보이스피싱에 대한 오해와 편견, 그리고 예방법!

보이스피싱에 대한 오해와 편견, 그리고 예방법!

• AhnLab
• 2019-10-30

얼마 전 언론 보도를 통해 최신 보이스피싱 피해 사례가 알려졌다. 그런데 일각에서는 ‘아직도 보이스피싱에 속는 사람이 있느냐’라는 반응을 보였다. 그러나 전문가들은 보이스피싱이 스마트폰과 결합해 기술이나 수법 모두 고도화된 반면, 보이스피싱에 대한 사람들의 인식이나 이해는 6-7년 전에 비해 나아진 것이 없다고 우려한다. 최신 보이스피싱 수법에 대한 우리의 오해와 편견을 살펴보는 한편, 피해 예방을 위한 방법을 알아본다. 

 

 

“즈기요오~ 고갱니임~ 땅황하셨어요?”

아직도 어눌한 한국어의 ‘보이스피싱’을 떠올리는 사람들이 있을까? 완벽한 한국어로, 심지어 실제 존재하는 검찰이나 경찰 이름을 들먹이는 보이스피싱 수법이 등장한 것도 벌써 수년 전의 일이다. 이제는 전화를 걸어 통장 계좌번호나 비밀번호를 물어보는 대신 우리가 제 발로, 아니 제 손으로 개인정보를 몽땅 건낼 수밖에 없도록 교묘한 수법을 쓰고 있다. 그것이 가능한 첫 번째 이유가 스마트폰이라면 두 번째 이유는 아이러니하게도 보이스피싱에 대한 우리의 선입견 때문이다. 

 

주로 노인들만 당한다? 이젠 20-40대가 타깃이다 

물론, 다짜고짜 전화를 걸어 사람들을 당황케 하고 돈을 뜯어내는 보이스피싱도 여전하다. 주로 50-60대 이상을 노려 전화를 걸어 자녀가 납치 되었다거나 빚 보증 문제로 감금되어 있다는 식이다. 전화기 너머에서 들려오는 비명 소리 등 감쪽같은 연기와 늘 자식 걱정뿐인 어르신들로서는 충격 받을 수밖에 없는, 악질적인 범죄가 아닐 수 없다. 

 

그러나 최근 언론을 통해 보도된 보이스피싱 사례를 보면 피해자들이 20-40대인 경우가 많다. 이에 대해 일부 몰지각한 사람들은 ‘알 만한 사람’ 당했다며 피해자를 탓하기도 했단다. 그러나 이는 과거의 보이스피싱만 기억하기 때문이다. 최신 보이스피싱은 모바일 앱을 이용하는 경우가 많기 때문에 스마트폰 사용이 서툰 어르신들보다 젊은이나 중년층의 피해가 증가하는 추세다. 

 

보이스피싱 관련 앱, 월 평균 3천 6백여 개

금융보안원의  '보이스피싱 악성 앱 모니터링 현황’ 자료에 따르면, 최근 8개월 간 '전화 가로채기' 또는 '스마트폰 원격조종' 등을 할 수 있는 악성 애플리케이션(앱)을 통한 신종 보이스피싱과 연관된 앱이 2만8천950개가 탐지됐다. 월 평균 3,618개에 달하는 앱이 보이스피싱에 이용된다는 뜻이다.

 

스마트폰 앱을 이용한 보이스피싱의 진행 방식은 크게 두 가지로 구분할 수 있다. ▲스마트폰에 정상적인 앱을 설치하도록 유도한 후 사용자의 정보를 눈 앞에서 탈취하는 방법과 ▲악성 앱을 설치하도록 유도해 사용자 몰래 개인정보를 탈취하는 방법이 그것이다. 과정은 다르지만 이 두 가지 수법의 시작은 모두 ‘앱을 설치하도록 유도하는 것’이다. 

 

  

[그림 1] 스마트폰 기반의 최신 보이스피싱 전개 과정

 

최신 보이스피싱의 시작 부분을 좀 더 자세히 살펴보자. 최신 보이스피싱의 과정을 요약한 [그림 1]에서 볼 수 있는 것처럼 공격자는 문자 메시지나 사칭 전화를 통해 피해자에게 접근한다. 특히 문자 메시지를 보낼 때는 [그림 2]처럼 스마트폰을 자주 사용하는 연령대의 사람들의 생활 패턴에 딱 맞는 내용으로 위장한다. 

