.gif)
SNS 활성화, 온라인 소통 공간 노린 해커들의 공격 수법
유명인 또는 미모의 이성 사칭해 접근 후 각종 민감 개인정보 및 금전 탈취
신원 불분명한 이성, 출처 없는 링크·앱 설치 주의만 해도 예방 가능
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 이소미 기자] 코로나 팬데믹으로 인해 ‘디지털 대전환’은 10년이나 앞당겨졌다는 평가를 받고 있다. 이에 따라 우리의 일상도 급속하게 디지털 방식으로의 변화를 거쳤다. 사람 간의 만남과 소통 역시 비대면 온라인에서 주로 이루어지고 페이스북, 카카오톡, 인스타그램과 같은 SNS(Social Network Service)가 사회관계망의 핵심이 됐다. 이처럼 디지털 시대의 발전과 아울러 해커들의 공격 수법도 점차 다양화·고도화되고 있다. 익명성이 존재하는 사이버 공간은 언제 어디서든 손쉽게 사람과 사람을 연결해 주는데, 보이지 않는 틈을 해커들이 놓칠 리 없다. 이에 <보안뉴스>에서는 ‘사람의 마음’을 악용해 ‘금전 탈취’를 일삼는 해커들의 다양한 공격 수법을 알아본다.
[이미지=보안뉴스]
△이 주의 보안 용어
로맨스 스캠(Romance Scam)
사회관계망 서비스 SNS(Social Network Service) 등을 활용한 공격 기법으로 보통 온라인으로 접근해 친분을 쌓은 후 금전을 갈취하는 사회공학적 공격이 대표적이다. 특히, 처음 접근 시 뛰어난 외모의 이성으로 가장한 제3자 사칭은 기본이다. 이들은 온라인상에서 서서히 친분을 쌓아 상대방과 친밀한 관계가 형성되면 이성 교제 등을 제안하고 이후 금전을 요구해 탈취한다. 이는 대상자로 하여금 단순한 금전적인 피해를 넘어 심리적 피해를 입히기 때문에 피해자는 상당한 트라우마를 갖게 되고 이후 정상적인 삶이 불가능하게 되는 경우도 있다.
몸캠 피싱(Webcam blackmail)
몸캠 피싱은 개인에게 피해를 줄 수 있는 파일이나 정보를 미끼로 금전을 요구하는 ‘독스웨어(doxware)’ 공격에 해당되는 수법이다. 독스웨어는 해킹한 개인정보를 온라인에 공개하는 것을 의미하는 ‘독싱(doxing)’과 이를 이용해 금전적 이득을 취하는 ‘랜섬웨어(ransomware)’를 합친 용어다. 독스웨어 유형 중에서도 개인에게 가장 심각한 타격을 입힐 수 있으므로 해커의 요구에 응하는 비율이 상대적으로 높은 수법이기도 하다. 주로 스카이프, 라인 등의 스마트폰 앱을 이용해 불건전한 화상 채팅에 참여하도록 유도한다. 그리고 대상자의 신체 노출 등의 낯 부끄러운 행위를 녹화한 다음, 지인의 연락처를 탈취해 해당 영상을 유포하겠다는 협박을 가함으로써 금전을 탈취하는 악랄한 수법이다. 이 공격은 피해자의 대화 기록, 사진·영상, 개인·지인 정보 등 민감 정보를 공격자의 시스템으로 옮겨 피해자가 자신의 컴퓨터나 스마트폰을 포맷하는 정도로는 해결하지 못하게 하는 경우가 많다. 따라서 피해자는 해커의 요구를 따를 수밖에 없는 것이다.
SNS 사칭(Profile Squatting)
소셜미디어 활성화로 일반인은 물론 유명인·연예인들까지 팬들과의 소통 창구로 SNS 계정을 활용한다. 그런데, 이를 노리는 해커들이 사이버 공간에서 연예인, 유명인을 사칭하며 당사자뿐 아니라 그 주변인들에게 피해를 끼치는 제3자 사칭, 이른바 프로파일 스쿼팅 공격 수법이다. 해커는 가짜 계정을 만들어 마치 그 사람인 것처럼 행세하면서 주변 지인들에게 접근해 DM, 메시지 등으로 개인적인 연락을 시도하며 금전이나 고가의 선물, 개인정보, 민감 사진·영상 등을 요구하거나 만남 주선 등을 미끼로 다양한 방식의 범죄를 저지른다. 또, 도용 당한 유명인의 평판을 떨어뜨리는 등 악의적인 행위도 이에 해당된다.
