주민번호 사용내역으로 위장한 소액결제사기 문자로 진화

[보안뉴스 김태형] 최근 스마트폰 문자 메시지를 통해 악성 안드로이드 앱을 유포해 소액 결제 사기 피해가 급증하고 있는 가운데 ‘사이렌24’를 사칭해 휴대폰 소액결제 사기가 발견되어 이용자들의 주의가 요구된다.

잉카인터넷 대응팀은 조작된 문자메시지(SMS)와 안드로이드 악성앱을 유포하는 모바일 보안위협을 집중 모니터링하는 과정에서 마치 사이렌24 측에서 발송한 문자처럼 교묘히 위장한 휴대폰 소액결제 사기수법을 추가 발견했다고 밝혔다.

이는 기존에 유출된 개인정보 등을 도용해 불법적으로 온라인 게임 아이템 등을 구매해 금전적 이득을 취하고 있는 이른바 ‘스미싱(Smishing)’ 사기수법이다.

잉카인터넷 측은 “국내에 스마트폰 이용자가 급증하면서 안드로이드 기반의 악성앱도 비례적으로 증가하고 있고 구글의 안드로이드 기반 스마트폰 문자메시지(SMS)를 이용자 몰래 가로채기할 수 있는 스파이앱 제작이나 모바일 디도스 앱 등도 덩달아 기승을 부리고 있는 상황”이라고 설명했다.

이것도 일종의 보안 취약점으로 구분해 악성앱 개발자들이 문자메시지를 손쉽게 훔쳐내거나 유용한 스마트폰의 기능들이 남용되지 못하도록 하는 조치가 시급하다는 것이 잉카인터넷 측의 설명이다.

더불어 안드로이드 스마트폰 이용자들은 최근 들어 모바일 쿠폰이나 외식상품권 문자 내용이 아닌 다양한 내용으로 사기수법을 변경하고 있다는 점을 명심하고 문자메시지에 포함된 인터넷 주소(URL) 클릭에 세심한 주의가 필요하다고 잉카인터넷 측은 강조했다.

또한 사생활 감시 목적으로 문자메시지를 훔쳐내거나, 모바일 디도스 공격용의 악성앱이 급격히 증가하고 있다는 점을 인식해 인터넷 주소가 포함된 의심스러운 문자메시지는 절대로 클릭하지 않도록 하는 각별한 주의가 요구되고 있다.

이번에 발견된 휴대폰소액결제 사기수법은 안드로이드 악성앱을 이용자가 최대한 신뢰하고 악성 APK 앱을 설치하도록 새로운 방식을 도입했다.

마치 문자메시지 수신자의 주민번호가 불법 도용되어 사용된 내역이 확인된 것처럼 이용자의 관심을 유발시키고 널리 알려져 있는 실제 명의도용방지 서비스인 사이렌24 내용으로 확인하라고 악성앱 설치용 단축URL 주소를 클릭하도록 유도한다.


               

문자메시지를 수신한 사용자가 문자에 포함되어 있던 단축 URL주소를 클릭하게 되면 아래와 같이 ‘smartbilling.apk’ 라는 악성앱이 다운로드 된다.                  
다운로드가 완료된 ‘smartbilling.apk’ 파일을 클릭하게 되면 마치 사이렌24(SIREN 24) 관련 앱처럼 위장해 아래와 같이 악성앱 설치가 시도된다.                [설치]버튼을 클릭해 사용자가 해당 앱 설치를 완료할 경우 스마트폰에는 [SIREN 24] 아이콘과 이름으로 위장된 휴대폰 소액결제사기 기능의 악성앱이 설치되고 이용자의 명의가 도용되며 소액결제 승인문자 메시지가 유출되어 많은 경우 약 30만원 상당의 금전적인 피해를 입을 수 있게 된다.

이 악성앱 내부에는 기존에 위장했던 다양한 아이콘 리소스들이 포함되어 있는 것을 확인할 수 있었다.


           
이런 악성앱을 설치한 경우 이용자는 신속하게 해당 앱을 삭제해야 하고 해당 이동통신사 등에 소액결제 피해여부 등을 파악해보고 소액결제 서비스를 사용하지 않는 경우 이통사에 차단을 요청해 두면 유사한 소액결제사기 피해를 최소화할 수 있다.

또한 악성앱이 실행되면 가짜 에러 메시지 창을 띄어 사용자로 하여금 일시적인 접속장애로 오인하도록 조작한다. 이는 스미싱 사이버 범죄 사기범들로 하여금 소액결제 사기를 진행하는데 필요한 시간을 확보하고 이용자로 하여금 해당 앱이 악성앱이 아닌 것처럼 위장하기 위한 사기수법이다.


               
해당 악성앱은 기존 ‘KRSpammer’ 변종으로 안드로이드 기반 소액결제 승인문자 메시지를 가로채기하는 악성앱이다.

이와 같이 대부분의 악성앱은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며 손쉽게 유포하기 위해 제작자들은 정상적인 앱으로 위장한다. 또한, 내부에 특정 오류 출력 구문 등을 삽입해 마치 정상적인 앱이 오동작을 일으킨 것처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처해 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고 있다.

잉카인터넷 대응팀 문종현 팀장은 “이러한 악성앱이 설치됐을 경우에는 신속하게 삭제 조치하거나 아이콘을 숨기는 경우도 존재해 육안으로 파악하기 어려운 경우도 있으므로, ‘nProtect Mobile for Android’와 같은 모바일 백신 제품으로 전체 검사를 수행해 보는 것도 좋다”고 설명했다.

방송통신위원회는 최근 스마트폰 소액결제에 대한 민원이 급증하자 피해구제를 위해서는 방통위(http://www.kcc.go.kr) 홈페이지 또는 국민신문고(http://www.epeople.go.kr) 홈페이지를 통해서 민원을 접수해야 한다고 강조한다.

또한 소액결제 한도를 필요한 만큼만 하향조정하거나 사용하지 않을 경우 소액결제 자체를 차단해 두면 유사피해를 예방할 수 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>