 

 

[그림 2] 최근 유포된 허위 문자 메시지

 

[그림 2]와 같은 문자 메시지에 포함된 링크(URL)를 클릭하면 피싱 앱이나 가짜 은행 앱 등 악성 앱이 설치된다. 보통 사용자가 알아차리기 어려울 만큼 진짜 앱과 똑같이 생긴 가짜 앱이 설치되어 비밀번호나 공인인증서 등 민감한 개인정보를 탈취한다. 

 

또 악성 앱이 설치된 스마트폰으로 사용자가 경찰청이나 은행 고객 센터에 전화를 걸면 이를 가로채 화면에는 경찰이나 은행 전화 번호와 홈페이지를 보여주면서 실제로는 보이스피싱 일당에게 연결한다. 눈을 뜨고도 당할 수밖에 없는 이유가 바로 이것이다. 이와 관련한 보다 자세한 내용은 아래 링크에서 확인할 수 있다. 

► ‘악성 앱과 결합한 보이스 피싱, 눈 뜨고 당한 이유 있다?’ 더 보기  

 

“해킹 당하신 것 같은데, 보안 앱 설치를 도와드리겠습니다”?

그나마 다행스러운 것은 이제 문자 메시지의 URL을 클릭할 때 주의해야 한다는 것을 알고 있는 사용자들이 많다는 점이다. 그러자 공격자들은 최근 URL 클릭을 유도하는 문자 대신 ‘50만원 상당의 결제가 이루어졌다’는 식의 문자 메시지를 주로 유포하고 있다. 

 

이러한 문자 메시지는 우리의 일상에서 쉽게 접하는 내용이라 의심하기 쉽지 않다. 게다가 공격자들은 스마트폰에 남은 웹 브라우저 쿠키 정보 등을 활용해 본인 또는 가족 중 누군가가 최근 관심을 갖고 있는 내용으로, 시의 적절한 문자를 보내는 치밀함까지 갖췄다. 

 

사용자가 카드 결제 승인 내역을 확인하기 위해 문자 메시지의 전화번호로 통화를 시도하면 보이스피싱 사기 일당에게 연결된다. 우리가 자주 들었던 카드사나 은행 등의 고객 상담원과 같은 말투(와 유창한 한국어)로 “카드를 도용 당하신 것 같은데요, 보안 앱 설치를 도와드려도 될까요?”라고 하니 안내하는 내용에 따라 필요하다는 앱을 설치하게 된다. 

 

그런데 이렇게 설치된 앱은 ‘보안 앱’이 아니라 원격 제어 앱이다. 결론부터 말하면, 원격 제어 앱은 보안 앱도 아니지만 그렇다고 악성 앱도 아니다. 원격 제어 앱은 외부에서 컴퓨터나 스마트폰에 연결할 때 사용하는 프로그램으로, 일반 기업에서 업무상 사용되기도 하며 수리 업체나 고객 지원 센터 등에서도 자주 사용되는 정상적인 앱이다. 

 

사용자가 ‘보안 앱’으로 생각해 스마트폰에 원격 제어 앱을 설치하고 실행하면 공격자는 사용자가 입력하는 모든 정보를 고스란히 볼 수 있다. 실제 피해 사례에서 공격자들은 원격 제어 앱 설치 후 테스트 명목으로 사용자에게 또는 공격자가 직접 스마트폰을 제어해 금융 앱을 실행하여 소액 결제나 송금을 했던 것으로 알려졌다. 

 

또한 이 과정에서 탈취한 피해자의 주민등록번호 등을 도용해 거액을 대출한 사례도 있다. 문제는 이렇게 도용된 명의로 대출 사기가 발생하더라도 현실적으로 피해자가 배상 받기는 거의 힘들다는 것이다. 소송을 진행하더라도 검찰에서 보이스피싱 일당을 체포해 회수했을 때만 일부 보상 받을 수 있을 뿐이다. 

