피싱 사이트 시연해보니
교통민원24와 유사한 가짜 사이트 접속 유도…주민등록번호 등 개인정보 요구
2차로 피해자 스스로 악성앱 설치토록 안내해 카드·은행계좌 등 금융정보 탈취
악성앱 설치시 착·발신 등에 과도한 권한 요구하며 휴대전화 통제권 장악
전문가 “휴대전화 장악한 악성앱으로 전화 가로채기·위치추적 등 추가 피해발생”
잉카인터넷 시큐리티대응센터에 따르면 대부분의 피싱사이트는 개인정보 등 피싱범이 목적으로 하는 메뉴를 제외하면 나머지 메뉴들은 실제 클릭되지 않는 이미지로 꾸며놓는 경우가 많다. 사진은 김만기 잉카인터넷 시큐리티대응센터 프로가 교통민원24로 위장한 피싱사이트를 설명하고 있는 모습. (사진=송종호 기자) *재판매 및 DB 금지
[서울=뉴시스]송종호 기자 = # [경찰청교통민원24] 2022년 2월 25일 교통법규위반 범칙금 안내 공지. 최근 자차족(族) A씨에게 날아온 문자 내용이다. 해당일에 차를 운전했던 A씨는 의심할 겨를도 없이 문자 속 링크를 클릭했다. A씨의 클릭과 동시에 그의 휴대폰은 ‘경찰청교통민원24’ 사이트로 연결됐다. 하지만 이는 정상 사이트와 유사하게 제작된 가짜였다. 가짜사이트는 범칙금 납부를 위해 카드정보 등 금융정보 입력을 요구했다. 순간 미심쩍은 마음이 든 A씨는 포털을 통해 정상적인 교통민원24에 접속한 뒤에야 자신이 피싱 범죄의 대상이 됐다는 사실을 깨달았다.
피싱범죄가 간편결제 서비스, 택배 배송는 물론 공공기관까지 사칭하며 빠르게 피해사례가 늘고 있다. 특히 경찰, 보건소 등 공공기관을 사칭하는 경우 의심을 할 확률이 낮아 많은 피해가 우려되는 상황이다. 문자 메시지 속 링크를 통해 악성앱까지 설치하는 경우 이름, 주민등록번호 등 개인정보는 물론 은행 계좌 등 금융정보까지 탈취당할 위험이 높다.
교통민원24 사칭한 피싱 사이트…개인정보 입력창 제외하면 이미지로 눈속임
휴대전화로 전송된 ‘[Web발신] [교통민원24] 법규위반 과속운전 자동차 벌점보고서’ 문자 메시지에는 인터넷 주소(링크)가 함께 포함됐다. 이 링크에 접속하자 곧바로 ‘경찰청 교통민원24’로 위장한 피싱사이트로 연결됐다. 정상 사이트와 비교해도 한눈에 둘의 차이를 발견하기는 어려웠다.
가장 큰 차이는 가짜사이트의 경우 개인정보를 입력하는 메뉴를 제외하면 모든 메뉴가 실제 클릭되지 않는 이미지라는 것이다. 시연을 주도한 김만기 잉카인터넷 시큐리티대응센터 프로는 “피싱범도 빠르게 피해자를 속이고 금전적 이득을 취해야 하므로 (시간 단축을 위해)개인정보 입력메뉴 등만 실제 작동하게 만드는 것”이라며 “공지사항 등과 같은 메뉴는 눈속임용으로 이미지로 대체하는 것이 피싱앱의 수법”이라고 분석했다.
이 가짜 사이트는 이름, 휴대전화 번호, 생년월일 등 개인정보 입력을 요구했다. 피싱범이 의도한 대로 개인 정보를 입력하면 교통법규 위반 통지서라는 사이트로 바뀌면서 교통민원24라는 앱을 다운로드하는 버튼이 생성된다. 이는 피싱범들이 만들어낸 가짜 앱으로 피싱 사이트의 안내에 따라 해당 앱을 클릭하면 교통민원24로 위장한 악성앱이 설치된다. 피해자 스스로 피싱 사용될 앱을 설치토록 유도하는 것이다. 설치된 악성앱을 실행하면 전화, 문자 등을 언제나 보내고 받을 수 있도록 하는 등의 과도한 권한을 요구하는 창이 뜬다.
김만기 프로는 “통상적으로 모바일 앱이 전화, 문자 메시지 등에 대한 전송권한을 요구하는 경우는 적다”라며 “상시 전화, 문자메시지 등에 대한 권한을 앱이 가져갈 수 있도록 하는 것은 피싱앱으로 의심해야 한다”라고 지적했다.
사진은 교통민원24로 위장한 악성앱(오른쪽 가장 아래)이 설치된 모습. 실제 교통민원24앱과 차이점을 찾기 힘들 정도로 유사하게 디자인됐다. (사진=송종호 기자) *재판매 및 DB 금지
악성앱 설치 유도해 금융정보 등 추가 탈취…휴대전화 통제권 획득해 피해자 농락
김 프로는 “피해자가 입력한 모든 정보는 한 번에 피싱범에게 전송된다”라며 “악성 앱에 허용된 권한으로 피해자 휴대전화로 전송되는 문자 메시지를 피싱범이 확인하는 등의 접근도 가능하다”라고 설명했다. 이처럼 한번 악성 앱에 장악된 휴대전화는 좀처럼 피싱범의 손아귀를 벗어나기 힘들다.
만약 금융정보를 요구하는 악성앱이 미심쩍어 고객센터나 상담센터에 전화하는 경우 피싱을 피해 갈 수 있을까. 이 경우에도 일부는 피싱범에게 재차 속아 넘어가는 경우가 발생한다.
그는 “아직 일부이기는 하지만 악성 앱을 설치하는 순간 휴대전화의 착·발신 권한 탈취는 물론 발신자표시 조작까지 가능하다”라며 “가령 피해자가 경찰청 민원센터에 전화할 경우 피싱범이 이를 가로채 경찰인 척 속이고, 금융정보 등을 탈취하는 사례도 발생하고 있다”고 경고했다.
◎공감언론 뉴시스 [email protected]
