온라인 스캠: 내 휴대전화에서 마주한 사기

휴대전화는 우리 생활과 가장 밀접한 디지털 디바이스이다. 소통, 검색, 쇼핑, 결제, 신원 인증, 투자 등 생활 속 많은 영역에서 휴대전화가 이용되고 있다. 요즘엔 PC가 없는 사람은 있어도, 휴대전화가 없는 사람은 별로 없다. 스캐머들은 바로 이점을 노린다. 많은 사람이 가장 자주 이용하는 디바이스를 이용하여 교묘하게 사기를 치는 것이다. 그리고 이들은 우리의 돈과 정보와 권한을 노린다.

내용

1. 이런 문자 메시지는 모두 스캠이다
   • 스미싱 스캠 사례
   • AhnLab TIP 스미싱 위협 인텔리전스
2. 스미싱에 당하면 무슨 일이 생기는가
   • 돈을 투자 했다면
   • 정보를 입력했다면
   • 직접 연락했다면
   • 앱을 설치했다면
   • AhnLab TIP 모바일 앱 위협 인텔리전스
3. 대한민국에서 발생하는 보이스 피싱
4. 공식 앱 스토어에 있지만 금융 사기 앱이다
   • 대출 위장 사기
   • 투자 유도 사기
5. 관련 글 보기

용어

스캠은 불법적이며 부도덕한 방법으로 상대방을 속여서 금전 또는 지적 재산 얻거나 자산에 비인가 접근하는 사기 범죄 행위이다. 주로 직접적인 채널(전화, 문자, 이메일, 메신저, 소셜 미디어, 웹 사이트 등)을 이용하여 피해자가 자발적으로 스캐머(범죄자, 공격자)가 의도한 행동을 하도록 한다.

이런 문자 메시지는 모두 스캠이다

국가마다 디지털 접근성과 문화가 달라 스캐머의 접근 채널이 조금씩 다름에도 불구하고, 대한민국을 포함한 아시아 8개국에서 공통으로 Top 3로 뽑힌 스캠 접근 채널은 문자 메시지이다. 전 세계적으로 보면 문자 메시지(58%)는 전화(61%)에 이어 두 번째로 많이 사용되는 스캠 접근 채널이다.^[1]

혹시 다음과 같은 문자 메시지(SMS)를 받은 적이 있는가? 이것들은 모두 문자 메시지를 이용한 스캠이다. 스미싱(Smishing) 또는 SMS 피싱이라고도 한다. 메시지 내용은 대부분 누군가를 사칭하여 즉각적인 확인을 요구하거나 호기심을 불러일으키는 내용이다.

아래는 안랩 V3 Mobile Security 제품에서 수집한 스캠 문자 메시지 현황이다. 2023년 4분기에 가장 많이 확인된 스미싱 스캠은 단기 알바 위장(61.2%) 이다. 누구나 손쉽게 고액의 돈을 벌 수 있다는 내용으로 투자를 유도하지만 실제로는 금융 사기이다. 두 번째는 카드사 사칭(17.6%) 이다. 신규 카드 발급이나 결제 승인 등의 내용으로 카드사를 사칭하여 고객센터로 전화를 유도하지만 이 역시 보이스 피싱으로 이어지는 금융 사기이다. 이 외에 공공기관 사칭, 가족 및 지인 사칭 스캠이 확인되었다. 분기마다 유형과 분포의 차이가 있는데, 이는 세금이나 명절 등 특정 시즌 이슈 또는 스캐머의 전략 변경 때문이다.

스미싱 스캠 사례

다음은 2023년 하반기부터 현재까지 실제로 확인된 스미싱 사례이다. 많은 유형이 개인이나 기관 또는 서비스를 사칭하였다. 현재도 접속 가능한 링크와 일부 개인정보는 일부를 별표(*)로 마스킹 처리했다.

단기 알바 위장, 투자 유도

카드사 및 결제 안내 사칭

공공기관 사칭

가족 및 지인 사칭

택배 및 물류 배송 사칭

기타

AhnLab TIP 스미싱 위협 인텔리전스

안랩 위협 인텔리전스 플랫폼 AhnLab TIP는 스미싱 현황 정보 ‘Smishing URLs’와 분기별 스미싱 인텔리전스 보고서를 제공한다. 가장 최근 발행 보고서는 ‘2023년 4분기 스미싱 트렌드 보고서’이다.

