[박춘식 교수의 보안이야기] 안전한 웹 액세스 서비스 제공업체인 미국의 Trusteer가, 스마트폰 디바이스를 노린 새로운 위협을 보고하고 있다. 대부분의 온라인 뱅킹 서비스에서 채용되고 있는 원타임패스워드(OTP）인증을 빠져나가는 2종류의 새로운 사기 공격 수법이다.
 
종래의 공격에서는 공격자가 타켓의 전화번호를 변경해서, OTP 정보가 자신들에게 송신되도록 획책하는 것이 일반적이었다. 이번에 보고된 공격수법은 종래의 것과는 아주 다르다. “이번의 새로운 사기 수법에는 공격자는 타켓을 가진 모바일 디바이스의 SIM 카드 그 자체를 빼앗으려고 하고 있다.”
 
첫번째의 공격 수법은 디바이스에 잠입한 트로이 목마「Gozi Trojan」이 온라인 뱅킹에 로그인 할 때, 가짜의 웹 페이지를 표시하여, IMEI（단말식별번호）를 속여 취하려는 것이다.
 
“IMEI을 취득한 공격자는 휴대 통신사의 콜센터에 전화해서, 휴대폰을 잃어버렸다. 또는 도난 당했다라고 말하면서 (동일 IMEI의) SIM 카드의 재발행을 의뢰한다. 새로운 SIM카드를 손에 넣게 된다면, 타켓이 그 스마트폰으로 사용하고 있던 모든 OTP를 범죄자의 수중에 있는 디바이스로 송신되도록 하는 것이 가능하게 된다.”
 
Trusteer의 마케팅 디랙터인 Oren Kedem씨에 의하면 이 공격은 주로 미국에서 보이고 있다. “이미 사기범들은 산처럼 많은 정보에 액세스 가능하지만, 그것을 악용하지는 않는다. 그들은 타켓 가운데에서도 보다 가치가 있는 고객을 찾으려고 하고 있으며, 공격은 장기적인 것이 될 것으로 예상된다”라고 하였다.
 
2번째의 공격 수법은 주로 유럽의 사용자를 노린 것이다. 범죄자는 피싱 공격의 수법을 사용하여, 크레덴샬(패스워드 등)이나 계좌명의, 전화번호와 같은 타켓 사용자의 은행 계좌 데이터를 훔친다.
 
다음으로 범죄자는 해당 경찰서에 가서, 훔친 개인정보를 사용해서 휴대 디바이스의 “분실신고접수증명서” 또는 “도난신고증명서”를 받는다. 그리고 나서 피해자에게 전화를 걸어 “당신의 휴대전화 서비스는 지금부터 12시간 정도 사용되지 않는다”라고 꾸며낸 이야기를 한다.
 
이렇게 해두고 범죄자는 경찰이 발행한 증명서를 가지고 휴대통신사의 판매점에 간다. 분실 또는 도난 신고서가 제출되어 있기 때문에 휴대 통신업자는 타켓 SIM 카드의 사용을 정지한다. 새로운 SIM 카드를 발급받은 범죄자는 타켓에 걸려오는 전화나 보내어져 오는 OTP를 훔치는 것이 가능하다. Trusteer에 의하면, OTP에 의해서 보호되고 있는 은행계좌는 비교적 송금한도액이 높게 설정되어 있으며, 감시의 눈도 그다지 엄격하지 않다고 한다.
 
이 때문에 이 계좌가 범죄자의 절호의 표적이 되고 있는 것이다. Kedem씨는, 두 가지 중 어느 공격에 대해서도 주의 깊게 대처하는 것이 제일 좋은 대책이라면서, “이곳의 Best Practice는 3가지 단계가 있다. 먼저 최초로, 금융 사기에 대항하기 위한 시큐리티 소프트웨어를 은행으로부터 받을 것. 2번째로 사전 예고가 없음에도 불구하고 은행의 웹 사이트가 개인정보의 등록변경을 요구해 올 경우에는 일체 응하지 않을 것. 마지막으로 무엇인가 이상하다고 느꼈을때는 자신이 직접 은행이 전화를 걸어서 문의해 보는 것이다”라고 답변하였다. (computer world. 2012.03.16)
[박춘식 서울여자대학교 정보보호학과 교수]