[디지털데일리 이종현기자] 전화금융사기(보이스피싱)을 떠올리면 가장 먼저 연상되는 것은 ‘현란한 말솜씨’다. 가족이나 지인, 경찰, 검찰 등을 사칭해 방심한 이들의 금전을 갈취한다. 수신자의 방심을 노리는 것이 주된 방식이다.

그러나 단순히 말솜씨로 현혹하는 유형의 범죄는 고연령층과 같은 특정 계층이 아니고서는 잘 통하지 않는다. 보이스피싱 범죄가 워낙 활발해짐에 따라 일반인들도 학습한 덕분이다.

이에 범죄자들은 해킹 수범을 함께 사용하기 시작했다. 자신들의 전화를 경찰이나 금융기관 전화번호로 바꿔치기하는 ‘전화번호 거짓표시(변작)’이나 스마트폰 사용자의 발신 전화를 가로채는 것이 흔히 사용되는 수법이다.

◆악성 앱 이용하는 보이스피싱··· 해킹 공격과 다를바 없다

과거 범죄자들은 ‘저금리 최대한도 대출’이나 ‘대출 가능 여부 조회’ 등 금전적인 문구로 사용자를 현혹하는 일이 많았다. 최근에는 코로나19로 지자체별 지원금을 지급하자 이를 악용해 피해자를 속이는 방식으로 진화하는 중이다.

악성 애플리케이션(앱)의 기능도 고도화되고 있다. 단순히 기존 전화발신 가로채기, 문자메시지 탈취 등 기능 외에 라이브스트리밍, 명령어 실행, 전화수신 위장, 스마트폰 모니터링 등 기능이 추가됐다.

라이브스트리밍 기능은 피해자의 스마트폰에서 실시간으로 동영상을 촬영해 전송하는 기능이다. 사용자의 스마트폰을 실시간 몰래카메라로 만드는 것으로, 보이스피싱 외에 프라이버시 침해 등의 문제를 야기할 수 있다.

가령 사용자가 보이스피싱을 의심해 112에 전화를 걸면, 범죄자는 이 발신 전화를 탈취해 자신에게 오도록 해 경찰을 위장할 수 있다. 몰래카메라를 이용해 발신자의 현재 모습을 염탐하고 스마트폰 검색 데이터를 훔쳐낼 수도 있다.

한국인터넷진흥원(KISA)에 따르면 작년 7월까지 발생한 보이스피싱 피해건수는 2만여건으로, 피해액은 5000억원가량이다. 2016년 연간 보이스피싱 피해액이 1468억원이었던 것에 비해 비약적으로 늘었다. ‘알고도 당한다’는 말이 나온다.

◆국내 유통 보이스피싱 악성 앱 92%, 3개 조직에서 배포

금융보안원은 2021년 1월부터 2021년 9월까지 총 1만5581건의 보이스피싱 악성 앱 유포 행위를 탐지했다. 중복을 제외하고 발견된 악성 앱은 4945개다.

국내에 유통되는 악성 앱을 추적한 결과, 수집된 악성 앱의 92%가 상위 3개 조직에 의해 유포되는 것으로 확인됐다. 금융보안원은 보이스피싱의 접두어 보이스(Voice)와 분석 과정에서 수집한 각 조직의 특징 키워드를 결합해 ‘SM보이스’, ‘시크릿보이스’, ‘KK보이스’ 등으로 명명했다.

가장 많은 악성 앱을 만들고 유포한 것은 KK보이스다. 수집 건수 51%로, 국내에서 수집된 악성 앱의 절반가량을 해당 조직이 만든 것으로 조사됐다. 유포 탐지 건수는 36%다.

SM보이스는 악성 앱 유포 탐지와 수집 면에서 모두 2위다. 악성 앱 수집 건수 28%, 유포 탐지 건수 25%다. 3개 조직 중 악성 앱 수집 건수가 가장 낮은 시크릿보이스는 앱당 유포건수가 2개 조직에 비해 2배 이상 많아 악성 앱 수집 건수는 13%지만 유포 탐지 건수는 26%의 점유율을 차지했다.

악성 앱을 유포하는 국가 IP를 살핀 결과 대부분이 대만으로 나타났다. 1만5581건 중 94%인 1만4695건이 대만이다. 다만 IP의 경우 변작이 쉽기 때문에 심층 추적을 하지 않는 이상 유의미한 데이터로 보기는 어렵다.

금융보안원 조사에 따르면 3개 범죄 조직들은 보이스피싱뿐만 아니라 다른 범죄로도 확장하는 중이다. 협박, 개인정보 탈취 등에 활용될 것으로 추정된다. 실제 KK보이스가 배포한 몸캠 피싱 앱이 발견됐으며 시크릿보이스도 정부 사칭 앱을 유포했다. SM보이스가 몸캠 피싱 앱을 배포하기 위한 테스트 정황도 확인됐다.

금융보안원은 이들 조직에 대한 프로파일링 보고서에서 “보이스피싱 앱은 최초 등장 후 지속적으로 유포되고 있다. 피해자에게 현금을 출금해 전달하도록 유도하는 방식에서 암호화폐를 구입하게 한 뒤 편취하는 방식이 활용되는 중”이라며 “최근에는 정교하게 진화한 악성 앱이 등장해 스마트폰 이용자들을 대상으로 한 공격이 지속되고 있다”고 전했다.

또 “악성 앱은 단순히 파일만 전달되는 것이 아니라 저금리 대출, 고액 아르바이트, 사법기관 사칭 등 피해자 심리가 반영되기 때문에 보이스피싱에 대해 인지하고 있더라도 피해로 이어질 수 있다”며 “범죄자들도 분석가의 분석을 방해하려 하는 만큼 적극적인 대응이 필요할 것”이라고 진단했다.