• 일 단위 스미싱 문자 메시지 수집 현황
• 유형별 스미싱 주요 사례와 피해
• 사칭 대상 기관 및 산업군 통계
  • 공공기관
  • 금융산업 기관
  • 물류산업 기관
• 예방 및 대응 권고 사항

스미싱에 당하면 무슨 일이 생기는가

스캐머는 문자 메시지로 피해자에게 직접 연락하여, 스캐머가 의도한 행동을 피해자가 자발적으로 하도록 유도한다. 이들이 스미싱으로 유도하는 행동은 돈 투자, 정보 입력, 스캐머에게 연락, 앱 설치 등이 있다. 이로 인해 발생할 수 있는 피해는 다음과 같다.

돈을 투자 했다면

스미싱 링크 클릭시 단기간 고액의 돈을 벌 수 있다는 내용의 광고성 웹 페이지로 이동한다. 웹 페이지는 신뢰도를 높이기 위해 유명 연예인 사진을 무단으로 도용 및 합성하였으며, 가짜 수익 인증 내용을 다수 포함하고 있다. 스캐머는 KakaoTalk과 같은 모바일 메신저 앱으로 1:1 대화를 유도한다. 그리고 사기성 거래소 웹사이트 가입과 투자금 입금을 유도한다. 거래소는 빅테크 기업 Meta의 로고를 무단 도용하였다.

스캐머는 피해자가 신뢰감을 가지도록 하기 위해 초기 소액에 대해서는 약속한 수익금을 제때 제공한다. 하지만 일정 수준의 신뢰가 쌓이면 본격적으로 큰 금액을 요구하고 이를 편취하게 된다. 연예인 사칭과 현혹성 광고 등 투자 사기 관련한 자세한 내용은 이후 ASEC 블로그 ‘온라인 스캠: 그저 쉽고 빠르게 돈을 벌고 싶었다’에 발행 예정이다.

실제로 상장 예정인 기업을 사칭하고 존재하지 않는 ‘특별’ 공모주 매수를 유도한다. 스미싱 링크의 웹 사이트는 실제 기업의 것과 완벽히 똑같이 만들었으며, 공모주 신청을 위한 개인 정보 입력란이 있다는 것이 유일한 차이점이다.

정보를 입력했다면

모바일 메신저 Telegram 계정을 인증하라는 내용의 스미싱이다. Telegram은 로그인 코드를 이용하여 웹 버전에 접속할 수 있는 기능을 제공한다. 스캐머는 피해자의 Telegram 로그인 세션을 무단으로 탈취하고 액세스하기 위해서 가짜 Telegram 피싱 사이트를 만든다. 피싱 사이트는 정상 Telegram 웹 버전 주소 https://web.telegram.org와 유사하여 착각하기 쉽다. 피해자가 로그인 코드를 피싱 사이트에 입력하면, 스캐머는 이 정보를 이용하여 피해자의 Telegram 화면을 그대로 볼 수 있게 된다.

스미싱 링크를 클릭하면 이름, 생년월일, 전화번호, 송장 번호 등의 정보 입력을 요구하는 웹 페이지로 이동하게 된다. 이는 스캐머가 의도한 공격 대상인지 확인하는 일종의 검증 절차이다. 만약 의도한 피해자가 아닌 사람이 접속했다면 악성 앱이 다운로드 되지 않는다. 피해자는 정보를 입력함으로써 인증 절차를 거쳤기 때문에, 본인이 정상적인 웹사이트에 접속하고 앱을 설치한 것이라고 착각할 수 있다.

직접 연락했다면

호기심을 불러일으키는 내용으로 연락하여 모바일 메신저 대화를 유도한다. 친밀한 관계를 형성한 뒤 송금, 구매 대행 등을 요구하여 금전 손실 피해를 발생시킬 수 있다. 혹은 성적인 대화를 나누며 사진이나 영상을 요구하고, 이를 빌미로 협박하고 돈을 요구할 수 있다.

스미싱 문자 메시지에 링크가 없이 전화번호만 있다. 스캐머는 결제 오류나 정보 유출 등 긴급한 조치가 필요한 내용으로 위장하여 피해자가 직접 연락하도록 유도한다. 이러한 전화번호는 모두 보이스 피싱 조직의 콜센터 번호이다. 보이스 피싱 조직은 전화 통화로 해당 카드사 또는 금융 기관을 사칭하여 피해자에게 편의성을 제공하거나 보안을 점검해 준다는 명분으로 악성 앱 설치를 유도한다. 최근에는 의심을 피하고자 악성 앱이 아닌 원격 제어 기능이 있는 정상 앱을 설치하도록 하고, 스캐머가 직접 악성 앱을 설치하는 수법을 쓰기도 한다.