△이런 일이 있었다
로맨스 스캠
주로 해외에 거주 중인 콘셉트로 호감형 외모를 가진 외국인이나 이성으로 가장해 호감을 표시하며 다가가 온라인 연애 대상으로 접근한다. 어느 정도의 신뢰관계가 쌓이면 금전 등을 요구하기 시작하는데 실사례로 △해외에서 한국으로 계약금 반입 과정에서 외환거래법 위반으로 페널티 지급해야 하는 상황 △계좌가 동결돼 금융거래 불가를 이유로 대상자의 계좌 활용 요청 △파병 군인으로 갑작스러운 부상을 당했다며 병원·수술비 요구 △한국으로의 퇴직금 이체 시 통관비 요구 등 다양한 이유를 들며 금전을 탈취한 사례가 있다. 이들의 금전 요구는 한 번으로 그치지 않고 점점 늘어난다. 이후 연락 두절로 피해자는 그대로 손실을 보거나, 금전적 피해를 입지 않았더라도 자신이 모르는 사이 자금 세탁 공조, 사기 방조 등의 혐의를 받는 경우도 있다.
몸캠 피싱
해커가 타인의 사진·영상을 도용해 매력적인 이성으로 가장한 뒤 랜덤 채팅이나 모바일 메신저 앱을 통해 접근할 타깃 대상자를 찾는다. 자극적인 문구로 화상 채팅을 유도하고 미리 준비한 이성의 동영상을 보여주며 대상자에게도 얼굴·신체 노출과 함께 성적인 행위를 하도록 유도한다. 이후에는 대상자 협박을 위해 지인 연락처를 탈취할 수 있는 *.apk와 같은 악성 프로그램을 설치하게 하고 공격 성공 시 영상 유포를 빌미로 협박한 사례가 있다. 이후 사회적 이미지 타격을 우려한 피해자는 해커의 금전 요구에 응할 수 밖에 없었다.
SNS 사칭
해당 피해 사례는 손에 꼽을 수 없을 만큼 왕왕 발생하는 사례다. 국내만 보더라도 이름만 들어도 알만한 유명 연예인들이 자신을 사칭한 해커가 팬들을 상대로 감정적·금전적 피해를 입혀 주의를 당부하며 호소한 사례가 상당하다. 해커들은 실제 유명 연예인들의 계정 아이디와 유사하게 설정하고 프로필 사진, 정보 등을 게시해 많은 피해자들을 현혹시켰다. 이들은 사칭한 대상자의 팬들에게 DM(다이렉트 메시지)을 보내는 등 개인적인 연락을 취해 금전, 고가의 선물, 민감 사진·영상 등을 요구하기도 했다. 사기 뿐만 아니라 사칭 후 거짓 발언 등으로 명예훼손 범죄로 이어지는 경우도 있었다.
△피해는 이렇게 막을 수 있다
일반적인 상식선에서 납득할 수 없는 공격 수법이지만, 어느 정도의 기간을 두고 사람의 감정을 이용한 사회공학적 공격은 누구나 쉽게 피해자가 될 수 있다. 사람의 심리를 악용하는 공격은 그 피해가 금전적·정신적 피해로 이어질 수 있으므로 예방이 최우선이다.
먼저, 아무리 친밀한 관계라도 개인·금융정보나 금전 요구에 각별히 주의해야 한다. 신원이 확인되지 않은 타인에게 자신의 정보나 얼굴·신체가 담긴 사진이나 영상을 함부로 보내지 않도록 한다. 또한, 해커가 피해자의 휴대폰 주소록 및 기타 정보를 탈취할 목적으로 설치를 유도하는 악성 프로그램 예방을 위해서는 사전에 스마트폰 보안 설정을 해 두어야 한다.
아이폰의 경우, ‘알 수 없는 앱 설치 거부’ 옵션이 기본적으로 설정되어 있어 악성 프로그램 설치가 상대적으로 어려운 편이지만, 안드로이드 계정 스마트폰의 경우에는 반드시 ‘출처를 알 수 없는 앱 설치 허용’을 해제해야 한다. 물론, 가장 최선의 방법은 출처 불분명 URL, 프로그램 등은 아예 클릭하거나 설치하지 않는 것이다.
