게 해주겠다는 전화가 와서 혹시 몰라 일단 끊었어요. 그리고는 OO은행 대표 번호로 직접 걸어봤지요. 그런데 안내한 내용도 담당자도 맞대요. 그러니 믿을 수밖에 없지 않겠습니까?" [보이스피싱 피해자 A씨]

전화금융사기, 이른바 보이스피싱 조직에 속아 거액을 이체한 A 씨의 말입니다.

보이스피싱이 의심되는 전화를 받는 경우 전화를 바로 끊어버리기도 하지만 A 씨처럼 114나 검색 포털을 통해 찾은 금융기관 대표번호로 직접 확인 전화를 걸기도 합니다.

그런데 A씨가 건 전화는 모두 피싱 일당들이 받았습니다. 해당 기관 대표 번호로 맞게 걸었는데도 어떻게 이게 가능했을까요?

이유는 A 씨의 휴대전화에 통화를 탈취하는 '악성 앱'이 내려받아져 있었기 때문입니다.

■ 보이스피싱에 이용되는 '악성 앱', 보안업체 도움받아 직접 구동해보니…

취재진은 보안업체인 '안랩'의 도움을 받아 보이스피싱에 이용되는 '악성 앱'을 시연해봤습니다.

미리 준비된 스마트폰 두 대. 한 대에는 악성 앱이 설치돼 있습니다. 나머지 휴대전화는 악성 앱으로 통해 수신번호로 설정된 휴대전화기입니다. 이 휴대전화기는 실제 범행 현장에서는 피싱 일당들이 소지하는 단말기가 될 것입니다.

악성 앱이 설치된 휴대전화를 이용해 114에 전화를 걸어봤습니다. 정상적이라면 번호 안내 서비스로 연결돼야 하지만 바로 옆에 있는 휴대전화로 연결됐습니다.

114뿐일까요. 금융감독원의 금융사기 신고 번호인 1332에 걸어봤습니다. 역시나 옆에 놓여있는 휴대기기가 울렸습니다. 실제 1332로 전화가 걸리지 않고 제 3자의 휴대전화기로 연결된 겁니다.

대표번호가 잘못된 것도 아니고, 사용자가 맞는 번호로 직접 전화를 걸기까지 했으니 누가 봐도 수화기 너머의 상대방을 해당 기관 종사자일 것으로 믿을 수밖에 없는 상황입니다.

보이스피싱 일당일 거라고는 전혀 생각하지 못한 채 상대방이 요구하는 개인정보도 거액의 이체도 응하고 종국에는 금융 사기 피해를 당하게 되는 것입니다.

■ '악성 앱' 어떻게 생겼나? "겉으로 보기엔 다른 앱과 구별 안 돼…숨길 수도"

보이스피싱 공격에 활용되는 이 악성 앱은 보안업계 전문가들 사이에서 '카이시(Android-Trojan/Kaishi)'라고 불리는 프로그램입니다.

2014년 초에 처음 등장해 현재까지 보이스피싱 범죄에서 지속적으로 발견되고 있습니다.

카이시는 금융 서비스, 또는 이와 관련된 전화번호로 사용자가 전화를 걸면 공격자의 단말기로 연결해주는 기능을 합니다.

그렇다 보니 범죄 일당이 금융이나 수사기관 등으로 속이는 단계에서 주로 이용됩니다.

안랩의 설명에 의하면, 이 앱을 통해 공격자는 연결을 원하는 번호를 여러 개 설정할 수 있습니다.

즉, 여러 곳의 금융 기관이나 114 안내 번호 외에 금융감독원 번호까지도 입력해놓을 수 있어서 휴대전화 사용자가 금융 기관에 전화하지 않고 금감원으로 바로 신고를 할 경우에도 이를 가로채 방해할 수 있다는 겁니다.

그렇다면 이 악성 앱은 어떻게 생겼을까요?

