온라인 스캠시리스 1편 - 스캠이란무엇인가?
이런 문자 메시지가 스캠이다!
국가마다 디지털 접근성과 문화가 다르기 때문에 스캐머(scammer)들이 활용하는 채널도 조금씩 다르다. 그럼에도 불구하고, 문자 메시지(SMS)는 대한민국을 포함한 아시아 8개국에서 공통적으로 Top 3에 뽑혔다. 글로벌 안티 스캠 얼라이언스(GASA)가 발간한 ‘2023년 글로벌 스캠 보고서(Global State of Scams Report 2023)’에 따르면, 문자 메시지(58%)는 전 세계에서 전화(61%) 다음으로 많이 사용되는 스캠 접근 채널이었다.
독자들 중에 [그림 1]과 같은 문자 메시지를 받은 적이 있다면, 이는 모두 문자 메시지를 이용한 스캠이다. 스미싱(Smishing) 또는 SMS 피싱이라고도 한다.
메시지 내용은 대부분 누군가를 사칭하여 즉각적인 확인을 요구하거나 호기심을 불러 일으키는 내용이다.
[그림 1] 스캠 문자 메시지
[그림 2]는 2023년 4분기 기준, 안랩 모바일 보안 제품을 통해 수집한 스캠 문자 메시지 현황이다.
[그림 2] 2023년 4분기 안랩 모바일 제품 수집 스캠 메시지 현황
가장 많이 확인된 스캠 문자 메시지는 단기 알바(61.2%)로 위장한 메시지였다. 누구나 손쉽게 큰 돈을 벌 수 있다는 내용으로 현혹하지만 실제로는 스캠이다.
두 번째는 카드사 사칭(17.6%)이었다. 카드 신규 발급, 결제 승인 등의 내용으로 카드사를 사칭하여 고객 센터로 전화를 유도하는데 이 역시 보이스 피싱으로 이어지는 금융 사기다.
이 밖에, 공공기관 사칭, 가족 및 지인 사칭 스캠도 다수 확인되었다. 해당 통계는 분기마다 유형 및 분포에 차이가 있는데, 이는 세금 납부, 명절 등 특정 시즌 이슈가 있거나 공격자들이 전략을 변경하기 때문이다.
다음 [표 1]는 2023년 하반기부터 현재까지 확인된 실제 스캠 메시지 사례들 중 일부이다. 많은 유형의 메시지들이 기관 및 서비스를 사칭했다.
상세 항목 | 공격에 활용된 사례 |
단기 알바 위장 | 안녕하세요~ 알바모집 매니저입니다. 남성.여성분 모두 가 간편하고 쉽게 시작 해볼수 있는 알바.부업.주업 입니다~ 근무시간 은 자율적 으로 근무가 가능합니다~ ( 본인이 원하는 장소 또는 집 에서도 근무 가능합니다! )#당일지급! #여성우대! #자택근무 (후략) |
투자 유도 | 90대어르신도가능 공공기관도인정 유명인다수 20분으로평생행복하게사세요 dokdo.in/E*** |
카드사 결제 사칭 | 승인번호[0598] 385,150원 처리완료 [삼성페이] 고객센터:052-227-**** |
공공기관 사칭 | [교통경찰24(이파인)] 도로법위반 벌점 보고서(발송) 내용확인 hxxp://slc.pg5s.mom |
가족 및 지인 사칭 | 엄마 나 폰고장나서 잠간컴퓨터로연락했어 hxxp://s.id/1IcWP 이거택배조회어플인데 설치하고 허용해서 확인좀해줘 엄마 |
택배 배송 사칭 | [대한통운]고객님의 구매상품 16-18시 배송될 예정입니다. 내용확인 hxxps://v09.an1s.best |
기타 | [국제발신] 내 사랑 저는 휴대폰을 잃어버렸습니다. 새 LINE ID 추가: an199** |
[표 1] 스캠 문자 메시지 사례
참고로, 현재도 접속 가능한 링크 및 개인정보는 일부를 (*)로 마스킹 처리하였다.
스미싱을 당하면 생기는 일
스미싱 공격을 감행하는 스캐머는 문자 메시지로 피해자에게 직접 연락하여, 의도한 행동을 피해자가 자발적으로 하도록 유도한다. 이들이 유도하는 행동은 금전 투자, 정보 입력, 스캐머 연락, 앱 설치 등이 있다. 이로 인해 발생할 수 있는 피해는 [표 2]와 같다.