제3자 사칭 피해 예방을 위해서는 대상자의 이름만으로 확인이 어렵다면, 검색 사이트를 통해 재차 확인하는 과정이 반드시 필요하다. 전세계적으로 많은 이용자를 보유하고 있는 인스타그램, 페이스북과 같은 해외 플랫폼의 경우 회원 개인정보를 제공해 주는 경우가 거의 없기 때문에 수사기관 입장에서 실질적인 수사 진행이 어렵다. 해커가 간혹 흔적을 남기는 경우가 있는데, 이 경우 가해자를 특정해 형사·민사소송 진행이 가능하다. 그러나 이러한 단계로 가기 전에 꼼꼼히 확인하는 습관을 들이는 것이 가장 효과적이다. 특히, 유명인의 경우 공식 SNS 계정이 공개되어 있으므로 쉽게 해당 SNS 계정을 확인할 수 있다.
이미 피해를 당했더라도 해커의 송금 요구에 쉽게 응하면 안 된다고 전문가들은 말한다. 해커에게 금액을 지불한다고 해서 약속을 지킨다는 보장이 없기 때문이다. 해커들은 오히려 금전 획득이 가능한 사람으로 분류해 반복적인 협박 행위와 함께 금전을 요구하게 된다. 그 이후 해커가 더 이상 받아낼 수 없다고 판단하면 동영상 등의 자료를 유포할 수 있다. 따라서 처음부터 협상에 응하지 않고 빠르게 경찰서에 신고하는 게 중요하다. 특히, 해당 내용은 큰 범죄에 해당되므로 대화 내용과 협박 내용 등은 캡처·녹음 자료를 증거로 확보해 경찰에게 제출해야 한다.
결국 모든 피해를 막을 수 있는 예방법은 사전에 ‘확인하는 작업’이 기본이자 핵심이다. 상대방의 신원 정보, 출처 불분명의 프로그램, URL 같은 경우 절대로 허용하지 말고 △개인정보 △민감정보 △신체노출 △금전요구 등 상대방의 과도한 요구는 의심하고 신고부터 하는 습관이 바람직하다.
[이소미 기자(boan4@boannews.com)]
[도움말=보안119]
유명인 또는 미모의 이성 사칭해 접근 후 각종 민감 개인정보 및 금전 탈취
신원 불분명한 이성, 출처 없는 링크·앱 설치 주의만 해도 예방 가능
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 이소미 기자] 코로나 팬데믹으로 인해 ‘디지털 대전환’은 10년이나 앞당겨졌다는 평가를 받고 있다. 이에 따라 우리의 일상도 급속하게 디지털 방식으로의 변화를 거쳤다. 사람 간의 만남과 소통 역시 비대면 온라인에서 주로 이루어지고 페이스북, 카카오톡, 인스타그램과 같은 SNS(Social Network Service)가 사회관계망의 핵심이 됐다. 이처럼 디지털 시대의 발전과 아울러 해커들의 공격 수법도 점차 다양화·고도화되고 있다. 익명성이 존재하는 사이버 공간은 언제 어디서든 손쉽게 사람과 사람을 연결해 주는데, 보이지 않는 틈을 해커들이 놓칠 리 없다. 이에 <보안뉴스>에서는 ‘사람의 마음’을 악용해 ‘금전 탈취’를 일삼는 해커들의 다양한 공격 수법을 알아본다.
[이미지=보안뉴스]
△이 주의 보안 용어
로맨스 스캠(Romance Scam)
사회관계망 서비스 SNS(Social Network Service) 등을 활용한 공격 기법으로 보통 온라인으로 접근해 친분을 쌓은 후 금전을 갈취하는 사회공학적 공격이 대표적이다. 특히, 처음 접근 시 뛰어난 외모의 이성으로 가장한 제3자 사칭은 기본이다. 이들은 온라인상에서 서서히 친분을 쌓아 상대방과 친밀한 관계가 형성되면 이성 교제 등을 제안하고 이후 금전을 요구해 탈취한다. 이는 대상자로 하여금 단순한 금전적인 피해를 넘어 심리적 피해를 입히기 때문에 피해자는 상당한 트라우마를 갖게 되고 이후 정상적인 삶이 불가능하게 되는 경우도 있다.
