© News1 DB

<이미지를 클릭하시면 크게 보실 수 있습니다>

(서울=뉴스1) 정윤경 기자 = # 급하게 대출이 필요한 A씨는 좋은 조건에 저금리 대출로 바꿔 주겠다는 전화를 받고 대출을 위해서 필요하다는 은행앱까지 문자로 받아 설치했다. A씨는 보이스피싱을 우려해 은행 대표번호로 전화를 걸어 해당 상담원이 재직 중임을 확인 받았다. 이후 통화했던 상담원에 다시 전화를 걸었고, 해당 직원은 대출조건을 만족하기 위해서는 기존 대출 상환, 공탁금 등이 필요하다고 A씨를 설득했다. A씨는 담당 직원 말을 믿고 금액을 송금했으나 이후 보이스피싱임을 깨닫고 112에 신고 전화를 했지만 통화로는 연결되지 않은 채 발만 동동 굴러야 했다.(예시를 위해 재구성된 가상 사례)

보이스피싱 범죄가 정보통신기술을 통해 진화하고 있다. 보이스피싱이란 스마트폰을 이용한 전자금융범죄로, 과거 범죄자가 현란한 언변으로 이용자를 속이는 식이었다면 최근에는 악성앱을 활용, 더욱 치밀해졌다.

이중 스마트폰 정보를 빼돌리고 전화까지 가로채 공격자에게 재연결하는 악성코드가 발견돼 이용자의 주의가 요구된다.

스마트폰이 해당 악성 코드에 감염될 경우 112나 금융감독원에 전화를 해도 공격자가 전화를 가로채기 때문에 이용자는 속수무책으로 당할 수밖에 없다.

감사원이 지난 7월 발표한 '전기통신 금융사기 방지 대책 추진 실태' 감사보고서에 따르면 2017년 3만919명(피해금액 2431억원), 2018년 4만8743명(피해금액 4440억원), 2019년 5만372명(피해금액 6720억원)으로 피해규모가 점점 늘고 있다.

감사원은 보고서를 통해 "인터넷진흥원이 신·변종수법인 전화 가로채기 등의 악성앱을 탐지·분석하고도 관련 정보를 금융위 등과 공유하지 않아 경보 등에 활용하지 못하고 있다"고 지적했다. 인터넷진흥원이 제출한 자료에 따르면 전화 가로채기 기능이 포함된 금융사 사칭 스미싱 문자 메시지는 2018년 615건, 2019년(1~11월) 598건인 것으로 탐지됐다.

음성 통화를 통한 송금·이체 등 기존 방법과는 달리 전화를 가로채는 방식은 피해자를 안심시킨 후 금전을 편취하는 만큼 피해 규모도 크다.

보고서에 따르면 2018년 11월부터 2019년 9월까지 악성 앱 설치후 전화를 가로채 편취한 경우 1건당 평균 피해금액이 1억4500만원에 이른다. 2019년 전체 보이스피싱 피해금액이 6720억원, 피해자가 5만372명이라고 쳤을 때 1건당 평균 피해금액은 1334만원으로, 악성 앱 설치·전화 가로채기를 통한 피해금액은 10배 이상인 셈이다.

업계 관계자는 "과거의 보이스피싱이 현란한 언변으로 이용자를 속여 돈을 편취했다면 최근에는 악성앱 등 기술을 접목해 돈을 빼돌리는 사례가 늘고 있다"며 "아직 금융사 번호를 사칭한 사례 외에는 발견되지 않았으나 이론상 다른 기관의 번호를 가로채는 것은 가능한 일"이라고 말했다.

관계자는 "실제 공식 웹사이트와 흡사하게 만들어놓은 사이트나 금융사의 공식 대표 번호 등에는 상대적으로 의심을 덜하는 심리를 파고든 수법이 늘고 있다"고 설명했다.

© News1 DB

<이미지를 클릭하시면 크게 보실 수 있습니다>

공격자는 공격자는 먼저 실제 유명 금융사 웹사이트와 유사하게 제작해놓은 피싱 사이트로 이용자를 유도한다.

이용자가 해당 피싱 사이트에 접속하면 '이용하려면 본인인증 프로그램을 설치해야 한다다'며 악성파일(.apk)을 모바일에 내려받게 한다. 설치되는 과정에서 악성 코드는 발신전화 경로 전환, 통화기록 읽기, 쓰기 등 통화 기능과 주소록, 문자메시지 접근권한 등 과도한 권한을 요구한다. 또 최초 실행 시에는 '기본 전화 앱을 OOO(해당 악성 앱이 위장한 유명 은행앱 이름)으로 바꾸겠다'는 팝업을 띄운다.

이때 이용자가 모든 권한을 허용하면 이 악성코드는 스마트폰 정보와 문자메시지, 주소록 등을 유출한다.

이와 함께 사용자의 전화 상태를 모니터링하다가 공격자가 지정해 놓은 특정 금융사 전화번호로 발신이 감지되면 이를 가로채 공격자의 번호로 연결한다.

이용자가 올바른 번호로 금융상담 전화를 걸어도 해당 전화는 공격자에게 연결이 되는 것이다. 전화 연결 시에는 악성 앱 내부에 저장한 각 금융기관별 안내음을 재생해 이용자의 의심을 피했다.

이때 공격자는 앞서 빼돌린 스마트폰 정보와 문자메시지를 토대로 한 개인정보를 토대로 피해자의 계좌 내역을 알고 있는 것 처럼 말해 안심시킨 후 금전을 편취한다.

업계 관계자는 "최근 비대면 금융거래가 일상으로 자리잡으며 이를 노린 공격도 점점 교묘해지고 있다"며 "공식 번호로 온 문자나 전화라 해도 앱설치를 유도할 시 응하지 않는 것이 가장 중요하고 스마트폰용 백신을 설치하는 등 보안 수칙을 생활화해야 한다"고 말했다.
v_v@news1.kr

[© 뉴스1코리아(news1.kr), 무단 전재 및 재배포 금지]