물리 보안과 정보 보안은 융합, 물리 사기와 정보 사기는 흡사

[보안뉴스 문가용] 금융관련 전화 사기 수법 하나가 새롭게 등장해 지금 미국을 비롯한 해외 금융업계가 긴장을 하고 있다. 이를 제일 먼저 발견한 핀드롭 시큐리티(Pindrop Security)는 이 공격수법을 미스다이얼 트랩(misdial trap)이라고 명명했으며 이는 금융기관뿐 아니라 금융기관을 이용하는 고객들에게도 악용될 수 있어 피해 확산이 예상된다.

미스다이얼, 즉 전화번호 잘못 누르는 것을 활용한 이번 공격은 사실 그 원리 자체는 사이버 범죄인들 사이에서 이미 널리 퍼진 것이다. 바로 특정 은행 혹은 업체의 전화번호와 아주 비슷한 번호를 사놓고 고객이나 파트너 업체 직원 중 번호를 잘못 누르기를 기다리는 수법이기 때문이다. 유명 사이트와 아주 비슷한 도메인을 사놓고 매우 유사한 악성 사이트를 제작해 사람들의 미스클릭 혹은 타이핑 오류를 기다리는 것과 똑같은 수준이다.

사기꾼들은 일곱 자리의 전화번호의 경우 첫 여섯 자리는 같게 유지하고 맨 마지막 한 자리만 다르게 한다거나, 일곱 자리를 전부 똑같이 하되 국번을 수신자 부담 번호로 바꾸는 등 가짜 번호를 마련하는 것에서부터 치밀한 모습을 보였다.

그래서 잘못 번호를 누른 고객이 전화를 해오면 고객 상담 센터인 것처럼 전화를 받고 민감한 정보를 확인차 묻는 수법으로 고객의 정보를 탈취한다. 심지어 무료로 상품권을 준다는 조건을 내걸며 유혹하기도 했다. 이 미스다이얼 트랩에 크든 작든 영향을 받은 금융 업체 및 기관은 현재까지 총 600개소 중 103개라고 핀드롭 시큐리티는 말한다.

“이런 식의 금융 사기 때문에 입는 피해액이 매년 20억 달러에 가깝습니다. 그런데 그것도 모자라는 듯 사기꾼들은 계속해서 새로운 방법을 개발하고 있지요.” 핀드롭 시큐리티의 CEO인 비제이 발라수브라마니얀(Vijay Balasubramaniyan)의 설명이다. “이번에 발견된 미스다이얼 트랩은 온라인과 오프라인의 보안 혹은 정보 보안과 물리 보안의 경계가 흐려지고 있다는 증거라고 봅니다. 또한 가장 최신 수법 중 하나라는 것도 의미가 있죠.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>