• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[中 상반기 정보보안 결산 ⑧] 모바일 결제류 바이러스 ‘창궐’ 2014.08.22

상반기 바이러스 8만2,600개 탐지...693만명 감염 피해

결제 인증번호 차단, 메시지 몰래 발송·전달 트로이목마 늘어


[보안뉴스 온기홍=중국 베이징] 올해 상반기 중국에서 스마트폰 상의 모바일 금액 결제(지불)을 노린 바이러스들이 더욱 널리 퍼진 것으로 나타났다. 이들 바이러스는 스마트폰으로 전송되는 금액 결제 관련 인증번호 메시지를 감시·통제하고, 이를 특정 이동전화 번호로 보내 사용자의 돈을 훔쳐가는 것으로 드러났다.


중국 텅쉰(Tencent)의 ‘모바일 보안 랩’은 자체 이동전화 보안솔루션을 써서 지난 상반기에 모바일 결제를 겨냥한 바이러스 8만2,635개를 찾아냈다고 최근 밝혔다. 지난 상반기 중국에서 모바일 결제류 바이러스에 감염된 스마트폰의 사용자 수는 693만4,000명에 달했다. 이로써 지난 6월말까지 모바일 결제류 바이러스 감염 스마트폰 사용자 누계 수는 1,482만6,600명으로 늘었다.


텅쉰의 모바일 보안 랩은 “최근 모바일 결제류 바이러스는 각 경로에서 다양화한 신형 수단을 통해 스마트폰을 공격하고 있다”며 “모바일 인터넷이 한층 더 발전하면서 모바일 결제의 안전에 그늘이 퍼지고 있다”고 지적했다. 특히 스마트폰상 금액 결제의 안전 위험이 나날이 많아진 것은 모바일 전자상거래의 핵심 부분인 검증번호 메시지와 관련이 있다고 텅쉰은 밝혔다.


中 상반기 대표적 모바일 결제 노린 바이러스

텅쉰의 모바일 보안 랩은 자체 이동전화 보안솔루션을 이용한 모니터링과 스마트폰 사용자의 신고를 종합해, 지난 상반기 중국내 전형적인 모바일 결제류 바이러스로 △privacy.diaosi △expense.fakeprovider.f. △expense.exa.c. △privacy.smsto. △privacy.nickspy.a. 등을 꼽았다.

이들 바이러스의 특징을 살펴보면, 먼저 ‘privacy.diaosi’는 ‘쟈이난 film’을 포함한 음란물 동영상 관련 스마트폰 애플리케이션(앱)을 감염시켰다. 이 바이러스는 사용자를 꾀어 이런 앱들을 내려 받아 스마트폰에 설치하게 한다.


또 금액 결제 확인 메시지의 수신을 차단할 뿐 아니라 금액 결제 인증번호를 특정한 곳으로 업로드한다. 이로써 모바일 쇼핑(구매) 사용자의 은행카드 내 자금이 도난당하게 된다.


이른바 ‘은행털이 자객’으로 불리는 ‘expense.fakeprovider.f.’ 바이러스는 모바일 뱅킹 앱으로 위장해 여러 이동전화기 정보사이트와 온라인 앱 마켓에 유포된다. 스마트폰 사용자가 이를 설치해 활성화하게 되면, 이 바이러스는 자동으로 메시지를 지정된 계정으로 발송하고 사용자의 민감한 정보를 훔친다. 동시에 해커는 메시지 지령을 통해 사용자의 스마트폰을 제어할 수 있다.


가짜 ‘은행 조수’란 이름의 ‘expense.exa.c.’ 바이러스는 지금까지 ‘우편 업그레이드 조수’, ‘건설은행 업그레이드 조수’, ‘금융 쉬운 대출’, ‘중국은행 모바일 조수’, ‘공상은행 조수’ 등 여러 모바일 뱅킹 금액 결제류 앱들을 감염시켰다. 이 바이러스는 사용자의 특정 메시지를 차단할 뿐 아니라 몰래 메시지를 발송하는 등 사용자의 금전 안전에 영향을 미치고 악의적으로 이동전화 요금을 늘린다.


‘은행 도둑’으로 불리는 ‘privacy.smsto.’ 바이러스의 경우, 은행, 금융, 재테크 같은 인기 스마트폰 앱으로 위장해 사용자가 내려 받도록 속인다. 스마트폰에 설치되면, 사용자의 은행 아이디와 암호, 신분증, 이름 같은 정보를 훔친다. 또 몰래 메시지를 차단하는 동시에 메시지 내용을 지정된 전화번호로 보낸다.


▲ 2014년 상반기 중국에서 스마트폰 상 모바일 금액 결제를 겨냥한 전형적인 바이러스 (출처: 중국 텅쉰의 모바일 보안 랩)

바이러스 ‘privacy.nickspy.a.’는 은행 결제류 스마트폰 앱으로 위장해 스마트폰에 설치된 뒤 스마트폰이 켜지면 활동을 개시해 메시지를 훔쳐 본다. 동시에 메일을 통해 메시지의 내용을 해커가 지정한 메일주소로 발송하고, 사용자의 메시지를 지정된 이동전화 번호로 전달한다. 이로써 사용자에게 요금 소모와 프라이버시 유출 피해를 입힌다.


이를 종합해 볼 때, 스마트폰 상 금액 결제 관련 인증번호를 감시·통제하고 인증번호를 훔쳐 돈을 빼내는 것은 모바일 결제류 바이러스의 공통된 특징이다.


텅쉰의 모바일 보안 랩은 “해커로서는 쉽게 ‘산쟈이’(불법 복제) 앱 아이콘으로 스마트폰 사용자를 꾀어 은행 계정과 암호 등을 입력하도록 하고, 사용자의 금액 결제 정보를 수집한다”며 “하지만 만일 사용자의 인증번호를 얻을 수 없게 되면 사용자의 금전도 훔칠 수 없다”고 설명했다.


텅쉰의 모바일 보안 랩의 모니터링 결과, 해커와 사기범죄 조직은 ‘가짜 기지국’을 중국이동통신(차이나 모바일)의 대표 전화번호인 ‘10086’으로 가장해 스마트폰 사용자에게 ‘적립 포인트를 현금으로 교환해 준다’는 메시지를 보내는 것으로 드러났다. 또 해커는 이런 메시지 안에 피싱 웹주소를 넣고 있다.


일부 스마트폰 사용자는 중국이동통신의 ‘10086’에서 발송한 메시지를 보고 무심코 메시지내 요구에 따라 특정 (피싱 사이트) 웹주소를 방문해 개인 정보(신분증 번호, 이동전화 번호, 은행 계좌 번호)를 입력하고, (바이러스 삽입) 스마트폰 앱을 설치했다.


이어 해커와 사기범죄 조직은 바이러스를 투입한 스마트폰 앱을 통해 구매·금액 결제 관련 인증번호가 담긴 메시지를 훔쳐보고, 이를 사전에 지정한 이동전화 번호로 보낸다. 그 뒤 이들 조직은 인증번호를 통해 스마트폰 사용자의 은행카드를 몰래 쓰는 것으로 밝혀졌다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]


     <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>