범죄조직, 트로이목마 ‘빌려’ 온라인 절도 범행...메신저로 유인  

피해금액 1천만 위안에 달해...범죄자 40%가 90년대생

[보안뉴스 온기홍=중국 베이징] 중국에서 최근 피해 금액이 1,000만여 위안(18억원 가량)에 달하는 전국 최대 인터넷뱅킹 절도 사건이 발생해 이목을 끌고 있다.

중국 장쑤성 쉬저우시 공안국의 인터넷경찰대는 최근 온라인뱅킹 절도 범죄조직을 적발해 체포했다고 징화시보를 비롯한 중국 언론매체들이 일제히 전했다.

범죄조직은 신형 트로이목마 바이러스를 중국 최대 온라인 메신저 ‘QQ’를 통해 퍼뜨리고 100명에 가까운 네티즌의 온라인뱅킹 계좌에서 1,000만여 위안에 달하는 돈을 훔친 것으로 밝혀졌다.

범죄조직, 온라인 메신저 통해 네티즌에 접근

중국 매체 보도에 따르면, 장쑤성 쉬저우시에 사는 왕 모씨가 지난 3월 22일 밤 평소처럼 자신이 중국 최대 온라인쇼핑몰인 타오바오에 개설한 온라인상점에서 고객과 가격 흥정을 하고 있을 때 컴퓨터 메신저 ‘QQ’ 화면에 대화창이 떴다. ‘워아이 타오바오’라는 닉네임을 가진 한 네티즌은 파이파이망(拍拍?, 텅쉰 산하 온라인쇼핑몰) 직원을 안다면서 왕 씨가 파이파이망 온라인상점의 신용도를 높이도록 도와줄 수 있다며 접근했다. 왕 씨는 채팅을 계속하면서 상대방의 말을 믿게 됐고 경계심을 풀었다.

이 네티즌은 채팅 과정에서 왕 씨에게 소프트웨어 파일 ·건을 보내고 “즈푸바오(중국 온라인 결제 사이트)에서 우대 이벤트가 오늘 저녁까지만 진행되는데, 100위안을 금액충전하면 30위안을 선물로 받게 된다”고 말했다.

왕 씨는 이 말을 믿고 즉시 중국공상은행의 인터넷은행을 이용해 자신의 즈푸바오 계좌에 돈을 넣었다. 컴퓨터에서 1차로 2,000위안을 보내자 모니터에 ‘거인(巨人) 계좌 금액충전 성공’이라는 문구가 떴다. 그러나 자신의 즈푸바오 계좌를 조회해 본 결과, 금액충전이 되지 않은 것으로 나타났다.

왕 씨는 자신이 평소 온라인게임을 하지 않는데 중국 유명 온라인게임 업체인 ‘거인네트워크’ 내 계좌로 금액충전이 된 것에 의심을 품었다. 그리고 본인의 은행 계좌를 확인한 결과, 3만여 위안의 예금이 이미 다른 사람에 의해 거인네트워크의 계정으로 들어간 다음 게임머니로 바뀌어 있었다.

이번 사건을 맡은 쉬저우시 공안국 인터넷경찰대는 지난 3월 31일 산동성 웨이하이시에서 범죄 혐의자 린 모와 왕 모를 붙잡았다.

린 모는 지난 해 초 중국 해커 집단에서 ‘GG’라는 네티즌을 알게 됐다. ‘GG’는 린 모에게 ‘푸윈’ 트로이목마를 이용·발송하는 것을 비롯해 온라인뱅킹 결제과정 제어, 결제주소 수정, 타인의 온라인뱅킹 카드내 현금 절도 방법 등을 가르쳤다. 그리고 매월 3,000위안을 받고 트로이목마 바이러스를 린 모에게 ‘빌려’ 줬다. 범죄자 왕 모는 주로 온라인쇼핑 사이트 이용자들과 연락하는 일을 맡았는데, 이용자를 꾀어 트로이목마를 컴퓨터에 침투시킨 뒤 훔친 자금을 린 모와 나눠 가졌다.

