[이슈&인물] 금융보안원 침해위협분석팀 "보이스피싱 상위 3개 조직이 92% 유포 담당... 지속 추적 중"

보이스피싱 조직도 진화한다. 이전에는 납치당한 아들ㆍ딸 흉내를 내며 어설프게 금품을 요구했다면, 최근에는 더욱 지능적인 범죄 양상을 띤다. 피해자의 스마트폰을 해킹해 활동을 관찰하거나, 보이스피싱 조직을 금융회사 등으로 위장하는 식이다.

신종 코로나바이러스 감염증(코로나19)도 보이스피싱을 추동했다. 한국인터넷진흥원(KISA)의 발표에 따르면 휴대전화 불법 스팸 신고ㆍ탐지량은 2020년 하반기 1717만 건에서 2021년 상반기 1966만 건으로 15% 증가했다. 특히 은행사칭 불법 스팸은 2021년 1분기 16만 건에서 2021년 2분기 29만 건으로 81% 급증했다.

금융보안원은 사이버 프로파일링을 진행, 보이스피싱 조직의 실마리를 잡았다. 통상 프로파일링은 범죄수사에서 사건 현장에 남겨진 증거나 범행 패턴을 분석해 범인을 특정짓는 방식이다. 금융보안원은 자체 탐지ㆍ수집한 보이스피싱 악성 앱 5000여 개를 분석해 각 조직의 특성을 뽑아냈다.

◇보이스피싱 3개 조직, 전체 악성 앱 수집 건수 중 92% 차지

▲금융보안원 침해위협분석팀 장운영(오른쪽부터) 팀장, 김귀주 대리, 장민창 과장이 14일 경기 용인 금융보안원 회의실에서 이투데이와 인터뷰를 하고 있다. 고이란 기자 photoeran@ (이투데이DB)

이투데이는 최근 금융보안원 경기도 용인 죽전 신사옥에서 금융보안원 침해위협분석팀 구성원들을 만나 인터뷰를 진행했다. 사이버 위협 인텔리전스 보고서 '보이스피싱 악성 앱 유포조직 프로파일링' 집필에 참여한 팀원들이다. 금융보안원은 침해위협분석팀을 꾸려 금융권과 관련된 악성코드(악성 앱 포함), 취약점, 위협정보를 분석하고 금융권에서 활용하는 소프트웨어에 대한 버그바운티(bug bountyㆍ기업의 서비스나 제품에 대한 취약점을 발견해 제보하고 포상금을 받는 제도) 사업을 진행하고 있다.

김귀주 금융보안원 침해위협분석팀 대리는 "악성 코드 개발자들도 코드를 짜기 위해 계속 공부하거나 침투 방법을 바꾼다"라며 "며칠 만에 코드를 계속 업데이트하기도 하는 만큼, 새로 짠 코드도 가릴 수 있는 탐지 방식을 갖추려고 한다"라고 설명했다.

분석에 따르면 전체 악성 앱 수집 건수 중 약 92%가 상위 3개 조직에 의해 유포됐다. 유포 조직은 △전화 발신 가로채기 관련 정보 저장 방식 △전화 발신 가로채기 방식 △전화 수신 위장 관련 정보 저장방식 △전화 수신 모니터링 방식 △안드로이드 앱에서 추출할 수 있는 정보를 기준으로 구분했다. 각 조직이 가지고 있는 키워드를 따 SMVoice, SecretVoice, KKVoice라고 명명하고 있다.

김 대리는 "악성 앱의 코드나 기능에도 유행이 있다"라며 "분명 같은 개발자는 아닌데, 한 조직에서 라이브스트리밍 기능이나 전화 수신 기능을 넣으면 다른 조직에서도 추가하는 패턴"이라고 회상했다.

보이스피싱 조직은 직장인의 패턴에 맞춰 움직이기도 했다. 해당 팀이 악성 앱 유포 시간대를 분석한 결과 오전 9시부터 오후 6시까지 가장 많이 탐지됐다. 우리나라 업무 시간과 유사하게 유포 활동이 수행된다는 의미다. 요일별로도 월요일부터 금요일까지는 하루 200~300건 이상 탐지되는 반면, 토요일과 일요일에는 50건 이하가 탐지되는 양상을 보였다.

김 대리는 "우리나라가 타깃이다 보니 대상에 맞춰 공격하는 듯하고, 은행 업무가 좀 일찍 끝나다 보니 평일 업무 시간에 가장 많이 탐지되곤 한다"라며 "새벽에도 종종 올라오긴 하지만 평일 대비 건수가 확연히 차이가 나는 편"이라고 말했다.

금융보안원이 보이스피싱 앱을 분석한 건 처음이 아니다. 2018년에도 인텔리전스 보고서 '보이스피싱 악성 앱 프로파일링'을 발간했다. 악성 앱 3000여 개를 뜯어보고 유포 방식에 대해 분석했다. 당시 금융보안원은 모니터링 강화 차원에서 악성 앱 탐지기법을 피싱탐지시스템에 추가하겠다고 밝힌 바 있다.

장운영 금융보안원 침해위협분석팀 팀장은 "지금은 올해 신설된 모바일보안팀에서 모니터링을 담당하고 있다"라며 "모바일 악성 앱을 기반으로 한 보이스피싱 앱이 굉장히 많이 늘어나면서 금융보안원의 피싱탐지시스템에도 보이스피싱 악성 앱을 탐지 수집하는 기능이 더해졌다"라고 배경을 밝혔다.