주로 금융 뱅킹앱을 사칭하지만 구글 플레이(Google Play), 크롬(Chrome), 플래시 플레이어(Flash Player) 등에 올려져 있는 인기 있는 앱을 본 따 만들어져 있기도 합니다. 택배업체 앱이나 심지어 보안 앱으로 위장하기도 합니다.

안랩이 시연한 악성 앱은 겉보기에는 잘 알려진 카드회사 앱 모습을 하고 있었습니다.

단말기 바탕화면에서 보여지는 아이콘뿐만 아니라 앱을 클릭하면 볼 수 있는 내부 설명과 각각의 페이지들조차 카드회사 앱의 디자인을 똑같이 모방했습니다.

시중에 있는 여러 종류의 앱으로 얼마든지 디자인 변형이 가능하고, 누가 보더라도 정상적인 앱처럼 보이기 때문에 사용자들은 육안으로 악성 앱을 식별해내기 어렵다는 게 안랩의 설명입니다.

이뿐 아닙니다. 안랩 시큐리티대응센터(ASEC) 측은 "지금 시연하는 악성 앱은 시중 앱을 사칭한 모습이지만 설치되는 순간 단말기에서 아예 보이지 않도록 숨기는 설정도 기술적으로 가능한 것으로 확인됐다"고 말했습니다.

이처럼 사용자를 감쪽같이 속이는 '악성 앱'까지 활용되면서 보이스피싱 관련 범죄는 해마다 늘고 있습니다.

■ 앱 마켓 아닌 출처 불분명한 링크는 열어보지 말아야…"반드시 다른 휴대전화로 신고"

경찰과 보안업체에 따르면, 이러한 악성 앱은 본격적인 범행 전 단계에서 주로 설치됩니다. 금액 이체 등을 유도하기 전에 금융 관련 앱 등이라 속이고 해당 프로그램을 내려받을 것을 안내한다는 겁니다.

이 때문에 경찰과 보안업체는 문자메시지나 카카오톡 등을 통해 받는 출처가 불분명한 링크나 프로그램 설치 파일 등을 절대 열어보지 말라고 조언했습니다.

금융 앱이나 보안 앱은 앱 마켓을 통해서만 다운 받아야 하며 그 어떤 금융사나 카드사, 각종 기관에서도 문자메시지를 통해 링크를 보내는 식으로 설치를 안내하고 있지 않다고 강조했습니다.

안랩 측은 또 "아이폰 같은 iOS용 단말기보다 보안 체계가 상대적으로 낮은 안드로이드용 단말기에서 악성 앱 설치가 주로 이뤄지고 있다"면서 "모바일 소프트웨어를 항상 최신 버전으로 유지하고 의심이 될 경우 앱 마켓을 통해 V3 등 모바일 백신을 내려받아 액성 앱 설치 여부를 검사해보는 것도 방법"이라고 조언했습니다.

또 한 가지 중요한 행동요령은 보이스피싱으로 의심되는 전화를 받은 경우 해당 휴대전화가 아닌, 다른 휴대기기를 이용해 확인 또는 신고를 해야 한다는 것입니다.

별도의 휴대기기가 없다면 주변 사람의 도움을 받거나 가까이 있는 유선 전화를 이용하는 것도 방법입니다. 사용자가 인식하지 못하는 사이 여러 경로를 통해서 휴대전화에 악성 앱이 이미 내려받아 진 상황일 수도 있기 때문입니다.

경찰과 보안업체는 최근 통신사 등과 함께 '악성 앱을 이용한 보이스피싱 주의' 를 안내하고 나섰습니다.

안드로이드폰 단말기 제조사 등과 함께 악성 앱 설치를 기술적으로 차단하는 방법에 대해서도 연구를 하고 있습니다.

[연관 기사]
[9시 뉴스] 금감원 대표번호로 걸어도 ‘당한다’…진짜 같은 가짜, ‘악성 앱’ 주의보
https://news.kbs.co.kr/news/view.do?ncd=5617165