수사전담팀은 그 뒤 한 달 여 동안 데이터 분석과 수사를 통해 58명의 ‘푸윈’ 트로이목마 절도 범죄단 조직원들을 추가 체포했다. 사건 관련 기기 112대와 은행카드 456장을 압수하고, 사기 금액 300여만 위안도 회수했다.

특히, 경찰 조사결과 범죄조직원의 역할은 세밀하게 나눠져 있었다. 트로이목마 제작자를 비롯해 백신 프로그램의 감시를 피하도록 바이러스 수정을 맡은 조직원, 트로이목마를 빌려 이용해 돈을 사취하는 ‘트로이목마 보유자’, 피해자를 유혹하는 역할을 맡은 사람, 훔친 돈을 손에 넣은 뒤 카드 세탁을 맡은 자 등 조직원들은 역할을 분담한 것으로 드러났다. 이들이 저지른 사기 건수는 30여건을 넘었다.

경찰은 ‘푸윈’ 트로이목마 사건 피해자가 100명에 이르고, 피해 금액은 1000여만 위안(18억 가량)에 달한다고 밝혔다. 이는 중국 공안부가 확인한 전국 온라인뱅킹 절도사건 가운데 최대 규모였다.

쉬저우시 공안국 인터넷경찰대 사건수사팀의 장웨이 팀장은 “이러한 숫자는 ‘푸윈’ 트로이목마가 기존 컴퓨터 바이러스에 비해 더 큰 위해성을 갖고 있다는 점을 보여준다”며, “이번 사건을 신속히 파악하지 못했으면 바이러스가 기하급수적으로 확산되면서 더 많은 네티즌을 속였을 것”이라고 강조했다.

인터넷뱅킹 절도 범죄자 40%는 90년대생

이번 중국 최대 온라인뱅킹 절도사건의 특징 가운데 하나는 범죄자들의 연령이 낮다는 점. 다수는 청소년이었으며, 22세 이하의 1990년대 출생자가 40%를 차지했다. 학력은 중학교 이수부터 대학 졸업까지 다양했다. 이들은 모두 정당한 수입원이 없었다. 온라인뱅킹 트로이목마 절도는 이들이 돈을 버는 지름길이었다. 이들은 서로 절도 경험을 주고 받으면서 범죄조직원을 빠르게 늘려 나갔다.

경찰 측은 범죄자 모두 연령이 많지 않지만 풍부한 경험을 갖고 있고 노련했다고 설명했다. 범죄자들은 수사를 피하기 위해 실제 신분정보를 사용하지 않았고, 절도에 성공한 다음에는 즉시 다른 사람을 통해 ‘카드 세탁’을 했다. 카드 세탁을 맡은 조직원은 게임 포인트 카드를 구매한 뒤, 카드를 게임회사 혹은 게이머와 거래해 현금으로 바꿨다.

범죄자들은 또 사건에 사용한 입금 계좌와 제3자 충전 계좌를 한 사건에 한 차례만 사용하는 치밀함도 보였다. 범죄 활동장소와 범행장소도 일정치 않았다. 이 때문에 경찰 측은 혐의자들을 추적 조사하는 데 큰 어려움을 겪었다.

이전 온라인 범죄는 대개 한 사람이 독자적으로 일을 꾸미거나 많더라도 몇 사람이 임시 조직을 만들어 범행을 저질렀으나, 이번 사건의 경우 범죄 조직원들이 많았으며 치밀하게 역할 분담도 했다.

범죄자들의 지역 분포도 넓은 편이었다. 중국 동북부의 헤이롱장성부터 최남단의 하이난성까지 전국 32개 도시에 퍼져 범행을 저질렀다.

신형 트로이목마, 온라인뱅킹 사기 금액도 바꿔 놓아

쉬저우시 공안국 인터넷경찰대와 다툰 파출소의 공동 조사결과, 범죄혐의자가 피해자 왕 씨에게 ‘파이파이 신규칙’라는 이름으로 보낸 파일은 ‘푸윈’(浮云)이라 불리는 신형 트로이목마 바이러스로 밝혀졌다.

