2020-02-29 14:50 (토)
국내 스마트뱅킹 이용자 타깃 피싱용 악성앱 등장…주의!
상태바
국내 스마트뱅킹 이용자 타깃 피싱용 악성앱 등장…주의!
  • 길민권
  • 승인 2013.01.17 04:45
이 기사를 공유합니다

가짜 피싱 사이트로 접속 유도…개인 금융정보 입력토록 유혹
국내 시중은행 스마트 뱅킹용 안드로이드 앱으로 위장한 피싱용 악성 앱이 구글 플레이 공식 마켓에 등장했다. 이번에 보고된 안드로이드 악성앱은 국민은행, 우리은행, 새마을금고, 기업은행, 농협의 스마트 뱅킹 프로그램으로 사칭했고 실행 시 "안전을 위한(OTP)무료가입이벤트!"라는 가짜 메시지 창을 보여준다. 그 이후에 실제 금융사이트 도메인과 유사하게 모방한 가짜 피싱 사이트로 접속을 유도하여, 개인 금융정보를 입력하도록 유혹하고 있어 주의가 요구된다.
 
잉카인터넷 대응팀 관계자는 “기존 PC환경에서 이뤄졌던 금융보안 위협이 모바일 환경으로 번져가고 있다는 것을 알 수 있다”며 “특히 이번에 발견된 악성앱의 경우 국내 모바일 은행, 증권, 쇼핑 등의 앱 사용시 온라인모드에서 연동실행되며 단독으로는 작동되지 않는 "V3 Mobile Plus 2.0" 보안 제품처럼 교묘히 위장한 형태가 함께 발견되었다”고 밝혔다.  
 
또 “Lead Team이라는 동일한 등록자에 의해서 유포된 것이 주목된다. 제작자는 이미 국내 금융거래시 진행되는 보안절차를 사전에 대략 파악하였던 것으로 추정된다”며 “이용자들이 직접 해당 보안앱을 찾아 설치할 수 있다는 심리를 역이용했던 것으로 보인다”고 분석했다.
 
한편 1월 16일에는 ZHANG MENG이라는 등록자에 의해서 피싱용 가짜 앱이 공식마켓에서 추가 발견되었다. 이용자들의 각별한 주의가 필요하다.
 
해당 악성 앱들은 구글 플레이(Google play) 공식 마켓에서 여러가지 형태가 배포되었으며, 설치된 화면은 아래와 같다. 구글 공식 마켓에서도 안드로이드 기반의 악성 앱이 얼마든지 배포될 수 있다는 점을 유념하고, 제작사나 배포자에 대한 다양한 정보를 꼼꼼히 살펴보고 설치하는 보안의식과 습관이 필요하다.

 
각각의 설치 아이콘은 금융 전용앱과 금융연동 보안 앱(V3+)으로 교묘하게 위장하고 있지만 모두가 악성 안드로이드 앱이다.
 
"V3 Mobile Plus" 제품으로 위장한 V3+ 아이콘을 실행하게 되면 "해킹 방지시스템이 작동되였습니다.!"라는 허위내용의 알림 메시지를 보여주고, [확인]버튼을 누르게 되면 바로 종료된다. 그 이후 사용자의 동의없이 감염된 스마트폰의 전화번호를 해외에 위치한 특정서버로 유출시킨다.
 
한편 금융 전용앱으로 위장된 아이콘을 실행하면 각각 알림 메시지 창을 띄우고, "안전을 위한(OTP)무료가입이벤트!"라는 동일한 내용을 보여준다.
 
대표적으로 국민은행 스마트뱅킹 앱으로 위장된 내용을 좀더 구체적으로 살표보면 뒷 배경으로 사용되는 화면은 단순 JPG 이미지 형태로 악성파일 내부에 리소스로 존재한다.
 
먼저 알림 내용의 [확인] 버튼을 클릭하게 되면 국민은행 도메인처럼 조작된 피싱 사이트로 연결을 시도한다.
  
인터넷 사이트 주소를 자세히 보면 kbstar.com 뒤로 -1-2-3-4-5-6-7-8-9-0.com이라는 또 다른 피싱 주소가 포함된 것을 볼 수 있다. 다시 사이트로 접속이 되면 전용브라우저를 사용해야만 이용이 가능한 서비스라는 내용으로 사용자의 확인을 요청한다.
 
[확인] 버튼을 한번 더 클릭하면 "OTP신청후 이용바랍니다."라는 메시지를 보여주면서 사용자의 개인정보 입력을 본격적으로 유도하게 된다.
 
[확인]버튼을 클릭하게 되면 다시 한번 국민은행 고객센터처럼 조작된 피싱사이트 화면을 보여주게 된다.
 
이어서 [확인]버튼을 계속 클릭하게 되면 개인정보를 입력하도록 요구하는 피싱화면이 보여지게 된다.
 
웹 사이트의 소스코드를 확인해 보면, 브라우저의 접속 조건에 따라서 모바일용으로 선택적으로 보여지게 된다.
 
실제 해당 피싱 사이트는 스마트폰 이용자를 노린 모바일 형태 뿐만 아니라 컴퓨터용 피싱 화면도 함께 사용하고 있다. 해당 사이트로 정상적으로 접속이 이루어지면, "전자금융사기 예방서비스 (OTP)무료 가입이벤트!"라는 내용을 보여주면서 사용자를 현혹시킨다.
 
OTP 무료 가입 이벤트 화면부분을 클릭하게 되면 "OTP신청후 이용바랍니다."라는 내용을 보여주고, 이후에 다시 국민은행 고객센터처럼 조작된 페이지를 열어 성명과 주민번호 등을 입력하도록 유도한다. 그런 다음 계속해서 일회용 비밀번호 생성기(OTP) 신청 사이트처럼 조작한 화면을 통해서 개인정보 입력 탈취를 시도하는 것이다.
 
모든 금융정보가 입력된 후 [확인]버튼을 누르게 되면 피싱사이트는 정상적인 국민은행 사이트로 연결페이지를 변경하여 사용자로 하여금 정상적인 절차가 마무리 된 것처럼 보여준다.
 
잉카인터넷 대응팀은 “대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한 내부에 특정 오류 출력 구문 등을 삽입해 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다”며 “점차적으로 유포 및 감염에 있어 지능화되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 스마트폰 보안 관리 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법”이라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com