[한겨레S] 커버스토리 _ 눈 뜨고 코 베이는 ‘피싱’ 시연해보니

보안업체 이스트시큐리티의 문종현 시큐리티대응센터장이 보이스피싱 피해자 휴대전화에서 추출한 악성앱으로 피해 상황을 시연하고 있다. 배경은 보이스피싱을 소재로 한 영화 <보이스>의 스틸컷. 이정용 선임기자 lee312@hani.co.kr 그래픽 노수민 기자 bluedahlia@hani.co.kr

<이미지를 클릭하시면 크게 보실 수 있습니다>

한겨레S 뉴스레터 구독신청. 검색창에 ‘에스레터’를 쳐보세요.



02-3296-××××.

김정실씨는 문자 제목을 보고 일단 전화부터 걸었다. ‘새정부 지원 자금안 희망 플라스 대출 안내문. 지원 대상 소상공인 350만명.’ 김씨는 ‘받을 수 있겠다’ 싶었다. 정부가 소상공인 피해를 지원한다는 뉴스도 얼핏 떠올랐다. 실제 정부는 ‘자영업자·소상공인 상황별 맞춤형 금융지원 프로그램’을 실시 중이었다.

_______

‘대출이 가능하다’는 말만 들렸다

“안녕하십니까. 대출은 1번….”

김씨가 건 전화가 뚝, 끊겼다. 잠시 뒤 다시 김씨 전화가 울렸다. 상대는 자신을 “신용보증재단 상담원”이라고 소개했다. 김씨는 코로나19를 견디며 지난해 소상공인 대출, 지난 2월 정부지원금 300만원을 받았다. 전화 속 상담원은 “적절한 금융기관을 소개하겠다”며 기존 대출금과 원하는 추가 대출액 등을 기입할 신청서 파일을 문자로 보냈다. 급전이 필요했던 김씨는 어림잡아 3천만원이라고 써넣고 전송 버튼을 눌렀다. 상담원과 절차를 밟는 데 스스럼이 없었다. 상담원과 전화를 마치자마자 또 다른 전화가 걸려왔다. 상대가 입력한 발신인 정보에 ‘ㅅ은행’이라고 떴다.

수화기 너머에선 “기존 대출 때문에 쉽지 않겠지만”이라며 뜸을 들이더니, 이내 “다른 방법으로 노력해보겠다”고 안내했다. 상담원은 “원활한 상담을 위해 ‘ㅅ은행’ 앱을 최신 버전으로 깔아야 한다. 고객 편의를 위해 직접 돕겠다”고 했다. “승인 버튼만 누르면 금방 진행된다”고도 덧붙였다. 상담 도중 실시간으로 카카오톡(카톡) 창으로 앱 스토어를 거치지 않고 앱을 깔 수 있는 에이피케이(APK·안드로이드 응용프로그램) 파일이 전송됐다. 카톡 창 상단에 ‘금전 요구 등으로 인한 피해를 입지 않도록 주의해주세요’라는 문구가 올라왔다. 내려받으려니 “보낸 파일이 안전하지 않을 수 있습니다”라는 창이 떴다. ‘출처를 알 수 없는 앱 설치’라는 경고도 올라왔다. 하지만 상담원의 안내가 곁들여져서인지 경계심이 들지 않았다. 대신 “빨리 진행하면 오늘 대출받을 수 있다”는 말이 귀에 꽂혔다. 혹여 기회가 날아갈까 싶어, 김씨는 상담원의 지시를 숨 가쁘게 따랐다. 김씨 스스로 보이스피싱 조직에 3천만원을 송금한 기막힌 상황은 이렇게 시작됐다.

_______

피싱+해킹, ‘소셜 엔지니어링’ 수법까지

지난 8월 말, 김씨는 <한겨레>와 만나 당시 피싱에 이용됐던 자신의 휴대전화를 건넸다. 그는 “다른 사람들이 나처럼 당하지 않았으면 좋겠다”고 했다. 7월28일 피싱 조직이 보낸 안내문자부터 함께 살폈다. ‘플라스’라는 단어 등 공공기관이 보낸 문자라고 하기엔 부족한 점이 많아 보였다. 김씨는 “대출 생각에 그땐 보이지 않았다”고 했다. 김씨가 제공한 휴대전화를 복수의 보안전문가와 분석해보기로 했다.

“이건 10년도 더 된 수법인데, 기억 안 나요?” 9월 초 <한겨레>와 만난 화이트해커(정보보안전문가) ㄱ씨는 ‘스마트폰, 인터넷뱅킹도 해킹된다’(<한겨레21> 2011년 10월 제883호)는 기사를 내밀었다. 악성코드만 심으면 피싱 조직이 폰을 장악해 개인정보를 탈취한다는 내용이었다.

