정상적인 주민번호 입력 시 해당 정보를 이미지로 띄워 실제 구속영장으로 속여
모든 앱은 공식 앱스토어에서 내려받고, 악성 앱 설치 시 백신 앱 검사 후 삭제 필요

[보안뉴스 김영명 기자] 최근 음성 전화로 개인정보나 재정정보를 악용해 재산상의 손해를 입히는 보이스피싱 범죄가 더욱 교묘해지고 있어 주의가 요구된다. 보이스피싱 범죄는 기존 금융기관 사칭에서 시작해 대부업체 사칭, 가족과 지인 사칭까지 수법이 점점 진화하고 있다. 오래 전부터 꾸준했던 검찰 사칭 보이스피싱은 불법 자금과 계좌가 연관돼 있다는 이야기로 피해자를 속여왔다.


▲실제 페이지와 매우 유사하게 제작된 피싱 사이트[자료=이스트시큐리티 ESRC]

이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 피싱 사이트를 직접 만들고 운영하며 속이는 보이스피싱을 포착했다고 밝혔다. 피싱 사이트는 PC 버전 이외에 모바일 버전도 지원하고 있다. 공격자는 전화로 사건 조회를 유도하는데, 먼저 로그인이 필요하다며 ‘공인인증서’와 ‘아이디’ 방법은 비밀번호를 입력할 수 없게끔 만들고 비회원 인증 방법만 가능하도록 했다. 아무거나 입력하면 다음 단계로 넘어가지 않는데, 실제 주민등록번호 알고리즘을 활용해 체크하는 것으로 추정된다.


▲피싱 사이트의 모바일 화면[자료=이스트시큐리티 ESRC]

정상적인 주민등록번호를 입력했을 때 해당 정보를 그대로 이미지에 포함시켜 실제 구속영장인 것처럼 속이고 있다. 위조 구속영장, 위조 재직 증명서 등 검찰 관련 서류에 익숙하지 않은 피해자는 이를 진짜 서류라고 믿을 수 있으며, 성매매특별법 및 자금 세탁, 불법 명의도용 사건으로 표시해 불안감을 가중시킨다. 마지막으로 지급 정지된 계좌와 불법자금 거래내역을 보여주며 입증을 위한 확인 절차를 진행하도록 한다. 이때 돈을 직접 요구하거나 추가 앱 설치를 유도할 수 있다는 게 ESRC 측의 설명이다.


▲보이스피싱을 통해 설치를 요구하는 애플리케이션 목록[자료=이스트시큐리티 ESRC]

보이스피싱을 통해 설치를 요구하는 애플리케이션 목록을 살펴보면 같은 아이콘에 다양한 이름인 것을 확인할 수 있었다. 앱 이름은 다양하지만, 앱 실행화면은 거의 같으며 생년월일과 주민등록번호 입력 차이가 있다. 주민등록번호를 요구하는 앱은 피싱 사이트처럼 주민등록번호 알고리즘을 활용해 체크하기 때문에 아무 숫자나 입력해도 다음 단계로 넘어가지 않는다. 정상적인 정보를 입력하면 제출 완료 메시지가 나타나고 이외에 다른 화면은 표시되지 않았다.

보이스피싱에 사용되는 악성 앱 ‘Trojan.Android.Banker’를 살펴보면, 코드 분석을 어렵게 하고 방해하기 위한 목적으로 DEX 파일을 드롭해 사용한다. 현재 해당 검찰 앱은 기능이 없는 껍데기로 실질적인 악성 행위는 하지 않는다. 따라서 리소스 폴더에 있는 악성 앱을 추가로 설치하고 웹 페이지 소스를 띄워 화면에 표시한다.


▲추가 앱 설치 요청 화면서버 교체, C2 명령 수행 등의 기능이 있다[자료=이스트시큐리티 ESRC]

추가로 설치하는 앱은 기능이 동일하지만 다양한 아이콘과 이름을 사용한다. 이 악성 앱은 미리 웹 화면을 구성해 놓았고 주민등록번호를 검증한다. 다만 서버로 정보를 전송하는 것이 아닌 제출 완료의 여부만 메시지 박스로 표시하고 있다. 설치된 앱을 확인해 후후, 후스콜, WhyCall, DU Caller와 같은 앱이 있다면 확인 창을 띄워 삭제를 유도한다.

코드를 분석해 보면, 통화, 문자 등 총 7개 기능으로 구성된다. 먼저, ‘통화’에서는 착발신 기록, 통화 강제 종료, 기존 통화 기록 탈취, 기존 통화 기록 삭제 등을 진행한다. ‘문자’ 기능에서는 문자 전송, 기존 문자 내역 탈취, 실시간 문자 확인 등이 이뤄진다. 이밖에도 음성 녹음 및 탈취, 연락처 목록 탈취, 갤러리 탈취, 명령제어(C2) 서버 교체, C2 명령 수행 등의 기능이 있다.


▲문자 탈취 및 연락처 탈취(위부터)[자료=이스트시큐리티 ESRC]

실제 악성 행위를 하는 추가 앱은 다양한 기능들을 수행할 수 있다. 먼저 주고 받은 문자 내역을 DB 형식으로 저장해 탈취하며, 삭제하고 싶은 패키지 명을 가져와 삭제하는 기능을 포함하고 있다. 연락처 목록도 탈취할 수 있으며, 아이콘을 숨기거나 오디오 소리를 무음으로 변경할 수 있다.


▲녹음 및 이미지 탈취(위부터)[자료=이스트시큐리티 ESRC]

스마트폰 녹음 기능을 통해 주변 환경의 소리를 담아 파일로 저장해 탈취할 수도 있다. 이미지가 있는 폴더를 확인해 목록을 가져오고 이미지 파일을 서버로 전송한다. 공격자는 강제로 전화를 걸거나 수신을 할 수 있는데, 제어와 동시에 들어오고 나가는 전화 기록을 확인할 수 있다. 또한, 공격자는 사용자를 속이기 위해 기관별로 음성 안내 멘트를 수집하고, 기관 전화를 표시하며 그에 따른 음성 파일을 재생해 사칭하고 있다.

각종 정보를 탈취하고 명령을 주고받는 C2 서버의 주소는 변경될 수 있으므로, reddit 페이지를 통해 관리하고 있다. 직접 주소를 표시하지 않고 AES 복호화 작업을 통해 교체한다.

공격자는 검찰 피싱 페이지 이외에도 구글 플레이 스토어로 위장해 다른 앱을 배포 중이다. 피싱과 스미싱, 보이스피싱을 예방할 수 있는 앱을 그대로 사칭해 피해자를 속이고 있다. 세밀하게 보면 구버전의 플레이 스토어이며, 현재의 버전과 다르다는 걸 확인할 수 있다. 따라서 앱은 정식 플레이 스토어에 검색을 통해 설치하는 것을 권장한다.

이스트시큐리티 ESRC 측은 “악성 앱을 예방하기 위해서는 출처가 불분명한 앱이나 SMS 또는 메일 등으로 들어오는 앱은 설치하지 않고, 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치해야 한다”고 말했다. 이어 “악성 앱을 다운로드만 했을 경우에는 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사를 수행하며, 악성 앱을 설치했을 때는 신뢰할 수 있는 백신 앱으로 검사 후 악성 앱을 삭제해야 한다”고 설명했다.

한편, 정상적인 백신 앱이 악성 앱을 탐지하지 못하는 경우에는 백신 앱의 신고하기 기능을 사용해 신고하고, 수동으로 악성 앱을 삭제하면 된다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>