유도 행동 | 결과 |
금전 투자 | 재정 손실 |
정보 입력 | 개인정보 탈취, 비인가 접근 피해, 대상 검증 후 악성 앱 설치 |
스캐머 연락 | 보이스 피싱 등 금전 피해, 악성 앱 설치 |
앱 설치 | 비인가 접근 피해, 정보 탈취, 통제 권한 탈취 |
[표 2] 스캠 문자 메시지 피해 유형
다음으로 위 유형 중 ‘금전 투자’와 ‘앱 설치’를 유도하는 공격에 관한 내용을 살펴본다.
1. 금전 투자
메시지
90대어르신도가능 공공기관도인정 유명인다수 20분으로평생행복하게사세요 dokdo.in/E*** |
위 메시지 링크를 클릭하면, 단기간에 고액을 벌 수 있다는 내용의 광고성 웹 페이지로 이동한다. 웹 페이지는 신뢰도를 높이기 위해 유명 연예인 사진을 무단으로 도용 및 합성하였으며, 가짜 수익 인증 내용을 다수 포함하고 있다. 이후, 공격자는 모바일 메신저 앱으로 1:1 대화를 시도한다. 그리고 사기성 거래소 웹사이트 가입과 투자금 입금을 유도한다. 거래소는 빅테크 기업 메타(Meta)의 로고를 무단 도용하였다.
공격자는 피해자가 신뢰감을 갖도록 하기 위해, 초기 소액 투자금에 대해서는 약속한 수익금을 제때 제공한다. 하지만 일정 수준의 신뢰가 쌓이면 본격적으로 큰 금액을 요구하고 이를 편취한다.
[그림 3] 금전 투자 유도 스캠 페이지 (1)
메시지
▶청약가능한 공모주가 있습니다 엔젤**틱스 선착순배정 사전신청 hxxps://angel*ipo.net* |
또한, 위 메시지처럼 상장 예정인 기업을 사칭하고 존재하지 않는 ‘특별’ 공모주 매수를 유도하기도 한다. 스미싱 링크의 웹 사이트는 실제 기업의 것과 완벽히 똑같이 만들었으며, 공모주 신청을 위한 개인 정보 입력란이 있다는 것이 유일한 차이점이다.
[그림 4] 금전 투자 유도 스캠 페이지 (2)
2. 앱 설치
메시지
[교통경찰24(이파인)] 도로법위반 벌점 보고서(발송) 내용확인 hxxp://slc.pg5s.mom |
해당 메시지는 공공기관을 사칭해 피해자가 관심 가질만한 내용을 보내 문자 내 링크를 클릭하도록 유도한다. 피해자는 믿을만한 화면을 보고 별 의심 없이 ‘앱 다운로드’ 혹은 ‘내용 확인하기’ 등의 버튼을 클릭하여 악성 앱을 설치한다. 다운로드 되는 앱 아이콘 역시 공공기관 아이콘을 위장한다.
일부 앱은 공식 앱 스토어 (Google Play 또는 애플 App Store) 화면을 모방하여 설치를 유도한다. 피해자는 공인 앱 스토어를 통해 앱을 설치하는 것으로 착각하기 때문에, 악성 앱을 설치했다는 것을 인지하지 어렵다. 특히, 레이아웃, 리뷰 등 앱 스토어 화면 구성을 그대로 재현하여 피해자들이 속기 쉽다. 아래는 조작된 앱 스토어 화면이다. 아이폰이 스캠 앱 위협으로부터 안전하다는 말은 사실이 아니다.
[그림 5] 공공기관 사칭 스미싱 페이지
악성 앱은 피해자의 휴대전화에서 다양한 정보를 수집하여 공격자에게 전송한다. 휴대전화는 다양한 개인정보가 저장되어 있을 뿐만 아니라 문자 메시지를 통한 본인 인증 수단으로도 쓰이고 있다. 공격자는 악성 앱을 설치한 피해자 휴대전화 정보에 무단으로 접근해 이를 탈취할 수 있다.