“피싱 수법이 변하면서 결국 피싱 조직이 해킹 기술을 끌어온 거예요. 이 과정에서 ‘소셜 엔지니어링’이 기존 피싱 수법에 더해진 듯해요.” ‘소셜 엔지니어링’은 기술적 해킹에 더해 금융 소비자의 심리적 약한 고리를 공격하는 피싱 수법을 일컫는다. ㄱ씨는 “이메일, 에스엔에스(SNS) 등으로 접근해 신뢰감을 준 다음, 이용자가 안전하다고 여기며 일상적으로 이용하는 앱을 이용해 악성코드를 전달한다”며 “이용자가 직접 악성코드(앱)를 승인하기 때문에 막기가 더 쉽지 않다”고 설명했다. 김씨가 본 피해도 같은 범주에 들어간다. 정부 대출지원을 가장한 문자를 보냈고, 카톡을 통해 ‘가짜 은행 앱’(악성 앱)을 보냈다. 피싱 조직은 탈취한 김씨 정보를 분석한 뒤, 일단 경제적으로 곤란한 사정을 파악한 것으로 보인다. “피싱 조직 상담원이 안전계좌로 기존 채무를 탕감하고, 신용도를 다시 심사해 원하는 대출금을 안전계좌로 받을 수 있다고 하더라고요.”

_______

가짜 검찰·금감원까지 동원해 조직화

피해 당일 김씨가 ‘가짜 은행 앱’을 내려받자 피싱 조직은 김씨의 금융 상황 파악을 끝낸 뒤 2단계 작업에 돌입했다. 은행 상담원과 대출 상담 뒤 김씨의 전화가 다시 울렸다. 휴대전화 발신자 표시에 ‘서울중앙지검’이라고 떴다.

“서울중앙지검 ○○○ 검사실입니다. 금융실명법 위반하셨네요. ㅅ은행 △△△씨랑 통화하셨죠?” 자신을 ‘서울중앙지검 소속 검찰 수사관’이라고 밝힌 쪽은 조금 전 통화에서 ‘가짜 은행 앱’을 깔게 유도했던 ‘△△△’라는 이름을 언급했다. 김씨는 당황할 수밖에 없었다. “△△△씨가 현행범으로 체포됐습니다.” 김씨가 머뭇거리자 ‘검찰 수사관’은 사무적이고 공격적인 말투로 “일단 금융감독원에 사건을 넘길 테니 거기에 말씀하시라”며 전화를 끊었다. 뒤이어 또다른 전화가 걸려왔다. 이번엔 휴대전화에 ‘금융감독원’이라고 떴다. “대출 신청 행위는 기존 약관 위반이니 위약금을 두배로 내야 합니다. 또 금융실명법 위반 공범이니 검찰에서 처리할 겁니다.” 김씨는 정신을 차리기 어려웠다.

상대는 금융감독원 소속 부서와 이름까지 밝힌 뒤 “약식기소로 벌금만 내는 방법도 있다”고 설명했다. 전화를 끊은 김씨는 우선 조금 전 번호가 찍혔던 서울중앙지검에 전화를 걸었다. 그러나 “○○○ 검사실”이라며 전화를 받은 건, 이미 김씨 전화를 완전히 장악해 원격조작이 가능해진 피싱 조직이었다. 실시간으로 사건 번호가 찍힌 서류가 날아왔다. ‘가짜 서류가 아닐까’ 의심할 새도 없이 금감원이라는 곳에서 또 전화가 걸려왔다. “안전계좌로 벌금을 납부하고 간단히 끝내겠느냐”고 물었다. 김씨는 다른 방법을 찾지 못했다. 정신을 차려보니, 믿기 어렵게도 김씨의 통장에선 3천만원이 빠져나가 있었고, 송금자는 김씨 본인이었다.

피싱 수사에 정통한 한 수사기관 관계자는 “피싱 조직은 피해자로부터 취득한 대출, 예금 등 자산이나 직업, 거주지, 휴대전화 속 문자나 사진 정보 등을 조합해 곧바로 분석하고, 범죄를 실행한다. 김씨의 경우 기관사칭 사기가 성공할 가능성이 더 높다는 판단 아래 태세를 바꾼 것으로 보인다”며 “원래 신용도가 낮고 경제적으로 어려운 상대에겐 대환대출 사기 수법을 쓰고, 신용도가 높고 경계심이 있는 경우에는 기관 사칭으로 전환하는 경우가 많다”고 설명했다. 금융감독원이 2020년 내놓은 ‘금융소비자 예방업무’ 자료를 보면, 대출 빙자형 사기는 저신용자(7~10등급) 피해가 절반을 넘고(58.8%), 기관 사칭형은 고신용자(65.1%) 비율이 가장 높다.