앱을 설치했다면

공공기관이나 지인, 또는 피해자가 관심 가질 내용을 사칭하여 스미싱 문자 내 링크를 클릭하도록 유도한다. 피해자는 예상하는 화면에 접속했기 때문에 의심 없이 ‘앱 다운로드’ 혹은 ‘내용 확인하기’ 등의 버튼을 클릭하여 악성 앱을 설치한다. 다운로드 되는 앱 아이콘 역시 공공기관, 사기업, 안드로이드 기본 기능 아이콘 등을 위장한다.

일부 유형은 공식 앱 스토어 (Google Play 또는 애플 App Store) 화면을 이용하여 설치를 유도한다. 피해자는 공인된 앱 스토어에서 앱을 설치하는 것으로 착각하기 때문에, 악성 앱을 설치했다는 것을 인지하지 못 한다. 색깔, 레이아웃, 리뷰 등 앱 스토어 화면 구성을 그대로 재현하였기 때문에 스캠에 당하기 매우 쉽다. 아래는 모두 조작된 앱 스토어 화면이다. 아이폰이 스캠 앱 위협으로부터 안전하다는 말은 사실이 아니다.

악성 앱은 피해자의 휴대전화에서 다양한 정보를 수집하여 스캐머에게 전송한다. 오늘날의 휴대전화는 개인과 관련된 민감 정보(개인정보, 파일, 연락처, 사진 등)를 갖고 있을 뿐만 아니라 문자 메시지를 이용하여 본인 인증 수단으로도 쓰이고 있다. 스캐머는 악성 앱을 설치한 피해자 휴대전화 정보에 무단 액세스할 수 있고 이를 탈취할 수 있다. 

예를 들어 스캐머는 인증 번호가 있는 문자 메시지를 가로채거나 보냄으로써 대신 본인 인증을 받을 수 있다. 뿐만 아니라 앱 기능에 따라 화면 녹화, 녹음, 카메라 촬영, 문자 메시지 전송 등 휴대전화 통제권을 완전히 가져갈 수도 있다. 실제로 스미싱으로 악성 앱을 설치한 뒤 정보를 탈취당하여 의도하지 않은 고액 결제 피해를 입은 스캠 사례가 있었다.

악성 앱에 대한 더 상세한 분석 리포트는 안랩 위협 인텔리전스 플랫폼 AhnLab TIP에서 확인할 수 있다.

AhnLab TIP 모바일 앱 위협 인텔리전스

안랩 위협 인텔리전스 플랫폼 AhnLab TIP에서는 모바일 앱 관련 상세한 위협 분석 리포트를 제공한다. 또한 안드로이드 APK 파일을 동적으로 분석할 수 있는 ‘클라우드 샌드박스’ 기능을 제공한다.

대한민국에서 발생하는 보이스 피싱

대한민국에서 발견되는 보이스 피싱은 독특하다. 보이스 피싱은 일부 개인 행각이 아니며, 광역적이고 조직적 차원의 범죄다. 보이스 피싱 공격자들은 대포통장, 대포폰, 콜센터, 자금 세탁 등 여러 복잡한 준비 과정을 거쳐 정교한 스캠 시나리오를 만든다. 보이스 피싱 과정에서 이용하는 악성 앱 또한 기술 수준이 높은 편이다. 대한민국 경찰과 금융감독원, 그리고 금융사들이 연합하여 이에 대항하고 있지만, 보이스 피싱 조직 또한 이에 대응해 계속해서 다른 방식으로 변화하고 있다. 이는 다른 나라에서는 좀처럼 보이지 않는 방식의 스캠이다.

보이스 피싱 공격자들은 스미싱 문자 메시지로 피해자가 먼저 전화하도록 유도하거나 피해자에게 직접 전화를 걸어 접근한다. 이들은 금융 감독 기관이나 검찰, 경찰, 금융사 등 피해자가 신뢰하는 기관을 사칭한다. 많은 보이스 피싱이 악성 앱을 이용하는데, 공격자들은 각종 상황을 꾸며서 피해자가 전화를 끊지 않고 앱을 설치하게 한다. 안랩에서는 이러한 보이스 피싱 앱을 카이시(Kaishi)라고 부른다. 카이시는 다음과 같은 기능이 핵심이다.

• 통화 조작
• 통화 연결 음성 조작
• 사용자 통화 화면 조작
• 통화 기록 조작

피해자는 자신이 실재하는 금융사나 기관과 통화를 했다고 착각하게 된다. 휴대전화 화면에도 그렇게 표시되고 통화 연결 음성도 해당 금융사에서 제공하는 것이 맞기 때문이다. 그러나 이 모든 것은 카이시에 의해 조작된 것이다. 실제로는 보이스 피싱 조직 콜센터와 통화한 것이다.

