과거 PC에 집중됐던 피싱사기가 모바일로 빠르게 넘어오고 있다. 최근에는 문자메시지(SMS)가 아니라 아예 제1금융권의 모바일 뱅킹용 애플리케이션(앱)을 위장한 악성앱들을 유포해 스마트폰 은행 거래에 사용되는 비밀번호 등의 정보를 탈취하는 사례까지 발견되고 있어 각별한 주의가 필요한 상황이다.
16일 안랩은 자사 모바일 백신프로그램 'V3모바일'을 위장한 악성앱이 구글플레이 스토어에 유통되고 있는 정황을 파악해 한국인터넷진흥원(KISA)에 이를 알렸다. 이 과정에서 KB국민은행, 새마을금고, IBK기업은행, NH농협, 우리은행 등의 모바일 뱅킹용 앱을 위장한 악성앱도 같이 발견됐다.
리드 팀(Lead Team)이라는 악성앱 제작자가 사설 마켓이 아니라 구글의 공식 마켓에 버젓이 악성앱을 올린 것이다.
잉카인터넷 ISARC 대응팀은 같은 날 'ZHANG MENG', 'WALERIAKOWALCZYK'이라는 악성앱 제작자가 비슷한 수법으로 모바일뱅킹앱을 공식 마켓에 유포한 것으로 확인됐다고 밝혔다.
가장 큰 문제는 사용자가 자세히 앱을 살펴보지 않는 이상 악성앱이 설치됐는지를 확인하기 어렵다는 것이다. 실제로 이들 악성앱은 KB국민스마트뱅킹, KB국민 스마트 bank, 새마을금고 스마트 bank, NH농협 스마트 bank, 우리 스마트 bank 등의 이름을 사용하고 있으며, 스마트폰 내에 보여지는 아이콘 모양도 실제와 비슷하다.
이 앱들을 실행하면 팝업창을 통해 '안전을 위한(OTP)무료가입이벤트!'라는 문구가 뜬다. 스마트폰에서 확인 버튼을 누르면 모바일 웹브라우저를 통해 피시용 사이트로 접속된다. KB국민은행의 경우에는 원래 사이트 주소인 'kbstar.com' 뒤에 '-1-2-3-4-5-6-7-8-9-0.com'이라는 주소가 포함돼 있다.
그 뒤에는 '전용 브라우저를 사용해야만 이용이 가능한 서비스'라는 팝업창을 띄워 전용브라우저 설치를 위해 확인 버튼을 누르도록 유도한다. 그 뒤에는 다시 'OTP신청후 이용바랍니다'라는 창을 띄워 본격적으로 스마트폰 사용자의 개인정보 유출을 시도한다.
피싱화면은 기존 PC에서 자주 발견됐던 수법과 마찬가지로 일회용비밀번호생성기(OTP) 발급을 위해 이름, 주민등록번호 등과 함께 기존 보안카드의 비밀번호 전체를 입력하도록 유도을 입력하도록 유도한다.
악성앱 제작자들은 이렇게 탈취된 정보를 이용해 해당 사용자 명의로 스마트폰 소액결제 등으로 금전을 탈취한다.
잉카인터넷 ISARC 대응팀 문종현 팀장은 100명 중 한 두명만 걸려도 금전을 탈취할 수 있기 때문에 이 같은 시도가 지속되고 있다며 손쉽게 돈을 벌 수 있다는 점 때문에 많은 해커들이 공격을 시도하고 있는 것으로 보인다고 밝혔다.
금융보안연구원 관계자는 금융회원사들이 자신들이 만든 모바일 뱅킹앱에 대해서는 철저히 관리하고, 보안점검을 요청하기도 하지만 외부에서 만들어진 악성앱에 대해서까지 별도로 관리하고 있지는 않다고 설명했다.
관련기사
- V3 모바일 위장 악성앱 주의보2013.01.17
- 스마트폰 소액결제 악성코드 변종 주의보2013.01.17
- 모바일 악성코드 1년새 8배2013.01.17
- 안랩, 금융 정보 탈취 악성코드 '시타델' 경고2013.01.17
현재 KISA는 이 같은 악성앱들을 발견해 차단조치를 취한 상태다. 그러나 앞으로도 모바일 뱅킹을 노린 해킹수법은 지속적으로 등장할 것으로 예상된다.
지난달 말 글로벌 보안전문회사들의 새해 보안위협 예측 전망 보고서들은 안드로이드 운영체제(OS)를 겨냥한 사이버 범죄는 더욱 기승을 부릴 것이라고 전망했다. 구글은 새해에 100만개 이상의 새로운 안드로이드 기기가 출시될 것으로 내다봤다. 국내 스마트폰 사용 인구수는 이미 3천500만명을 넘어섰다. 윈도 OS, 인터넷익스플로러 등 사람들이 자주 사용하는 플랫폼을 노리는 악성공격의 특성 상 모바일 뱅킹은 해커들의 새로운 공략 대상으로 주목받고 있다.
