해당 사진은 기사와 무관함/사진=게티이미지뱅크
해당 사진은 기사와 무관함/사진=게티이미지뱅크
"내 스마트폰의 카메라로 범죄 조직이 나를 훔쳐본다?"

피해자의 스마트폰 카메라를 이용해 실시간으로 피해자의 동영상을 촬영하는 보이스피싱 조직이 최근 등장하고 있다. 악성 앱이 일단 피해자의 스마트폰에 깔리면 보이스피싱 조직이 '라이브스트리밍' 기능을 이용할 수 있게 된다. 이를 몰래카메라처럼 활용하면서 몸캠 피싱까지 시도한다는 것이다. 보이스피싱 피해자가 금전적 피해에 사생활 피해까지 우려된다. 악성 앱을 이용하면 카메라 뿐 아니라 위치정보, 음성 녹취까지 빼돌릴 수 있기 때문이다. 이런 악성 앱 유포건수가 1만4000여건에 달하는 것으로 나타났다.
금융보안원 제공
금융보안원 제공
악성 앱 유포, 대만IP가 94%
금융보안원은 이같은 내용을 포함한 '보이스피싱 악성 앱 유포조직 프로파일링' 보고서를 27일 발간했다. 보이스피싱 조직의 범죄 기법과 IP국적, 악성 앱 종류 등을 분석한 보고서다. 보이스피싱 조직이 만든 악성 앱은 피해자의 전화나 문자, 심지어는 카메라와 파일까지도 가로채거나 조작하는 데 쓰인다. 대출 광고 등을 가장한 보이스피싱 조직이 피해자에게 앱 설치를 권하는 이유다.

이 보고서에 따르면 금보원이 탐지한 악성 앱 유포행위는 작년 1월부터 9월까지 총 1만5581건에 달했다. 중복사례를 제외한 악성 앱 종류는 4945건으로 집계됐다. 금융보안원은 총 1만5581건의 사례 중 1만4318건을 프로파일링한 결과도 내놨다. 3개 악성 앱 유포 조직이 전체 탐지건수의 87%, 수집건수의 92%를 차지했다.
금융보안원 제공
금융보안원 제공
대만에서 이뤄졌거나 대만을 경유한 악성 앱 유포행위가 가장 활발했다. 금보원이 악성앱을 유포한 국가별 IP를 확인한 결과 대만과 홍콩, 중국, 미국, 일본 순으로 나타났다. 전체 탐지건수 1만5581건 가운데 1만4695건은 대만으로 94%에 달했다.
'몸캠 피싱'까지 손뻗는 보이스피싱 조직
보이스피싱 조직이 개발한 몸캠피싱앱 아이콘. 금융보안원 제공
보이스피싱 조직이 개발한 몸캠피싱앱 아이콘. 금융보안원 제공
악성 앱이 설치되면 최근에는 '실시간 스트리밍'까지 가능하다고 금보원은 경고한다. 피해자의 평소 음성과 영상까지도 피해자 몰래 촬영할 수 있다는 얘기다. 피해자가 피해 사실을 알아채고 수사기관에 신고해도 보이스피싱 조직은 이미 신고사실을 알고 있기 때문에 자취를 감춘다.

더 큰 문제는 '몸캠 피싱'이 가능하다는 점이다. 위치정보나 통화 녹취내용까지도 빼가는 사례가 나타나고 있다. 금보원이 SMVoice와 KKVocie로 명명한 악성 앱 유포 3대 조직 중 두곳은 최근 몸캠 피싱 앱을 배포하기 위한 테스트를 수행했거나 실제로 배포한 것으로 드러났다.
금융보안원 제공
금융보안원 제공
'전화 위장' 기능도 최근 악성 앱에서 두드러지는 특징이다. XX은행 고객센터로 위장한 보이스피싱 조직이 악성 앱에 감염된 스마트폰으로 직접 전화를 먼저 걸어 수수료 등을 납부하라며 송금을 유도한다. 사전에 설치된 악성앱을 이용해 피해자의 통화 화면 자체를 기관의 대표번호 연결 화면으로 위장하기 때문에 알아채기 어렵다.

통화기록을 보이스피싱 조직이 아닌 금융기관 대표번호로 변경할 수도 있다. 보이스피싱 조직의 전화번호를 스마트폰에 등록된 전화번호부에 몰래 저장한 후 정상적인 번호로 위장하기도 한다. 피해자는 정상적인 금융사에서 온 전화로 잘못 인지해 피해를 입게된다는 것이다. 금보원은 "보이스피싱 조직의 능동적인 공격이 가능해져 더 많은 피해자가 발생할 수 있다"고 경고했다.

보이스피싱에 필요한 악성 앱 설치는 문자나 카카오톡, 보이스피싱 조직의 전화를 통해 이뤄진다. 대출광고로 위장해 악성 앱 주소를 보내거나, 메시지를 보고 연락한 피해자에게 악성 앱을 설치하도록 유도하는 방식이다. 이렇게 설치된 악성 앱은 단순히 금융사나 공공기관 뿐 아니라 백신업체나 OTT까지 사칭해 알아보기 어렵게 되고 있다.
데이터 차단하고 신고시 유선·지인전화 활용
악성 앱 피해를 예방하려면 모바일 백신 앱을 설치하는 게 필수다. 문자 메시지 등에 포함된 인터넷 주소를 클릭하는 것도 금물이다. 전화로 설치를 유도하면 반드시 의심할 필요가 있다. 금융사 앱은 모두 구글 플레이스토어 등 공식 앱스토어에서만 배포된다.
금융보안원 제공
금융보안원 제공
악성 앱을 실수로 설치했다면 가장 먼저 와이파이나 데이터 전송을 차단해야한다고 금보원은 권고한다. 영상이나 전화번호 등 개인정보가 계속 유출될 수 있기 때문이다. 데이터를 차단하고 악성 앱을 즉시 삭제하거나, 서비스 센터 등의 도움을 받아 스마트폰을 공장초기화하는 것도 필요하다.

신고 시에는 유선전화나 지인의 전화를 활용해야한다. 악성 앱이 깔리면 신고기관의 번호는 대부분 보이스피싱 조직으로 연결되기 때문이다. 이미 자금을 이체했다면 입금한 금융사나 송금한 금융사 콜센터에 알려 계좌 지급정지를 신청해야 한다.

박진우 기자 jwp@hankyung.com