 

최신 보이스피싱 피해 예방하려면?

최근 기술적으로 고도화된 보이스피싱이 심각한 사회 문제로 대두되면서 관련 기관과 금융사, 통신사 등에서는 보이스피싱 인식 전환과 피해 예방을 위한 캠페인을 진행하는 한편, 안랩 등 보안 업체와 적극적으로 협업하고 있다. 

 

안랩은 자사 모바일 보안 기술과 제품을 통해 스마트폰을 이용한 보이스피싱 피해를 최소화하기 위해 위해 다각도로 노력하고 있다. 우선, ‘V3 모바일 시큐리티(V3 Mobile Security)’는 피싱이나 악성 앱 설치를 유도하는 문자 메시지, 즉 스미싱에 의한 피해를 예방하는 기능을 제공한다. 첫 화면 하단에 [그림 3]의 왼쪽과 같은 ‘URL 검사’ 기능을 통해 악의적인 목적을 가진 앱 설치를 유도하는 URL뿐만 아니라 QR 코드를 실시간으로 검사한다. 또한, 악성 앱의 설치 파일(apk)이 스마트폰에 다운로드될 때, 또는 악성 앱이 설치되면 실시간으로 탐지하여 사용자에게 알림창을 제공해 해당 앱과 관련 파일을 삭제하도록 안내한다([그림 3] 오른쪽 참고). 

 

  

[그림 3] V3 모바일 시큐리티(V3 Mobile Security)

 

그러나, 앞서 언급한 최신 피해 사례에 등장하는 원격 제어 앱은 악성 앱이 아니다. 정상 앱은 모바일 백신이 탐지하거나 차단하는 대상이 아니다. 이와 관련해 안랩은 주요 은행 및 카드사의 앱과 연동된 ‘V3 모바일 플러스(V3 Mobile Plus)’의 ‘모바일 원격 제어 탐지’ 기능을 통해 이상 행위를 탐지한다. 

 

예를 들어, 사용자가 모바일 뱅킹을 할 때 백그라운드에서 원격 제어 앱이 동작하거나 스마트폰 화면의 스트리밍 또는 스냅샷이 전송되면 V3 모바일 플러스 이를 탐지하여 즉시 은행 시스템에 전달하고, 곧바로 은행 앱의 동작이 중단된다. 이와 함께 ‘이상 행위가 탐지되어 해당 앱을 사용할 수 없다’는 내용의 알림창을 제공해 사용자가 주의할 수 있도록 한다. V3 모바일 플러스는 또한 연동된 금융 앱이 실행되면 먼저 스마트폰에 악성 앱이 설치되었는지 검사하고 탐지한다.

 

  

[그림 4] 안랩 제품을 활용한 스파트폰 기반의 보이스피싱 피해 최소화

 

보이스피싱과 같은 금융 사기는 근본적으로 인간의 심리를 이용하고 있기 때문에 기술만으로 이를 막는다는 것은 사실상 불가능하다. 더구나 악의적인 범죄자들은 나, 그리고 우리 가족의 일상에서 충분히 있을 법한 일을 꾸며 접근하기 때문에 연령이나 직업, 지식 여부와 상관없이 누구나 피해자가 될 수 있다. 그렇다고 손 놓고 있을 수는 없는 노릇. 피해자가 되지 않기 위해 할 수 있는 기본적인 것이라도 반드시 실행하는 노력이 필요하다. 

 

우선, 어떤 내용이 되었든 문자 메시지 등에 포함된 URL은 가급적 클릭하지 않도록 한다. 확인 전화가 필요한 상황이라면 문자 메시지에 있는 발신자 번호로 전화를 거는 것 보다 해당 기관이나 업체의 홈페이지 등에서 연락처를 찾아 전화를 거는 것이 바람직하다. 또 전화 통화를 하는 상대방의 지시에 따라 행동하거나 스마트폰을 조작하기 전에 한 번 더 신중하게 살펴보고 확인하는 습관이 필요하다. 스마트폰 전용 백신을 설치해 감쪽같이 제작된 악성 앱에 현혹되는 일을 방지하는 것은 기본이다.