2014년 1월부터 4월까지, ‘앱카드’ 명의도용 결제 사기사건 수사결과
앱카드 허점 이용, 타인 108명 명의 도용해 1억3천만원 상당 편취

[보안뉴스 민세아] 지난해 ‘세월호 사고현장 동영상보기’ 등의 스미싱 문자로 피해자들의 공인인증서, 인증문자를 탈취해 1억 3,400만원을 편취한 신종 금융사기 조직 일부가 검거됐다.

서울지방경찰청 사이버범죄수사대는 2014년 1월부터 4월까지 타인의 명의를 도용해 부정발급 받은 ‘모바일결제(앱카드)’를 이용하여 1억3,400만원 상당의 부당이득을 취득한 신종 금융사기 조직에 대한 수사결과를 발표했다.


중국에서 스미싱 등 신종금융사기 범죄의 조직원으로 활동하는 피의자 B모씨(30세) 및 C모씨(25세)는 국내 특정 스마트폰 사용자들에게 ‘세월호 사고현장 동영상보기’ 등의 무차별 스미싱 문자(악성코드)를 보내 피해자들의 스마트폰에 저장된 금융정보(공인인증서, 인증문자)를 탈취했다.

피의자들은 탈취한 금융정보(공인인증서, 인증문자)를 이용해 피해자들 명의로 앱카드를 발급 받아 인터넷 쇼핑몰에서 1억3,400만원 상당의 모바일상품권을 결제(2개 카드사, 피해자수 108명, 피해카드수 122장, 결제건수 1,078건)했다.

또한, 피의자들은 앱카드로 결제한 모바일상품권을 인터넷 중고장터 및 상품권 전문 매입업자 등을 통해 정상가 보다 15% 가량 싼 가격에 처분하여 현금화하고, 해당 범죄수익금을 중국 환전브로커를 통해 인민폐(人民幣)로 환전하는 수법을 사용했다.

기존의 스미싱은 휴대폰 요금에서 소액결제를 통해 금액이 빠져나가는 방식(최대30만원)이었으나, 이번 앱카드 사건은 스미싱으로 금융정보를 탈취한 뒤 신용카드를 발급받아 결제하는 신종 사기 수법인 것으로 드러났다.

피의자들은 앱카드 어플리케이션(이하 어플)들이 카드를 등록할 때 카드번호를 몰라도 공인인증서와 인증문자만 있으면 앱카드를 발급해 준다는 허점을 노려 범행한 것으로 밝혀졌다.

피의자들은 도용한 앱카드를 이용해 인터넷 쇼핑몰에서 타인의 아이디로 결제하고, 자신의 범행을 숨기기 위해 대량의 VPN회선을 임대받아 우회 접속하여 마치 국내에서 앱카드를 결제한 것처럼 접속지역을 숨겼다.

이들은 경찰의 추적을 피하기 위해 출금시에는 해외 환치기 조직을 이용하는 등 치밀한 범행수법을 사용했다.

이와 관련 경찰은 “오픈소스 계열의 스마트폰 사용자들은 특히 문자메세지를 확인할 때 세심한 주의가 필요하다”며, “중국에 국제공조 요청으로 신종 스미싱 금융사기 해킹조직에 대한 실체파악 및 피의자 소환 등의수사를 계속 진행할 계획”이라고 밝혔다.

검거된 피의자들은 정보통신망이용촉진및정보보호등에관한법률 제71조 제9호에 의해 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해지거나 형법 347조의2 (컴퓨터등 사용사기)에 의해 10년 이하의 징역 또는 2천만원 이하의 벌금을 부과하게 된다.

[용어설명]VPN (vertual private network, 가상사설망) : 인터넷과 같은 공중망을 마치 전용선으로 사설망을 구축한 것처럼 사용할 수 있는 방식. 공중망을 통해 데이터를 송신하기 전에 데이터를 암호화하고 수신측에서 이를 복호화하여 인터넷 사용자가 VPN을 통해 접속하게 되면, 실제 접속한 인터넷 서버 입장에서는 VPN 서비스업체의 IP만 보이고 실제 사용자의 IP는 보이지 않게 된다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>