| 中 주요 이동전화 보안 사건·사고-4 | 2015.05.03 | ||||||
정보 유출 트로이목마와 편취·사기 목적의 피싱 증가세 [보안뉴스 온기홍=중국 베이징] 중국에서 최근 모바일 메신저 웨이신(WeChat) 사용자의 중요 정보를 빼내려는 트로이목마와 편취·사기 목적의 피싱이 크게 늘고 있는 것으로 나타났다. 또한 스마트폰에서 이뤄지는 모바일 금전 결제를 겨냥한 악성 S/W와 피싱 사이트들도 빠르게 늘고 있다. 중국에서 지난해 2월 최대 명절인 ‘춘절’ 연휴 기간에 큰 인기를 끈 새해 이벤트는 중국 최대 모바일 메신저 ‘웨이신(WeChat)’에서 이뤄진 ‘세뱃돈 받기’였다. 웨이신 서비스를 제공하는 텐센트(텅쉰, Tencent) 쪽 통계에 따르면, 설날 전날 밤부터 설날 당일 오후 4시까지 웨이신에서 진행된 ‘세뱃돈 받기’ 이벤트에 참여한 스마트폰 사용자는 500만 명을 넘었다. 최종적으로 참여자 수는 연인원 7,500만 명에 달했다. 하지만 가짜 ‘세뱃돈’도 나타났다. 많은 이동전화 사용자들은 802위안의 ‘거금’ 세뱃돈를 받았으나, 돈이 당첨자의 호주머니로 들어오지 않은 일이 적잖게 발생했다.
▲중국 최대 모바일 메신저인 ‘웨이신’에서 802위안의 새해 세뱃돈에 당첨됐다는 사기
지난해 10월 초 중국 국경절 기간에는 ‘웨이신 대도(큰도둑)’로 불린 악성 SW가 텅쉰의 이동전화 보안 SW로 위장해 스마트폰 안에 숨어 있다가 사용자의 통화를 감청하고 위치·메시지·웨이신 음성 통화 등 민감한 정보들을 훔쳤다. 이어 지난해 11월 초에는 ‘웨이신 꾸이먠’으로 불린 이동전화 트로이목마가 나타났다. 이 트로이목마는 ‘웨이신 결제 기능’으로 위장해 트로이목마 제작자로부터 메시지 명령을 받아 감염 스마트폰이 메시지를 발송하게 하고, 감염 스마트폰이 수신한 메시지들을 트로이목마 제작자에게 전달했다고 360인터넷보안센터는 밝혔다. 지난해 11월 11일 온라인 쇼핑 이벤트가 봇물을 이룬 이른바 ‘광쿤절(11·11)’에는 ‘웨이신 전화부’를 악의적으로 변조하는 한 이동전화 트로이목마가 출현했다. 이 트로이목마는 감염 스마트폰 내 연락처에 접근해 모든 사람들에게 메시지를 보냈다. 또 백그라운드에서 몰래 악성 과금 정보를 발송하고, 단말기 안에 보안SW가 설치됐는지 여부를 판단해 탐지·퇴치를 피하기까지 했다. 이와 함께 중국에서 웨이신 계정을 훔치고 지인을 사칭한 사기도 늘고 있다. 범죄 혐의자들은 다른 사람의 상반신 얼굴 사진을 내려 받고 같은 이름을 쓰는 수법으로 피해 당사자를 사칭했다. 이어 피해 당사자의 웨이신 친구 그룹 안에 있는 사람들을 상대로 사기를 벌였다. 사기 금액은 최소 수 만 위안에서 많게는 수백 만 위안에 달했다. 360인터넷보안센터는 “웨이신의 기능이 갈수록 많아지면서 일부 불법세력들은 웨이신을 겨냥해 피싱 웹주소와 이동전화 트로이목마를 써서 사기 행위를 벌이고 있다”며 “이 때문에 웨이신의 보안은 이동전화기 사용자가 소홀히 해서는 안 되는 보안 이슈로 떠올랐다”고 지적했다. 도청류 트로이목마 출현...1,000만 명 감염 피해 중국에서 지난해 4월 말 ‘프라이버시 약탈기’란 이름의 이동전화 트로이목마가 빠르게 퍼졌다. 360인터넷보안센터의 조사에 따르면, 이 트로이목마는 페이스북(facebook)으로 위장해 이동전화 보안SW의 탐지를 피하면서 스마트폰 사용자가 내려 받게 했다. 이어 360인터넷보안센터는 지난해 4월 30일 ‘도청 대도(큰도둑)’으로 불린 새로운 이동전화 트로이목마를 탐지했다. 센터는 “이 트로이목마 ‘도청 대도’의 악의적 수단은 영화에 비교할 만하다”고 평가했다. 이 ‘도청 대도’는 스마트폰에 설치된 뒤 아이콘을 숨기고 사용자의 통화와 배경음을 몰래 녹음하며, 카메라를 전용해 몰래 단말기 주변 환경을 촬영한다. 연락처와 통화기록, 메시지 내용 등 개인 정보도 빼내고, 사용자의 위치 정도도 알아 낸다. 그리고 이들 정보를 트로이목마 제작자의 메일로 발송하는 것으로 드러났다. 지난해 6월에 출현한 ‘도청 대도’ 2세대는 141종의 SW로 위장해 스마트폰 사용자를 속여 단말기에 내려 받게 했다. 2세대 트로이목마는 ‘다이얼 기기’, ‘WiFi 만능 열쇠’, ‘바이두’, ‘91 조수’, ‘타오바오’ 등 중국에서 유명한 141가지 스마트폰 앱들을 사칭했다. 이들 악성 앱은 단말기가 켜지면 자동으로 활성화하고 특정 시간에 활동을 개시하며, 메시지를 보내는 수법을 써서 도청을 진행했다. 360인터넷보안센터는 “이 악성 앱들은 시스템 내장 목록에 잠입했다”며 “이 때문에 스마트폰 사용자는 이들 악성 앱을 정상적으로 제거할 수 없게 된다”고 설명했다. 고위험급 바이러스, 10여개 은행 모바일 앱 감염 텐센트(텅쉰)의 모바일보안랩은 지난해 중국에서 모바일 결제를 노린 새로운 고위험급 바이러스 ‘a.privacy.smsto.’를 탐지했다. 이른바 ‘꾸이먠 인제이(은행 도둑)’으로 불린 이 바이러스는 중국의 은행, 금융, 재테크와 관련한 유명한 스마트폰 앱으로 위장했다. 대표적으로 중국 최대 온라인 결제 전문 사이트인 즈푸바오를 비롯해, 모바일 기기 영업점, 중국인민은행, 중국건설은행을 비롯한 10여 개 인기 모바일 앱들이 패키지 감염 대상이었다.
