5년간 한국만 노린 외국 해커 사기수법 드러나

국내 1·2금융권 이용자를 노리고 모바일 트로이목마 악성코드와 피싱까지 동원해 온라인 사기를 벌인 국외 범죄집단의 수법이 드러났다. 보안전문가들은 한국어를 모국어로 쓰지 않는 범죄집단이 지난 2013년부터 2018년까지 5년간 인터넷에서 수행한 악성코드 및 피싱 공격 기법을 추적하고, 그 행적의 주체를 '스마트스파이(SmartSpy)'와 '헬로x스파이(HelloxSpy)'라는 두 해커그룹으로 명명했다.

중국 인터넷보안회사 치후360(Qihoo 360)의 모바일보안 전문가팀 '360비컨랩(360 Beaconlab'이 '360코어시큐리티' 공식블로그를 통해 2018년 12월 25일 발표한 분석 결과다. 이들은 5년간 한국을 직접 겨냥한 온라인 금융사기 활동 가운데 발생한 일부 악성코드 분석 결과 해커그룹이 중국어와 병음 표기를 사용했다고 지적하기도 했다. 

두 해커그룹은 한국의 중앙은행·캐피탈·저축은행 등 한국의 주요 금융업체 모바일 앱으로 가장해 이용자의 기기에서 주요 정보를 탈취하는 트로이목마 악성코드를 제작하고, 그 설치를 유도하는 인터넷 피싱 사이트를 만들어 운영했다. 이 사이트는 해외 서버를 통해 운영됐지만, 악성 앱과 사이트가 한국어 기반으로 정교하게 제작돼 대출서비스를 이용하려는 한국 인터넷 이용자를 끌어들였다. 

스마트스파이와 헬로x스파이 해커그룹의 행적은 해외발 온라인 사기를 비롯한 사이버 범죄의 지능화 추세를 보여 준다. 웹사이트가 국내 서버를 두고 운영됐다면 관련 실마리를 통해 범죄를 추적할 수 있지만, 특정 국가에서 다른 지역을 대상으로 만든 악성 앱과 사이트를 동원해 저지르는 사이버 범죄는 추적과 범죄자 검거를 어렵게 만드는 측면이 있다. 이런 경향은 올해 더 심각해질 전망이다. 

■ 5년간 온라인 사기 위해 안드로이드 트로이목마 제작 유포

360비컨랩은 지난 2013년부터 발생한 온라인사기에 동원된 일련의 트로이목마형 악성코드 군집을 수집했다. 악성코드는 한국어 인터페이스를 제공하는 국내 금융사 대출서비스용 애플리케이션처럼 가장하고 있었다. 이 악성코드에 감염된 안드로이드 스마트폰 기기는 단문메시지, 통화기록, 연락처 정보를 탈취당하고, 추후 온라인 사기에 직접 이용된다. 

악성코드 제작자는 앱을 유포하기 위해 구축된 피싱(Phishing) 웹사이트 기본 언어로도 한국어를 썼다. 하지만 360비컨랩 분석 결과 이 트로이목마 악성코드의 제작자의 모국어는 한국어가 아니었다. 피싱 사이트의 웹서버도 국외 지역에서 운영됐다. 360비컨랩 연구원들은 분석한 악성코드 샘플 다수의 발생 시기가 주요 휴일 전후 시기에 크게 요동치는 경향을 보였다고 지적했다. 

360비컨랩 연구원들은 분석된 악성코드의 패키지 명칭과 코드상의 특징을 근거로, 피싱 및 트로이목마 앱의 공격을 통한 온라인사기 활동을 벌인 범죄자들을 '스마트스파이'와 '헬로x스파이'라는 두 집단으로 구별했다. 두 해커그룹이 과거 다른 온라인사기나 사이버범죄 활동의 주체와 직접적인 연관성이 있는지, 특정한 지역에 기반을 두고 있는지 여부를 언급하지는 않았다. 

해커그룹이 한국에 유포한 트로이목마 악성코드의 로그파일 내용 일부. 중국어 단어와 병음 표기를 확인할 수 있다. [자료=360 Beaconlab]

■ 중국어 쓰고 한국 바깥 지역서 활동…한국 지역 정조준 

360비컨랩 연구원들은 두 해커그룹이 각각 유포한 트로이목마 악성코드 앱이 가장 많이 도용한 명칭 10종씩을 추려 목록으로 제시했다. 절대다수가 한국 지역에서 실제 사업장을 두고 운영되는 기업이나 금융사의 공식 앱 명칭을 도용했고, 한국어 인터페이스로 제작됐다. 이는 곧 해커그룹의 온라인사기 활동 핵심 표적이 일상적으로 한국어를 알아듣고 사용하는 한국인이라는 의미였다. 

스마트스파이가 제작해 유포한 가짜 앱의 상위 10개 이름은 ▲신한캐피탈 ▲고려저축은행 ▲China Social Insurance ▲알약 ▲NICE ▲KB국민은행 ▲WifiService ▲현대캐피탈 ▲SmartMonitor ▲현대저축은행이었다. 헬로x스파이가 만든 가짜 앱의 상위 이름은 ▲농협캐피탈 ▲현대캐피탈 ▲롯데캐피탈 ▲하나저축은행 ▲국민은행 ▲웰컴저축은행 ▲KB국민캐피탈 ▲하나캐피탈 ▲신한캐피탈 ▲KB캐피탈이었다.

360비컨랩 연구원들은 여러 악성코드 추가 분석 결과에서 파악된 세 가지 단서를 근거로 해커의 활동지는 한국 밖일 것이라 봤다. 