김승주 고려대 교수(정보보호대학원)는 “언론에서 피싱 피해 사례가 나오면 ‘왜 속지?’라는 의문이 들지만 피싱 조직이 피해자의 개인정보를 탈취한 뒤, 전직 수사기관 관계자나 시나리오 작가까지 동원해 피해자 맞춤형으로 대응하니 속을 수밖에 없다”고 설명했다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

<이미지를 클릭하시면 크게 보실 수 있습니다>

_______

“그 폰은 당신 폰이 아니다”

피싱 피해를 막을 근본적인 대책은 없었을까? 9월14일, 김씨 휴대전화를 들고 보안업체 이스트시큐리티의 문종현 시큐리티대응센터장을 만났다. 문 센터장이 <한겨레>에서 제공한 김씨 휴대전화에서 추출한 악성 앱을 시연용 휴대전화(안드로이드 체제)로 옮겨 시연을 시작했다. 곧바로 ㅅ은행을 가장한 ‘악성 앱’이 떴다. 진짜 은행 앱과 구분은 어려웠다. 이어 ‘모바일 보안 앱 업데이트를 하겠냐’는 안내 창이 떴다. 업데이트 여부를 물으면서, 피싱에 필요한 또 다른 악성 앱을 피해자 스스로 설치하도록 유도하는 것이다. 문 센터장은 “처음 설치되는 악성 앱은 ‘또 다른 악성 앱’을 설치하게 만드는 미끼라고 볼 수 있다”고 설명했다. 일반 앱처럼 ‘취소’ 버튼이 있지만 작동되지 않았다. 문 센터장은 “이 단계에서 설령 의심이 들어 중단하려 해도 취소 기능이 없고, 상담원 안내를 받는 과정이라 업데이트를 거부하기 어렵다”며 “악성 앱을 이중으로 설치하는 건 첫번째 설치된 악성 앱의 기능을 줄여 보안 탐지를 회피하기 위한 목적도 있다”고 설명했다. 실제 김씨가 인지조차 하지 못한 악성 앱은 2개 더 있었다.

시연에 따르면, 김씨는 1단계 악성 앱(가짜 은행 앱) 설치로 휴대전화 안 사진, 미디어 파일 등 접근을 허용했다. 이후 2차 악성 앱 설치를 통해 위치, 전화(걸기 및 관리), 카메라, 연락처, 통화기록, 에스엠에스(메시지 전송 및 보기), 마이크(오디오 녹음) 사용 권한 등이 피싱 조직에게 넘어갔다. 문 센터장은 “김씨 위치의 실시간 파악이나 전화 강제 수·발신뿐 아니라, 마이크와 카메라를 도청장치처럼 활용할 수도 있다. 더는 김씨의 폰이 아니게 된 것”이라고 설명했다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

정부나 관련 업체 차원에서 대책이 없었던 것은 아니다. 앞서 지난 26일 윤석열 대통령도 “보이스피싱과 스토킹 등 서민범죄에 대해 전쟁을 선포한다는 각오로 임해달라”고 주문한 바 있다. 하지만 김씨 사례처럼, 한해 3만건 넘는 보이스피싱 범죄 피해가 계속되는 점을 보면 정부 대책은 제대로 효과를 보지는 못하는 것으로 보인다. 경찰청과 삼성전자는 지난해 11월 협약을 맺어 보이스피싱 악성 앱 차단 보안 솔루션 개발과 함께, 피싱 범죄에 자주 쓰이는 주요 기관(검찰·경찰·금감원 등) 연락처가 쓰이지 못하도록 ‘피싱용 전화가로채기 차단 기능’을 개발한다고 발표했다. 이어 삼성전자는 지난해 경찰로부터 주요 기관 전화번호 500개(화이트리스트)를 넘겨받아 관련 프로그램을 개발했지만, 제대로 기능을 발휘하지 못하고 있다. 실제 보안업체, 수사기관 등의 취재를 종합하면 피싱범죄에는 여전히 화이트리스트에 해당되는 번호가 사용되고 있다. 다만 김태훈 경찰청 국가수사본부 경제범죄수사과 경감은 “악성 앱 자체가 고도화됐기 때문”이라며 “삼성전자와 (상황을) 공유해 업그레이드를 해가고 있다”고 설명했다.

_______

아이폰을 써야 안전하다?