예를 들어, 공격자는 인증 번호가 수신된 문자 메시지를 가로채거나 보냄으로써 대신 기기에 대한 인증을 받을 수 있다. 뿐만 아니라 앱 기능에 따라 화면 녹화, 녹음, 카메라 촬영, 문자 메시지 전송 등 휴대전화 통제권을 완전히 가져갈 수도 있다. 실제로 스미싱으로 악성 앱을 설치한 뒤 정보를 탈취하여, 피해자에게 의도치 않은 고액 결제 피해를 입힌 스캠 사례도 존재한다.
대한민국 보이스 피싱 현황
다음으로, 보이스 피싱에 대해 알아보자.
대한민국에서 발견되는 보이스 피싱은 독특하다. 일부 개인 행각이 아니며, 광역적이고 조직적인 범죄다.
보이스 피싱 공격자들은 대포통장, 대포폰, 콜센터, 자금 세탁 등 여러 복잡한 준비 과정을 거쳐 정교한 스캠 시나리오를 만든다.
보이스 피싱 과정에서 이용하는 악성 앱 또한 기술 수준이 높은 편이다. 대한민국 경찰과 금융감독원, 그리고 금융사들이 연합해 대항하고 있지만, 보이스 피싱 조직 또한 이에 대응해 계속해서 다른 방식으로 변화하고 있다. 이는 다른 나라에서는 좀처럼 보이지 않는 방식의 스캠이다.
보이스 피싱 공격자들은 스미싱 문자 메시지로 피해자가 먼저 전화하도록 유도하거나 피해자에게 직접 전화를 걸어 접근한다. 이들은 금융 감독 기관이나 검찰, 경찰, 금융사 등 피해자가 신뢰하는 기관을 사칭한다. 많은 보이스 피싱이 악성 앱을 이용하는데, 공격자들은 각종 상황을 꾸며서 피해자가 전화를 끊지 않고 앱을 설치하게 한다. 안랩에서는 이러한 보이스 피싱 앱을 카이시(Kaishi)라 부른다. 카이시의 핵심 기능은
▲통화 조작
▲통화 연결 음성 조작
▲사용자 통화 화면 조작
▲통화 기록 조작 등이 있다.
피해자는 자신이 실제 금융사나 기관과 통화를 했다고 착각하게 된다. 휴대전화 화면에도 그렇게 표시되고 통화 연결 음성도 해당 금융사에서 제공하는 것이 맞기 때문이다. 그러나 이 모든 것은 카이시에 의해 조작된 것이다. 실제로는 보이스 피싱 조직 콜센터와 통화한 것이다.
2024년 확인된 보이스 피싱 앱 중에는 보이스 피싱 차단 앱 ‘피싱 아이즈’과 ‘시티즌 코난’을 사칭한 사례도 있었다. 보이스 피싱 앱이 보이스 피싱 차단 앱을 사칭한 것이다. 공격자는 피해자가 무엇을 신뢰하는지 잘 알고 있으며, 이를 역이용해 인증 번호를 입력해야만 앱을 다운 및 설치할 수 있도록 속임수를 사용했다.
또한, 한 가지 놀라운 사실은 대출이나 투자 정보를 빌미로 금융 사기에 활용되는 일부 앱들은 공식 앱 스토어에 등록되어 있다. 일반적으로, 공식 앱 스토어에 등록되어 있는 앱은 정상적이고 합법적이라 생각한다. 이들이 공식 앱 스토어에 업로드 되어 있는 이유는 악의적인 행위에 활용되지만 기능상 명확한 악성 행위가 없고, 요구하는 정보나 기능면에서 정상 앱과 뚜렷한 차이가 없기 때문이다. 이를 악용해 공격자는 앱 스토어 등록 정책을 교묘하게 비껴간다.
이러한 앱들은 사용자가 직접 앱 스토어에서 검색해 설치되는 경우도 있지만, 대부분 공격자들의 거짓 정보에 속아 설치한다. 공격자들은 해당 앱 설치를 유도하기 위해 온라인 커뮤니티나 소셜 미디어, 모바일 메신저 등을 이용한다.
다음은 공식 앱 스토어에 실제 업로드 되었던 악성 앱 사례들이다.