해커그룹이 한국에 유포한 트로이목마 악성코드의 리소스 구조. [자료=360 Beaconlab]

첫째, 생성된 악성코드 관련 로그 일부에 중국어 단어가 포함됐고, 일부 앱 리소스의 이름이 중국어를 로마자로 표기하는 병음(?音, Pinyin) 체계를 따랐다. 둘째, 제작자가 한국인이 아니라는 점이 2016년말께 깃허브 계정에 등재된 스마트스파이 악성코드 소스 작성자 정보를 통해서도 확인된다. 셋째, 'ShinhanCapital.apk'와 'hana.apk' 등 악성코드를 유포한 피싱사이트의 서버 소재지도 한국 바깥이다.

하지만 스마트스파이와 헬로x스파이, 두 해커그룹의 악성코드를 분석해 보면 통화차단, 명령제어서버와의 통신확보, 민감정보 수집, 자원 위변조, 네트워크 통신 등 동일한 기능을 다르게 구현한 경향을 볼 수 있다.

스마트스파이가 만든 트로이목마 악성코드는 감염된 기기에서 통화 기능의 'NEW_OUTGOING_CALL' 브로드캐스트를 차단하고 'setResultData'를 통해 거는 전화번호를 설정한다. 로컬 데이터베이스를 직접 읽어 민감정보를 수집한다. 가짜 인터페이스를 표시하기 위해 로컬 영역에 접근해 자원 위변조를 수행한다. 'HttpPost'를 사용해 서버와 통신한다. 

반면 헬로x스파이가 만든 트로이목마 악성코드는 감염된 기기에서 통화 기능의 'endCall()'을 호출해 전화를 끊고 'intent.action.CALL'을 호출해 전화를 가로챈다. 내장된 콘텐츠 뷰어 기능을 사용해 민감정보를 수집한다. 가짜 인터페이스를 표시하기 위해 자체 zip파일에 압축된 자료를 해제한다. 'OkHttp'를 사용해 서버와 통신한다. 

해커그룹이 유포한 트로이목마 악성코드 출처 피싱사이트 소재지가 모두 한국 지역 밖이었다. [자료=360 Beaconlab]

이밖에도 두 해커그룹이 동일한 한국 금융사를 사칭해 각각 만든 가짜 앱의 사용자 인터페이스를 나란히 견줬을 때에도 미묘한 차이를 확인할 수 있다. 

■ "트로이목마, 기기 통화 가로채 사기 성공률 높여" 

스마트스파이와 헬로x스파이에서 트로이목마 악성코드를 유포한 목적은 누군가를 감염시켜 직접 피해를 입히는 게 아니라, 그를 상대로 한 온라인사기 성공률을 높이는 것으로 요약된다.

360비컨랩 연구원의 분석 결과, 두 해커그룹이 유포한 트로이목마 악성코드는 사기 대상의 전화에 걸려 온 전화를 가로챈다. 하지만 이 시점에 곧바로 감염 피해자를 곧바로 속이려들지 않는다. 통상적인 온라인사기와의 차이점이다. 연구원은 이 트로이목마가 "(감염된 뒤) 피해자에게 걸려온 최초 통화에서 신뢰를 유지함으로써 사기 성공률을 비약적으로 끌어올린다"고 묘사했다. 

해커그룹은 잠재적 표적인 한국 이용자에게 여러 수단을 동원해 피싱 웹사이트 링크를 전달한다. 피싱사이트에 방문한 이용자는 해커그룹이 제작한 악성코드 앱을 내려받아 설치하도록 유도당한다. 예시된 가짜 웹사이트와 앱은 한국어 인터페이스를 기본 지원하며 언뜻 보기에 수상하다는 점을 알아차리기 어렵게 만들어졌다.

해커그룹이 한국에 유포한 트로이목마에 감염되지 않았을 때의 정상적인 전화 기능(왼쪽)과 감염돼 통화상대 번호가 조작된 전화 기능. [자료=360 Beaconlab]

트로이목마 악성코드가 실행되면 감염 피해자 스마트폰에서 단문메시지와 통화기록을 가로채고 통화이력을 조작한다. 또 스마트폰의 전화번호 입력 인터페이스를 조작해, 특정한 전화번호로 전화를 걸도록 유도한다. 이 시점부터 실제로 '사기' 단계에 들어가게 된다. 이 전화를 통해 어떤 대화가 오가는지는 언급되지 않았지만, 연구원은 "기본적으로 전과정을 피해자가 (사기라고) 알아차리지 못한다"고 설명했다.

트로이목마 악성코드 감염 전후 전화 기능 인터페이스 차이 예시. 정상 기기로 전화를 걸었을 때(왼쪽)는 전화를 건 상대의 번호('1 555-521-5556')가 제대로 표시된다. 감염 기기의 경우 겉보기엔 제대로 된 번호('5556')로 전화를 건 듯 보이지만(가운데) 이는 감염 피해자를 속이기 위한 표시다. 실제 걸린 전화 상태(오른쪽)를 보면 빨간 네모 표시 안의 숫자('1 555-521-5558')처럼 다른 번호로 전화가 걸린다.

■ 2013년부터 악성코드 유포·2017년 별도 그룹 포착…"현재도 활동"

360비컨랩은 최초 트로이목마 악성코드 유포 시기를 지난 2013년 8월 이후로 판단했다. 처음 유포 주체는 스마트스파이였고, 이후 2017년께 헬로x스파이 해커그룹이 따로 움직이기 시작했다. 스마트스파이와 헬로x스파이 모두, 연구원들이 분석 결과를 발표한 작년말까지 활동 중인 것으로 파악됐다. 한국에서 이들을 대상으로 한 피해 사례가 있는지, 국내 사법당국의 수사가 진행 중인지는 불분명하다.