보안전문가들은 “피싱 조직 해킹을 통한 피해를 막기가 쉽지 않다”고 입을 모은다. 더불어민주당 임호선 의원실이 제공한 자료를 보면, 2017년 2470억원이던 보이스피싱 범죄 피해액은 지난해 7744억원으로 3배 넘게 급증했다. 문 센터장은 “해킹과 보안을 창과 방패라고도 하지만, 창을 든 해커 입장에서는 설계도가 공개돼 있으니 취약점을 찾아내는 게 상대적으로 쉽다”고 설명했다. 문 센터장이 언급한 ‘설계도 공개’란 구글의 안드로이드 운영체계가 갖고 있는 오픈소스(소스가 공개돼 자유롭게 수정하고 재배포하는 프로그램) 정책을 일컫는다. 문 센터장은 “구글 체제를 쓸 수밖에 없는 현실에서 피싱을 당하지 않으려면 우선 개인이 대비하는 수밖에 없다. 특히 카카오톡 같은 에스엔에스로 금융 관련 대화를 유도할 때는 일단 의심부터 해야 한다”며 “은행을 포함한 공공기관 어디도 공식적인 앱 마켓(구글 플레이 등)이 아닌 에스엔에스를 통해 앱 설치를 요구하지 않는다”고 강조했다. 김승주 교수는 “(악성 앱과 같은) 해킹을 원천 차단할 수 있다는 건 거짓말에 가깝다”며 “현재로서는 의심되는 링크나 앱은 설치하지 말고, 휴대전화 보안을 최신 버전으로 업데이트해 대비하는 수밖에 없다”고 했다. 일부에서 카카오톡 등 에스엔에스 플랫폼이 악성 앱을 걸러내야 한다는 주장도 나온다. 하지만 이 역시 개인 정보 수집 논란 등과 맞물려 업체에서는 어려움을 토로하는 지점이다. 김요한 카카오 파트장은 “개인 대화를 들여다볼 수는 없다. ‘엔(n)번방’ 사건을 계기로 오픈 채팅방을 모니터링하기도 하지만 그건 단체대화에 국한된다”고 설명했다.

안드로이드폰이 보이스피싱에 쉽게 노출된다는 점 때문에 보안을 위해서라면 상대적으로 폐쇄적인 운영체제를 가진 아이폰 사용을 권유하는 목소리도 있다. 보안전문가 ㄱ씨는 “애플은 안드로이드처럼 운영체제와 관련된 기술을 공개하지 않으니 상대적으로 해킹에서 안전하다”며 “보안전문가들은 거의 대부분 아이폰을 쓴다고 보면 된다”고 했다. 이와 관련해 한 수사기관 관계자는 “피싱 조직이 상대가 아이폰이라는 걸 파악하면 과거에는 피싱 작업을 중도 포기했다. 하지만 최근에는 피싱 공격 상대를 (정신적으로) 곤궁한 상태에 몰아넣은 다음, 쓰고 있던 아이폰을 안드로이드폰으로 바꾸도록 만든 뒤 피싱 피해를 입힌 사례도 나온다”고 설명했다.

경제적 약자를 범죄 대상으로 삼는 피싱 조직을 개인이 감당하도록 둘 수 없다는 주장은 여전히 힘이 세다. 지난 29일 국무조정실은 ‘보이스피싱 대응 범정부 티에프’를 열어 성과를 점검하고 대책을 내놓았다. 대책 중 주목할 만한 대목은 △대포폰 대량 개통 방지 △대면 편취 뒤 범죄이용계좌 지급 정지 등이다. 특히 대포폰 대책은 지금까지 휴대전화 개통 시 1개 통신사당 3회선씩 150개 회선이 개통 가능했다면, 앞으로는 3회선만 가능하도록 해 대포폰이 범죄에 사용될 가능성을 줄인다는 계획이다. 이날 발표에서는 지난해 같은 기간보다 보이스피싱 피해 금액이 30% 감소한 수치(4088억원, 8월 기준)가 공개돼 주목을 끌기도 했다.

지난달 29일 국무조정실은 ‘보이스피싱 대응 범정부 티에프(TF)’ 회의를 열어 관련 범죄 수사 성과를 발표했다. 이날 우종수 경찰청 차장은 수사 성과와 향후 대응방안을 내놨다. 연합뉴스

하지만 보안전문가들은 이번 정부 대책에 대해 회의적인 시각이 많다. “피싱 범죄 수법 변화와 견주면 한발 늦은 느낌”이라는 것이다. 피싱 수사에 정통한 보안전문가 ㄴ씨는 “최근 관련 범죄 단속이 대량 문자 등에 집중되면서 피싱 조직은 범행 근거지를 휴대전화에서 웹으로 옮기고 있다”며 “최근 포털 등 광고만 아니라 유튜브, 페이스북, 인스타그램 등 에스엔에스에서 피싱 피해가 급증하고 있는데, 이에 대한 대책도 잘 눈에 띄지 않는다”고 지적했다.

하어영 기자 haha@hani.co.kr

▶▶남다른 시각, <한겨레> 네이버 뉴스 구독
▶▶아침을 바꾸는 습관 H:730▶▶한겨레의 ‘벗’이 되어주세요!

[ⓒ한겨레신문 : 무단전재 및 재배포 금지]