이 바이러스는 피해자가 온라인뱅킹을 이용해 이체하는 과정에서 이체 정보를 몰래 훔치는 것으로 드러났다. 피해자가 이를 감지하지 못하는 상황에서 온라인뱅킹 내의 자금은 비밀리에 범죄혐의자가 지정한 게임 계좌로 넘어가게 된다.

이 ‘푸윈’ 트로이목마는 일반적인 온라인뱅킹 절도 트로이목마의 기능 외에 뛰어난 은폐성을 갖추고 있으며 백신 프로그램의 스캐닝을 피할 수 있다. 또 은행 카드 내의 자금 상황에 따라 절도 자금의 액수까지 바꿀 수 있다고 경찰 측은 밝혔다.

아울러 ‘푸윈’ 트로이목마는 실시간으로 이용자 브라우저 주소란의 URL을 감시하고, 이용자가 자금결제 행위를 할 때는 바이러스 검사·퇴치 업그레이드를 막는 것으로 밝혀졌다.

경찰 측은 “이번 인터넷뱅킹 절도에 쓰인 ‘푸윈’ 트로이목마는 조작이 간편해 네티즌의 컴퓨터에 심기만 하면 즉시 자금을 빼낼 수 있었다”고 밝혔다.

경찰 “온라인쇼핑 달인’이 가장 쉽게 속아”

경찰 측은 “범죄자들은 불특정 네티즌을 대상으로 바이러스를 발송해 범행을 저질렀지만, 피해자 집단은 상대적으로 고정됐다”고 밝혔다. 피해자들은 주로 인터넷상에서 자주 거래를 하는 네티즌들이었다. 이번 사건 피해자 중 한 명인 왕 씨처럼 온라인쇼핑 사이트에서 온라인상점을 개설한 점주들도 주요 절도 대상이었다.

경찰은 “최근 중국에서 일부 네티즌들이 온라인상점을 등록 개설한 뒤 상점을 저가에 양도하고 있는 가운데 이들 온라인상점은 범죄자들이 손쉽게 점주로 위장해 절도와 사기 범행을 저지를 수 있는 ‘외투’가 되고 있다”고 설명했다.

이와 관련 온라인 범죄자들은 일부 온라인상점을 손에 넣고 점주가 된 다음 시중가보다 훨씬 싼 상품을 올려놓고 구매 희망자들을 끌어 모으고 있다. 이어 구매 희망자와 온라인상에서 연락을 주고 받으면서 신뢰를 얻은 뒤 여러 수법을 써서 피해자에게 트로이목마 파일을 발송한다.

트로이목마는 압축파일, EXL파일, 사진 등 형식으로 포장돼 있으며, 대부분 ‘실물 사진’, ‘특가 상품’, ‘최신 가격’, ‘이벤트 규칙’ 등의 이름을 써서 구매자들을 속인다. 범죄자들은 이렇게 해서 피해자를 꾀어 트로이목마를 침투시킨 다음 절도 범행을 하게 된다.

또한, 범죄자들은 피해자의 의심을 받지 않기 위해 트로이목마 운행 때는 대화창을 띄어 주의를 다른 곳으로 끌고, 피해자로 하여금 프로그램에 문제가 생겨도 조작을 중단할 수 없게 했다.

이용자가 온라인 결제를 한 이후, 범죄자들은 트로이목마를 이용해 은행 쪽에서 이용자에 보낸 확인정보를 수정하고, ‘결제 실패’라는 웹페이지 화면을 띄우기도 한다. 이 때문에 많은 이용자들은 온라인 결제를 재차 시도하고 동시에 여러 차례에 걸쳐 자금을 도난 맞게 된다.

경찰 측은 “이번 사건 피해자들은 범죄혐의자와 인터넷 채팅 과정에서 본인의 일부 개인정보를 누출했다”고 지적하고, “인터넷 채팅시 접근해 오는 낯선 사람을 쉽게 믿지 말고, 이들에게 은행카드 정보를 말해서는 안 된다”고 당부했다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>