[보안뉴스=BLACKGUEST] 핸드폰으로 QR코드를 잠깐 스캔했는데 5,000위안이나 빠져나가는 일이 발생했다.

360 온라인 보안센터에 따르면 상하이시의 쪼우씨는 최근 ‘QR코드 사기’를 당했다며 스캔한 QR코드에는 ‘은신 강도’ 트로이목마 바이러스가 삽입되어 있었다고 밝혔다. 이는 해커가 핸드폰을 조종해 핸드폰에 귀속된 온라인 지불 계좌로 돈을 빼간 것이라고 360 온라인 보안센터는 분석했다.

‘QR코드 사기’에 5000위엔 날려

주로 문과 창문의 제작과 설치 업무를 맡고 있는 타오바오의 판매자인 쪼우씨는 얼마 전, 한 낯선 사람에게서 ‘내가 사고 싶은 문과 창문의 자세한 내용을 핸드폰으로 스캔해서 봐라’라는 문구와 함께  QR코드를 보내왔다.

구매자인 줄 알고 쪼우씨는 거래 성사를 위해 즉시 핸드폰으로 스캔했지만 아무 일도 일어나지 않았고, 상대방은 ‘다운로드 및 설치한 후 열어보면 알 수 있다’며 쪼우씨를 계속 유도했다. 쪼우씨는 상대방이 유도하는 대로 클릭한 결과 ‘은신 강도’라는 트로이목마를 핸드폰에 설치하게 된 것이다.

360 온라인 보안센터에 따르면 쪼우씨가 QR코드 안에 있는 어플을 설치한 후, 해커는 연락처를 물어왔고, 연락처를 알게된 해커는이후 연락이 두절되었다고 밝혔다. 처음엔 해커의 행동에 쪼우씨도 크게 의심하지 않았지만, 한 시간 이후 자신이 타오바오에 귀속된 채팅프로그램인 왕왕에 들어갈 수 없게 되자 의심하게 됐다고 밝혔다.

이후, 쪼우씨는 비밀번호가 바뀐 것을 알 수 있었고, 인터넷뱅킹을 확인해보니, 잔액은 3,000위안이 감쪽 같이 없어졌다고 밝혔다. 또한, 인터넷뱅킹과 연결된 중국건설은행 카드에서 2,000위안이 사라졌고, 그의 계좌도 이미 모르는 전화번호로 가입된 인터넷뱅킹 계좌로 연결되어 있었다고 덧붙였다.

QR코드에 ‘은신 강도’를 삽입해 인터넷 뱅킹 지불 검증 문자 훔친다

그렇다면 해커는 어떻게 쪼우씨의 지불 계좌를 훔쳤을까? 이와 관련 보안전문가는 “쪼우씨가 QR코드를 스캔해서 설치한 어플은 최근 유행하는 ‘은신 강도’라는 핸드폰 트로이목마”라며 “핸드폰에 설치된 후, 사용자의 문자를 가로채 해커에게 보낸다”고 밝혔다.

온라인 지불 계좌는 핸드폰 번호가 계좌 아이디였기 때문에, 해커가 쪼우씨의 핸드폰 문자를 감시한 뒤, 문자 검증 방식으로 지불 계좌의 비밀번호를 바꿔서 쪼우씨의 인터넷뱅킹 지불 계좌를 조종한 것이다.

보안전문가는 “인터넷뱅킹의 ‘비밀번호 찾기’는 신분증 검증도 필요하기 때문에 공격자는 사전에 다른 방식으로 쪼우 씨의 신분증 번호를 알아냈을 가능성이 크다”고 설명했다.

‘은신 강도’ 트로이목마는 사용자 핸드폰이 받은 인터넷뱅킹에서 검증 문자를 가로채기 때문에 피해자는 해커의 해킹 행위를 즉시 파악할 수 없다. 그러나 온라인 판매자가 지불 계좌에 잔액이 남아 있을 확률이 높기 때문에 트로이목마의 중점 공격 대상이 된 것이다. 여기에 QR코드가 트로이목마를 전파시킬 때 자주 쓰이는 통로이다.

보안전문가는 “QR코드가 보인다고 스캔하지 않도록 주의해야 하고, 특히 모르는 사람이 보내오는 QR코드에 대해서는 각별히 조심해야 한다”며 “예를 들면 어플 다운로드와 로그인 페이지로 가는 QR코드를 받을 경우 즉시 해당 메시지 창을 닫아야 한다. 만약 이전에 의심 가는 QR코드를 스캔했다면 360모바일 백신 등 전문적인 보안 프로그램으로 검사해 금전적인 손실이 없도록 해야 한다”고 강조했다.
[출처: 차이나바이트(http://sec.chinabyte.com/)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>