다음은 2024년 확인된 보이스 피싱 앱 아이콘이다. 사칭 대상 중에는 보이스 피싱 차단 앱 ‘피싱 아이즈’과 ‘시티즌 코난’이 있다. 보이스 피싱 앱이 보이스 피싱 차단 앱을 사칭한 것이다. 스캐머는 사람들이 어떤 것을 신뢰하고 있는지 잘 알고 있다. 이들은 인증 번호를 입력해야만 앱을 다운 및 설치할 수 있는 속임수를 이용하기도 하였다.

공식 앱 스토어에 있지만 금융 사기 앱이다

일반적으로 공식 앱 스토어(Google Play 또는 애플 App Store)에 등록되어 있는 앱은 정상적이고 합법적이라는 인식이 있다. 하지만 대출이나 투자 정보를 빌미로 한 일부 앱들은 실제로 금융 사기임에도 불구하고 공식 앱 스토어에 등록되어 있다. 악의적인 사기이지만 기능상 명확한 악성 행위가 없고, 정상 앱에서 요구하는 정보나 기능면에서 명확한 차이가 없기 때문이다. 스캐머는 앱 스토어의 등록 정책을 교묘하게 비껴가고 여러 사람을 기만한다.

이러한 금융 사기 앱은 사용자가 직접 앱 스토어에서 검색하여 설치하기도 하지만, 대부분 스캐머들의 거짓 정보에 속아 설치한다. 스캐머들은 금융 사기 앱 설치를 유도하기 위해 온라인 커뮤니티나 소셜 미디어, 모바일 메신저 등을 이용한다.

대출 위장 사기

고금리 대출이나 대출 중개 등을 명목으로 피해자의 정보를 수집한다. 수집하는 정보는 휴대전화 디바이스 정보, 그리고 신분증 사진이나 계좌 번호 같은 개인정보와 금융정보이다. 정상적인 대출 앱에서도 유사한 절차로 사용자에게 정보 입력을 요구하고 수집하기 때문에 사기 진위를 판단하기 어렵다. 스캐머는 수집한 정보를 기반으로 피해자를 협박하여 자금을 탈취하기도 한다. 아래는 Google Play 앱 스토어에서 ‘대출’ 또는 ‘Loan’으로 검색했을 때 확인된 대출 관련 사기 앱이다. 현재는 모두 앱 스토어에서 삭제되었다.

투자 유도 사기

스캐머는 스미싱이나 소셜 미디어 광고로 투자자를 모집한 뒤 리딩방으로 안내하거나 1:1 대화를 하여 특정 앱 설치와 가입을 유도한다. 이 앱은 거래소 또는 투자 정보 앱으로써, 주식이나 가상자산 등에 대한 시세나 추천 종목 정보를 제공한다. 앱은 Google Play나  애플 App Store에 정상적으로 등록되어 있다. 피해자는 앱에서 제공하는 정보를 그대로 믿고 돈을 투자하지만 여기에는 조작된 정보가 포함되어 있다. 스캐머는 처음 소액 투자인 경우에는 수익을 실현할 수 있게 하여 신뢰를 형성한다. 하지만 이후에는 추가 입금이나 과다한 수수료를 요구하거나 연락을 끊고 잠적해 막대한 금전 피해를 발생시킨다. 

2024년 1월 대한민국 국가사이버안보센터(NCSC)는 ‘국내 금융社 위장 사기앱 유포 주의 보안권고문’으로 투자 유도형 사기 앱을 경고하였다. 공개한 6개 사기 앱은 국내 금융사의 로고나 명칭을 무단 도용하였다.

금융 사기 앱 개발자(등록자)는 대한민국 외 다른 아시아 국가에서도 유사 수법을 이용한 투자 유도 사기 앱을 제작하였다. Google Play에서 확인된 다른 피해 국가는 대만, 일본, 인도, 말레이시아 등이 있다. 현재 대다수의 앱은 앱 스토어에서 삭제되었으나 일부 앱은 여전히 등록돼 있다.

관련 글 보기

1. 온라인 스캠: 당신은 사칭과 협박, 그리고 속임수로부터 안전하십니까?
2. 온라인 스캠: 스캠이란 무엇인가?
3. 온라인 스캠: 내 휴대전화에서 마주한 사기
4. 온라인 스캠: 협박과 농간 그리고 피해자
5. 온라인 스캠: 그저 쉽고 빠르게 돈을 벌고 싶었다
6. 온라인 스캠: 이게 가짜였다고? 진짜와 가짜를 구분하기
7. 온라인 스캠: 그 누구라도 피해가기 어려운 스캠
8. 온라인 스캠: 그래서 우리는 무엇을 어떻게 해야 할까?

[1] 출처 Global State of Scams Report 2023