1. 대출 위장 사기 앱
이 앱들은 고금리 대출이나 대출 중개 등을 명목으로 피해자의 정보를 수집한다. 수집하는 정보는 휴대전화 디바이스 정보, 신분증 사진, 계좌 번호 등이다. 정상 대출 앱에서도 유사한 절차로 사용자에게 정보 입력을 요구하고 수집하기 때문에 진위를 판단하기 어렵다. 공격자는 수집한 정보를 기반으로 피해자를 협박하여 자금을 탈취하기도 한다. [그림 6]은 Google Play 앱 스토어에서 ‘대출’ 또는 ‘Loan’으로 검색했을 때 확인된 대출 관련 사기 앱이다. 현재는 모두 삭제되었다.
[그림 6] 앱 스토어에 업로드 되었던 대출 위장 사기 앱
2. 투자 유도 사기 앱
공격자는 스미싱이나 소셜 미디어 광고로 투자자를 모집한 뒤 리딩방으로 안내하거나 1:1 대화를 통해 특정 앱 설치와 가입을 유도하기도 한다.
[그림 7] 앱 스토어에 업로드 된 투자 유도 사기 앱
이 앱은 거래소 또는 투자 정보 앱으로, 주식, 가상화폐 등에 대한 시세나 추천 종목 정보를 제공하며 Google Play나 Apple App Store에 정상적으로 등록되어 있다. 피해자는 앱에서 제공하는 정보를 그대로 믿고 돈을 투자하지만 앱에는 조작된 정보가 포함되어 있다. 공격자는 처음 소액 투자인 경우에는 수익을 실현할 수 있게 하여 신뢰를 형성한다. 하지만 이후에는 추가 입금 혹은 과다한 수수료를 요구하거나 연락을 끊고 잠적해 막대한 금전적 피해를 입힌다.
2024년 1월 대한민국 국가사이버안보센터(NCSC)는 ‘국내 금융社 위장 사기앱 유포 주의 보안권고문’을 통해 투자 유도형 사기 앱에 대해 경고한 바 있다. 공개한 사기 앱 여섯 개는 국내 금융사의 로고나 명칭을 무단 도용하였다.
사기 앱 개발자(등록자)는 대한민국 외 다른 아시아 국가에서도 유사한 수법으로 범죄를 시도했다. Google Play에서 확인된 피해 국가는 대만, 일본, 인도, 말레이시아 등이 있다. 현재 대다수는 앱 스토어에서 삭제되었으나 일부는 여전히 등록되어 있다.
피해자를 고통에 빠뜨리는 몸캠 피싱
성 착취 스캠(Sextortion) 혹은 ‘몸캠 피싱’은 사생활 폭로를 빌미로 피해자에게 엄청난 심리적 압박을 하고, 이들을 협박하여 돈을 갈취하는 범죄다.
피해자는 당장 금전적인 손해를 입는 것 외에 심리적으로도 큰 충격과 공포를 느낀다. 일부 피해자는 정상적인 생활이 불가능할 정도의 고통을 겪기도 한다.
몸캠 피싱 공격자는 자신이 피해자 PC에 악성코드를 설치해 정보를 탈취했으며, 지금도 여전히 화면을 녹화하고 있다는 등의 거짓말로 피해자를 속인다. 보통 이메일(sextortion email)을 이용하여 임의의 피해자에게 접근하고, 더 큰 피해를 보지 않으려면 자신에게 가상화폐를 전송하라고 협박한다. 이러한 메일을 받은 피해자는 패닉에 빠져 송금하게 된다. 그 어떠한 기술적인 수법 없이 단지 심리적 부담을 이용하여 돈을 갈취하는 수법이다.
[그림 8] 몸캠 피싱 협박 이메일
몸캠 피싱은 구체적이고 신원 특정이 가능한 피해자의 정보를 이용한다. 피해자와의 성적인 대화나 사진 또는 영상을 인질로 삼아, 피해자의 가족이나 지인에게 유포하겠다고 협박한다. 청소년부터 기혼 성인까지 주로 남성을 타깃으로 하지만, 간혹 여성 피해자도 있다. 이들이 요구하는 돈은 최소 수십만 원에서 수백만 원이다. 몸캠 피싱은 개인의 수치심을 노린 범죄로써, 파일을 암호화하는 랜섬웨어와 수단과 방법만 다를 뿐 디지털 인질이라는 관점에서 전반적인 전략은 비슷하다.
