지난해 보이스피싱 관련 악성 애플리케이션(앱)이 전년 대비 약 4배 증가한 것으로 나타났다. 단순 금융기관 사칭 앱부터 사용자 정보 탈취, 통화 연결음 삽입, 가짜 화면 복사 등 범죄 수법은 시간이 갈수록 교묘해지고 있다.
최근 블랙마켓 중심으로 국내 학부모, 학생 등 개인정보 데이터베이스(DB)가 통째로 유통되면서 관련 범죄가 더욱더 치밀하게 증가할 것으로 예상돼 사용자 주의가 요구된다.
25일 안랩시큐리티대응센터(ASEC)의 보이스피싱 관련 조사에 따르면 지난해 보이스피싱 악성 앱은 4629건이었다. 2017년 1191건과 비교해 약 4배 늘었다. 2014~2016년에 300건 안팎을 넘나들던 수치는 2017년을 기점으로 증가, 지난해 다시 한 번 역대 증가폭을 넘어섰다.
악성 앱은 구글·페이스북·네이버 등 주요 포털, 사회관계망서비스(SNS)뿐만 아니라 은행, 상호금융, 정부기관 등 다양한 앱을 사칭해 사용자에게 다운로드를 유도한다.
악성 앱 공격 방식은 상상을 넘어선다. 일반적으로 보이스 피싱 공격자가 전화를 건다고만 생각하지만 사용자가 특정 기관으로 전화할 때도 보이스피싱이 가능하다. 지인 회사에서 걸려온 것처럼 보이는 전화도 공격자일 가능성이 있다.
지난해 하반기에 발견된 악성 앱 '스포브(Android-Trojan/Spov)'는 사용자가 특정 번호로 전화를 걸 때 중간에서 가로채 공격자에게 연결한다. 과거 '카이시(Android-Trojan/Kaishi)'가 가짜 화면을 덮어씌우는 조악한 방법을 활용했다면 스포브는 사용자 몰래 미리 연락처를 등록, 잘못된 곳으로 전화를 거는지조차도 알지 못한다.
피싱앱(Android-Dropper/PhishingApp)도 발견됐다. 피싱앱은 피해자 발신 전화를 끊고 공격자 번호로 다시 전화한다. 매우 짧은 시간에 해당 과정이 진행, 피해자가 눈치도 채지 못한다.
안랩 관계자는 “발신을 가로채 공격자에게 자동 연결하도록 유도하는 번호는 1000개에 이를 정도로 국내 대부분의 금융기관, 수사기관 전화번호 사칭이 가능하다”면서 “악성 앱이 설치된 피해자가 특정 기관 번호로 전화를 걸면 공격자에게 전화가 연결되고, 공격자는 기관인 척 피해자를 속여 송금을 유도한다”고 설명했다.
문제는 향후 보이스피싱 관련 피해가 더 증가할 수 있다는 우려다. 실제로 금융감독원에 따르면 지난해 1~10월 보이스피싱 피해액은 3340억원인 것으로 집계돼 역대 최고치를 기록했다. 2016년 1924억원에서 2017년 2431억원으로 26.3% 증가했지만 지난해 10월 기준 전년 말 대비 83.9%(1524억원) 증가했다.
더욱이 최근 블랙마켓에서는 학생, 학부모, 의료기관 종사자 등 특정 직업과 특성을 분류한 개인정보가 뭉텅이로 유통되고 있다. 이들 개인정보가 악성 앱과 결합되면 더욱 교묘하고 치밀해지기 때문에 사기 여부 판단은 더 어렵다.
업계 관계자는 “보이스피싱 관련 악성 앱은 빠르게 증가할 뿐만 아니라 전화번호 은닉 방법과 발신 전화 가로채기 등 범죄 수단도 연구를 지속, 관련 피해는 더 증가할 것으로 보인다”면서 “출처를 알 수 없는 앱 설치를 피하고, 백신 업데이트 생활화 등 악성 앱 설치부터 막아야 한다”고 조언했다.
보이스피싱 악성 앱 증가 추이 (단위:건)
자료:안랩
정영일기자 jung01@etnews.com