▲ 중국 스마트폰에서 중국건설은행의 모바일 앱을 사칭한 악성 SW가 탐지된 화면. 이 바이러스는 스마트폰에서 설치된 뒤 자동으로 아이콘을 숨긴다. 이어 사용자를 꾀어 설비관리기를 활성화하게 하고, 사용자가 제거하는 것을 방지한다. 또 메시지를 감시하면서 메시지 내용을 특정 이동전화 번호로 보낸다. 동시에 몰래 메시지 내용을 차단할 뿐 아니라 이를 특정 전화번호로 발송한다. 특히 이 바이러스는 사용자의 은행 카드번호와 비밀번호, 신분증, 성명도 훔치는 것으로 밝혀졌다. 텐센트의 모바일보안랩은 “이 바이러스는 은폐성이 강하고 메시지를 감시하며 감시 수단을 숨긴다”며 “이 때문에 스마트폰 앱에 끼치는 영역이 매우 넓고, 모바일 결제 보안의 위험도 커지고 있다”고 지적했다. ‘인렌 간첩’ 바이러스, 은행 계정·비밀번호 훔쳐 카드 도용 텐센트의 모바일보안랩은 지난해 9월 4일 자체 이동전화 보안SW를 써서 모바일 결제를 노린 새로운 바이러스를 탐지했다. ‘인롄 간첩’로 불린 이 바이러스는 중국 최대 카드사인 ‘중국인롄(China Union Pay)’의 모바일 앱으로 위장해 스마트폰 사용자를 꾀어 단말기에 내려 받아 설치하게 한다. 그 뒤 사용자의 은행 계정과 비밀번호 같은 정보 절취에 나선다.
▲ 중국 스마트폰에서 중국 최대 카드사인 중국인롄(China Union Pay)의 모바일 앱으로 위장 이 바이러스는 감염 스마트폰의 번호를 이용해 온라인 결제 전문 툴에 가입한 뒤 ‘간편 결제’를 진행하고, 피해자의 은행 카드를 도용한다. 텐센트의 모바일모안랩은 “이 모바일 결제 겨냥 바이러스의 지능화 정도는 매우 높다”며 “예컨대 설비관리기 활성화를 통해 메시지 발송 권한을 얻을 수 있고, 가짜 은행 웹 화면을 띄울 수도 있다”고 밝혔다. 또한 이 바이러스는 스마트폰 사용자를 꾀어 신용카드 번호, 카드 뒷면 서명란 뒤 세 자리 숫자 ‘CVV2 번호’, 유효기간 등 정보를 해커에게 보낸다. 해커는 이들 정보를 써서 피해자의 신용카드를 몰래 사용하게 된다. 텐센트 츠은 “이 바이러스의 출현은 모바일 결제류 바이러스가 고위험화로 나아가고 있다는 신호”라고 설명했다. 트로이목마, 中 최대 온라인 결제 사이트 내 돈 몰래 훔쳐 중국 360인터넷보안센터는 지난해 10월 24일 안드로이드 OS 관련 SW를 악용한 새로운 트로이목마들을 찾아냈다. 이른바 ‘타오파이 목마’란 이름이 붙은 이 트로이목마들은 감염 스마트폰 내 연락처에서 ‘아빠’, ‘엄마’, ‘형’, ‘누나(언니)’란 이름으로 저장된 전화번호를 수정할 수 있다. 나아가 이들 트로이목마는 중국 최대 온라인 결제 전문 사이트인 즈푸바오(alipay)의 정식 앱 화면을 피싱 웹페이지 화면으로 바꾼 다음, 피해자의 즈푸바오 계정과 비밀번호를 빼내는 것으로 드러났다. 또한 이 ‘타오파오 목마’ 계열 트로이목마들은 감염 스마트폰 안의 메시지와 통화기록, 연락처 내 사람 등 중요 정보들을 훔친다고 360인터넷보안센터는 밝혔다. [중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||
 |