몸캠 피싱(Webcam blackmail)
몸캠 피싱은 개인에게 피해를 줄 수 있는 파일이나 정보를 미끼로 금전을 요구하는 ‘독스웨어(doxware)’ 공격에 해당되는 수법이다. 독스웨어는 해킹한 개인정보를 온라인에 공개하는 것을 의미하는 ‘독싱(doxing)’과 이를 이용해 금전적 이득을 취하는 ‘랜섬웨어(ransomware)’를 합친 용어다. 독스웨어 유형 중에서도 개인에게 가장 심각한 타격을 입힐 수 있으므로 해커의 요구에 응하는 비율이 상대적으로 높은 수법이기도 하다. 주로 스카이프, 라인 등의 스마트폰 앱을 이용해 불건전한 화상 채팅에 참여하도록 유도한다. 그리고 대상자의 신체 노출 등의 낯 부끄러운 행위를 녹화한 다음, 지인의 연락처를 탈취해 해당 영상을 유포하겠다는 협박을 가함으로써 금전을 탈취하는 악랄한 수법이다. 이 공격은 피해자의 대화 기록, 사진·영상, 개인·지인 정보 등 민감 정보를 공격자의 시스템으로 옮겨 피해자가 자신의 컴퓨터나 스마트폰을 포맷하는 정도로는 해결하지 못하게 하는 경우가 많다. 따라서 피해자는 해커의 요구를 따를 수밖에 없는 것이다.
SNS 사칭(Profile Squatting)
소셜미디어 활성화로 일반인은 물론 유명인·연예인들까지 팬들과의 소통 창구로 SNS 계정을 활용한다. 그런데, 이를 노리는 해커들이 사이버 공간에서 연예인, 유명인을 사칭하며 당사자뿐 아니라 그 주변인들에게 피해를 끼치는 제3자 사칭, 이른바 프로파일 스쿼팅 공격 수법이다. 해커는 가짜 계정을 만들어 마치 그 사람인 것처럼 행세하면서 주변 지인들에게 접근해 DM, 메시지 등으로 개인적인 연락을 시도하며 금전이나 고가의 선물, 개인정보, 민감 사진·영상 등을 요구하거나 만남 주선 등을 미끼로 다양한 방식의 범죄를 저지른다. 또, 도용 당한 유명인의 평판을 떨어뜨리는 등 악의적인 행위도 이에 해당된다.
△이런 일이 있었다
로맨스 스캠
주로 해외에 거주 중인 콘셉트로 호감형 외모를 가진 외국인이나 이성으로 가장해 호감을 표시하며 다가가 온라인 연애 대상으로 접근한다. 어느 정도의 신뢰관계가 쌓이면 금전 등을 요구하기 시작하는데 실사례로 △해외에서 한국으로 계약금 반입 과정에서 외환거래법 위반으로 페널티 지급해야 하는 상황 △계좌가 동결돼 금융거래 불가를 이유로 대상자의 계좌 활용 요청 △파병 군인으로 갑작스러운 부상을 당했다며 병원·수술비 요구 △한국으로의 퇴직금 이체 시 통관비 요구 등 다양한 이유를 들며 금전을 탈취한 사례가 있다. 이들의 금전 요구는 한 번으로 그치지 않고 점점 늘어난다. 이후 연락 두절로 피해자는 그대로 손실을 보거나, 금전적 피해를 입지 않았더라도 자신이 모르는 사이 자금 세탁 공조, 사기 방조 등의 혐의를 받는 경우도 있다.
몸캠 피싱
해커가 타인의 사진·영상을 도용해 매력적인 이성으로 가장한 뒤 랜덤 채팅이나 모바일 메신저 앱을 통해 접근할 타깃 대상자를 찾는다. 자극적인 문구로 화상 채팅을 유도하고 미리 준비한 이성의 동영상을 보여주며 대상자에게도 얼굴·신체 노출과 함께 성적인 행위를 하도록 유도한다. 이후에는 대상자 협박을 위해 지인 연락처를 탈취할 수 있는 *.apk와 같은 악성 프로그램을 설치하게 하고 공격 성공 시 영상 유포를 빌미로 협박한 사례가 있다. 이후 사회적 이미지 타격을 우려한 피해자는 해커의 금전 요구에 응할 수 밖에 없었다.