1. 접근 방법
피해자는 모바일 메신저이나 데이팅 앱에서 신원 미상의 공격자(보통 여성처럼 행동)와 1:1 대화를 한다. 대부분 호기심이나 이성과 만남을 목적으로 대화를 시작하지만, 곧 성적인 대화로 이어진다. 대화 중 피해자는 대화 채널 이동, 파일 설치, 사진 전송 등 상대방의 요구를 들어준다. 공격자는 인질로 삼을 만한 정보를 획득한 뒤 돌변해 송금을 요구한다. 실제로 정보를 얻지 못한 경우라도 유출했다고 거짓말하여 피해자의 공포 심리를 자극한다.
다음은 최근 대한민국에서 몸캠 피싱 공격자가 피해자에게 최초 접근 시 이용한 것으로 확인된 채널이다. 공격자는 특정 앱을 이용하는 것이 아닌, 대화가 가능한 모든 방식을 이용하여 피해자에게 접근할 수 있다.
- 모바일 메신저 앱 (Facebook Messenger, LINE, KakaoTalk, Telegram 등)
- 모바일 데이팅 앱 (Tinder, MEEFF, WIPPY, GLAM, 중년톡 등)
2. 파일 설치
공격자는 안드로이드 APK 파일이나 아이폰 IPA 파일 설치 유도를 위해 피해자에게 파일을 직접 전달하거나 웹 사이트 링크를 공유해 직접 다운로드하도록 한다. 이들은 통화 품질 향상, 외국어 번역, 취미 생활 공유, 포르노 사진 공유 등 피해자가 속기 쉬운 이유들을 든다. 피해자들은 이러한 파일들이 악성 파일이라는 사실은 알고 있지만 순간의 상황에 현혹되어 속곤 한다.
악성 파일은 피해자의 휴대전화 연락처를 수집할 수 있다. 악성 파일에는 문자 메시지, 통화 이력, 사진, 카메라 촬영, 음성 녹음, 다른 메신저 앱 이벤트에 접근하는 등의 기능도 있다. [그림 9]는 몸캠 피싱에 이용된 악성 파일들의 유포 사이트 및 실행 화면이다.
[그림 9] 몸캠 피싱 악성 파일 유포 사이트 및 실행 화면
3. 파일’리스’ 공격
스캐머는 악성 파일을 사용하지 않고도 피해자를 협박할 수 있다. 인스타그램과 같은 소셜 미디어 앱의 메시지 기능을 이용해 피해자와 소통하는 동시에 피해자의 팔로워 목록을 캡처한다. 그리고, 일반적인 모바일 메신저 앱을 이용해 피해자와 성적인 대화나 영상 통화를 한 뒤, 대화 내용을 팔로워들에게 유출하겠다고 협박한다. 이러한 방식은 젊은 소셜 미디어 이용자를 대상으로 증가하고 있는 수법이다.
단계 | 대화 채널 |
최초 접근 | 모바일 데이팅 앱 |
피해자 지인 목록 확보 | 소셜 미디어 앱 (주로 인스타그램) |
성적인 대화 후 협 | 모바일 메신저 앱 |
[표 3] 파일 없이 피해자를 협박하는 단계
4. 피해자가 겪는 고통
몸캠 피싱은 피해자의 지극히 개인적인 사생활 정보를 빌미로 송금을 요구하는 방식이다. 어떤 공격자는 송금을 거부하는 피해자를 대상으로 피해자의 가족과 지인을 모두 초대한 그룹 채팅방을 개설하고 지금부터 유포를 시작하겠다며 심리적 압박을 극대화하기도 한다.
피해자는 가족과 지인에게 자신의 수치스러운 모습이 알려질까 봐 매우 괴로워하며, 공격자에게 순순히 돈을 지불해 금전적 피해를 입게 된다. 또한, 돈을 지불한 이후에도 정보가 유출되지 않을까 우려하며 지속적인 스트레스에 시달리게 된다. 이처럼 몸캠 피싱은 사람의 수치심 이용한다는 점과 돈을 지불하더라도 문제가 해결되지 않는다는 점에서 다른 스캠과 차이가 있다.
-- 3편에서 계속 --
