교묘히 ‘악성앱’ 설치 유도
정식앱 빼닮은 가짜 은행앱도
#1. [OO통운] 택배 배송 확인 중입니다. 배송지를 선택해 해주세요. 1: 현관앞 2: 경비실 3: 본인수령
#2. [XX은행 대출건 승인 안내] 귀하께서는 민생 경제의 신속한 일상 회복을 위한 특별지원대책 방안에 따라 정부의 주도로 시행되는 ‘특별금융지원’ 지원대상이지만 아직까지 미신청 대상으로 분류되어 재안내 드립니다.
#3. [국제발신] □□님 해외 인증 95*** USD799 결제완료. 본인 아닌 경우 한국 소비자원 문의
은행 대출, 택배 배송, 해외 결제, 투자 권유…. 휴대폰 문자메시지로 이런 안내를 받고 섣불리 링크를 눌렀다간 졸지에 보이스피싱 피해자가 될 수 있다. 까맣게 모른 상태에서 악성 어플리케이션(앱)이 스마트폰에 깔려 개인 정보가 보이스피싱 조직에게 넘어간다. 그렇게 되면 휴대폰은 보이스피싱 범행을 완성하기 위한 ‘숙주’ 노릇을 하게 된다. 그 출발점이 ‘미끼 문자’들이다. 보안솔루션 기업인 시큐차트의 도움을 얻어 대표적인 유형을 소개한다.
보이스피싱 조직이 으레 악용하는 건 ‘전화 가로채기 앱’이다. 주로 금융기관을 사칭하는 문자를 보낸다. ‘서민형안심전환대출’, ‘특별금융지원’ 등 그럴싸한 문구를 넣어 피해자가 대출 신청을 위한 링크를 클릭하도록 유도한다. 악성 앱은 즉시 설치되고 피해자가 거는 모든 전화를 가로챈다. 경찰·금융회사·금융감독원 등 대표번호로 전화를 걸면 자동으로 보이스피싱 조직에게 연결된다. 피해자가 조직이 치밀하게 짜놓은 각본에 속아 돈을 건네는 건 시간문제다.
‘정보 탈취 앱’도 흔히 쓰인다. 피해자가 미끼 문자를 통해 링크에 접속하면 정보 탈취 앱이 깔린다. 그 과정에서 휴대폰의 전화·주소록·문자메시지·저장 공간 등의 권한을 보이스피싱 조직이 쥐게 된다. 이런 앱은 신뢰할만한 정상적인 앱과 구분하기가 어려울 정도로 교묘하게 만들어졌다.
이창민 씨큐차트 수석연구원은 “구글 크롬 앱과 똑같은 아이콘으로 악성 앱이 깔리기도 하는데 문제는 가짜 크롬 앱은 전화, 주소록, SMS까지 다 접근할 수 있도록 설정돼 있단 점”이라며 “백화면에서 그런 정보를 확인하고 수집할 수 있다는 점”이라고 말했다.
보이스피싱 조직은 이렇게 얻은 개인정보를 직접 활용해 비대면 대출을 실행해 빼돌리는 사례도 보고된다.
최근엔 앞서 언급한 두 가지 유형의 악성 앱을 결합한 ‘사칭 앱’까지 등장했다. 씨큐차트는 취재진에 A은행의 정식 앱을 본떠 만든 가짜 은행 앱이 구동하는 방식을 보여줬다. 가짜 은행 앱을 실행했을 때 보여지는 서비스 화면은 정교하게 만들어 졌다. 진짜 은행 앱과 차이점을 느끼지 못할 수준이다.
보이스피싱 조직은 “대출 신청을 위해서 앱 설치가 필요하다”고 유도한다. 가짜 은행 앱을 깔고 실행하면 개인정보(이름, 주민등록번호, 계좌비밀번호 등)를 입력하는 화면이 뜬다. 이 과정에서 자연스럽게 ‘보안 프로그램’을 설치해야 한다는 안내화면이 뜨는데, 무심코 동의하게 되면 전화 가로채기 앱 같은 또다른 악성 프로그램까지 추가로 깔린다. 보이스피싱 조직 입장에선 사칭 앱 하나로 ‘일석이조’의 효과를 볼 수 있는 셈이다.
미끼문자를 뿌리고, 악성 앱까지 설치하는데 성공하면 이후 보이스피싱 조직은 다양한 시나리오로 피해자를 기망한다. 가로챈 이름, 주민등록번호 등 개인정보로 직접 대포폰을 개통해 피해자 명의로 대출을 받거나, 오픈뱅킹을 활용해 여러 은행의 계좌에 흩어진 예금계좌 잔액을 한데 모아 이체하기도 한다.
김현수 경찰청 금융범죄수사계장은 “(보이스피싱 조직은) 일반 유선번호나 인터넷 전화로 미끼 문자를 무작위로 배포해 피해자가 연락을 하면 악성 앱을 깔도록 유도한다”며 “그 과정에서 악성 앱으로 금융정보를 수집해 저금리 전환대출을 해줄 것처럼 속이고 기존 대출금 현금 상환을 요구하는 전형적인 시나리오를 이어간다”고 했다. 이어 “피해금이 몇천만원 단위로 커지지만 미끼 문자를 살포하는 데 사용된 일반·인터넷 전화는 휴대폰과 달리 이용중지를 시키는 것이 불가능하다”고 했다.
악성 앱 피해 확산을 막기 위해선 문자, 카카오톡 메시지로 받은 프로그램을 가급적 설치하지 않는 게 좋다. 최근엔 사용자도 모르게 깔려 있는 앱을 탐지해 알려주는 백신 프로그램도 다양하게 나와 있다. 씨큐차트가 개발한 ‘캐치앱’, 경찰대 스마트치안지능센터가 개발한 ‘시티즌코난’이 대표적이다. 공식 앱 마켓에 등록되지 않은 의심스러운 프로그램을 걸러내 사용자에게 알려준다.
이창민 수석연구원은 “공식 앱 스토어를 통해 앱을 설치하면 보이스피싱 피해를 예방할 수 있지만 실생활에서 이걸 세심히 지키기 힘든 것이 사실”이라며 “현재로선 24시간 동안 탐지할 수 있는 백신 앱을 설치해 악성 앱을 걸러내는 것이 최선”이라고 말했다.
기획취재팀 = 박준규·박로명 기자