SNS 사칭
해당 피해 사례는 손에 꼽을 수 없을 만큼 왕왕 발생하는 사례다. 국내만 보더라도 이름만 들어도 알만한 유명 연예인들이 자신을 사칭한 해커가 팬들을 상대로 감정적·금전적 피해를 입혀 주의를 당부하며 호소한 사례가 상당하다. 해커들은 실제 유명 연예인들의 계정 아이디와 유사하게 설정하고 프로필 사진, 정보 등을 게시해 많은 피해자들을 현혹시켰다. 이들은 사칭한 대상자의 팬들에게 DM(다이렉트 메시지)을 보내는 등 개인적인 연락을 취해 금전, 고가의 선물, 민감 사진·영상 등을 요구하기도 했다. 사기 뿐만 아니라 사칭 후 거짓 발언 등으로 명예훼손 범죄로 이어지는 경우도 있었다.
△피해는 이렇게 막을 수 있다
일반적인 상식선에서 납득할 수 없는 공격 수법이지만, 어느 정도의 기간을 두고 사람의 감정을 이용한 사회공학적 공격은 누구나 쉽게 피해자가 될 수 있다. 사람의 심리를 악용하는 공격은 그 피해가 금전적·정신적 피해로 이어질 수 있으므로 예방이 최우선이다.
먼저, 아무리 친밀한 관계라도 개인·금융정보나 금전 요구에 각별히 주의해야 한다. 신원이 확인되지 않은 타인에게 자신의 정보나 얼굴·신체가 담긴 사진이나 영상을 함부로 보내지 않도록 한다. 또한, 해커가 피해자의 휴대폰 주소록 및 기타 정보를 탈취할 목적으로 설치를 유도하는 악성 프로그램 예방을 위해서는 사전에 스마트폰 보안 설정을 해 두어야 한다.
아이폰의 경우, ‘알 수 없는 앱 설치 거부’ 옵션이 기본적으로 설정되어 있어 악성 프로그램 설치가 상대적으로 어려운 편이지만, 안드로이드 계정 스마트폰의 경우에는 반드시 ‘출처를 알 수 없는 앱 설치 허용’을 해제해야 한다. 물론, 가장 최선의 방법은 출처 불분명 URL, 프로그램 등은 아예 클릭하거나 설치하지 않는 것이다.
제3자 사칭 피해 예방을 위해서는 대상자의 이름만으로 확인이 어렵다면, 검색 사이트를 통해 재차 확인하는 과정이 반드시 필요하다. 전세계적으로 많은 이용자를 보유하고 있는 인스타그램, 페이스북과 같은 해외 플랫폼의 경우 회원 개인정보를 제공해 주는 경우가 거의 없기 때문에 수사기관 입장에서 실질적인 수사 진행이 어렵다. 해커가 간혹 흔적을 남기는 경우가 있는데, 이 경우 가해자를 특정해 형사·민사소송 진행이 가능하다. 그러나 이러한 단계로 가기 전에 꼼꼼히 확인하는 습관을 들이는 것이 가장 효과적이다. 특히, 유명인의 경우 공식 SNS 계정이 공개되어 있으므로 쉽게 해당 SNS 계정을 확인할 수 있다.
이미 피해를 당했더라도 해커의 송금 요구에 쉽게 응하면 안 된다고 전문가들은 말한다. 해커에게 금액을 지불한다고 해서 약속을 지킨다는 보장이 없기 때문이다. 해커들은 오히려 금전 획득이 가능한 사람으로 분류해 반복적인 협박 행위와 함께 금전을 요구하게 된다. 그 이후 해커가 더 이상 받아낼 수 없다고 판단하면 동영상 등의 자료를 유포할 수 있다. 따라서 처음부터 협상에 응하지 않고 빠르게 경찰서에 신고하는 게 중요하다. 특히, 해당 내용은 큰 범죄에 해당되므로 대화 내용과 협박 내용 등은 캡처·녹음 자료를 증거로 확보해 경찰에게 제출해야 한다.
결국 모든 피해를 막을 수 있는 예방법은 사전에 ‘확인하는 작업’이 기본이자 핵심이다. 상대방의 신원 정보, 출처 불분명의 프로그램, URL 같은 경우 절대로 허용하지 말고 △개인정보 △민감정보 △신체노출 △금전요구 등 상대방의 과도한 요구는 의심하고 신고부터 하는 습관이 바람직하다.
[이소미 기자(boan4@boannews.com)]
[도움말=보안119]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)