이어 "그간 축적한 금융보안원의 분석 기술로 악성 앱을 탐색·수집하고, 앱 특징 및 IP 주소 등 주요 지표들을 추출하여 탐지 기법을 지속해서 보강한다"라며 "추가 피해가 발생하지 않도록 한국인터넷진흥원(KISA)에 유포지 차단 신고까지 원스톱(One-Stop)으로 체계화하고 있다”라고 덧붙였다.

김 대리도 "2018년에는 정보탈취나 가로채기가 주였다면, 최근에는 오디오 녹음을 비롯해 전화번호부ㆍ문자정보ㆍ위치정보 등 기본적으로 나와 있는 기능을 활용하는 양상을 띤다"라고 부연했다.

◇알 수 없는 링크 클릭 금지…백신 앱 설치로 상당 부분 피해 막을 수 있어

(사진=금융보안원 사이버 위협 인텔리전스 보고서 '보이스피싱 악성 앱 유포조직 프로파일링' 발췌)

금융보안원 침해위협분석팀은 보이스피싱의 유인 수법에 대해 언질하기도 했다. '소상공인 햇살론', '대출알선', '긴급민생지원 특별지원' 등을 키워드로 공격을 시도한다는 것이다. 고용노동부나 신용보증재단 등 국가 기관 등을 사칭하는 경우에 대해 각별히 주의를 기울여야 한다고 전했다.

장민창 침해위협분석팀 과장은 "어떤 경로로 개인에 대한 정보를 갖고 있는지는 알 수 없지만, 피해 대상에게 어느 항목으로 대출이 얼마가 있고 어느 정도를 갚으셔야 대환대출할 수 있다는 식으로 유도한다"라며 "이후 애플리케이션(Applicationㆍ앱)을 깔게 하고 입금을 유도하는 만큼 주의가 필요하다"라고 당부했다.

이어 "대출알선 문자를 보고 상담을 하겠다고 전화를 하는 이들을 데이터베이스화해 공격을 감행하는 것으로 보인다"라고 덧붙이기도 했다.

김귀주 대리 또한 "문자를 보고 사람들이 (대상 보이스피싱 조직에) 전화를 해야 전화 가로채기가 성립된다"라며 "이후 보이스피싱 조직이 요구하는 앱을 깔게 되면 감염된 사람들의 전화번호부를 탈취할 수 있는 만큼 상당히 능동적으로 움직이는 양상"이라고 덧붙였다.

보이스피싱 앱을 내려받지 않는 것만으로도 큰 피해를 막을 수 있다는 설명도 함께했다. 문자나 메신저 앱을 통해 전달된 링크를 클릭하면 감염되는 경우가 많은 만큼, 링크에 대한 각별한 주의도 당부했다.

김 대리는 "누군가가 카카오톡이나 SMS를 통해 주는 앱을 깔지만 않아도 많은 부분이 해결된다"라며 "특히나 은행 앱은 무조건 플레이스토어에서 받아야 한다"라고 강조했다.

악성 보이스피싱 앱을 차단하는 백신 프로그램에 대해 설명하기도 했다. 시중에 나와 있는 백신 앱들은 직접 보이스피싱 앱을 탐지하고 분석하는 금융보안원에서도 필수적으로 사용하고 있다. 해당 팀은 일반 이용자들의 피해 예방에 백신 앱이 큰 도움이 될 것이라는 점을 누차 강조했다.

김 대리는 "보이스피싱 앱을 차단하는 앱도, 백신도 이미 모두 있다"라며 "주변에 스마트폰 백신을 다운로드한 사람이 흔치 않은데, 백신만으로도 많은 공격을 차단할 수 있다"라고 조언했다.

금융보안원 침해위협분석팀은 향후 몸캠피싱에 대한 분석도 진행할 계획이다. 몸캠피싱은 랜덤채팅이나 SNS, 온라인 커뮤니티 등에서 여성으로 위장한 사기 조직원들이 대상자에게 접근, 몸캠을 빌미로 영상을 불법 촬영한 후 지인들에게 유포하겠다고 협박하며 금품을 갈취하는 사기다.

장민창 과장은 "보이스피싱과 몸캠피싱 모두 악성 앱을 기반으로 동작한다는 공통점이 있다"라며 "둘 사이 연관성이 일부 확인된 만큼, 몸캠피싱에 대한 새로운 부분도 살펴보려 한다"라고 설명했다.

통상 몸캠피싱 앱은 카메라를 통해 녹화하는 것으로 여겨진다. 금융보안원 침해위협분석팀의 설명에 따르면 미리 채팅이나 다른 방법으로 상대의 영상을 촬영하고, 몸캠피싱 앱을 통해 정보를 탈취한다.

김 대리는 "몸캠피싱 앱 설치로 전화번호를 탈취하고 가족이나 친구 등에게 협박하는 용도로 쓰인다"라며 "결국 사용자 휴대폰에 있는 주요 정보를 빼돌리는 만큼 보이스피싱 앱과의 공통점이 있다"라고 전했다.

이어 "지금 이 순간에도 보이스피싱 앱이 배포되고 있고, 기존에는 대출을 빌미로 삼았다면 최근에는 해외 직구 등을 사칭하는 경우가 많다"라며 "기존에 보고 있던 조직들의 연관성이나 신규 조직에 대해서도 살펴볼 것"이라고 향후 계획을 밝혔다.