이상금융거래연구실

국내 1·2금융권 이용자를 노리고 모바일 트로이목마 악성코드와 피싱까지 동원해 온라인 사기를 벌인 국외 범죄집단의 수법이 드러났다. 보안전문가들은 한국어를 모국어로 쓰지 않는 범죄집단이 지난 2013년부터 2018년까지 5년간 인터넷에서 수행한 악성코드 및 피싱 공격 기법을 추적하고, 그 행적의 주체를 '스마트스파이(SmartSpy)'와 '헬로x스파이(HelloxSpy)'라는 두 해커그룹으로 명명했다.

중국 인터넷보안회사 치후360(Qihoo 360)의 모바일보안 전문가팀 '360비컨랩(360 Beaconlab'이 '360코어시큐리티' 공식블로그를 통해 2018년 12월 25일 발표한 분석 결과다. 이들은 5년간 한국을 직접 겨냥한 온라인 금융사기 활동 가운데 발생한 일부 악성코드 분석 결과 해커그룹이 중국어와 병음 표기를 사용했다고 지적하기도 했다. 

두 해커그룹은 한국의 중앙은행·캐피탈·저축은행 등 한국의 주요 금융업체 모바일 앱으로 가장해 이용자의 기기에서 주요 정보를 탈취하는 트로이목마 악성코드를 제작하고, 그 설치를 유도하는 인터넷 피싱 사이트를 만들어 운영했다. 이 사이트는 해외 서버를 통해 운영됐지만, 악성 앱과 사이트가 한국어 기반으로 정교하게 제작돼 대출서비스를 이용하려는 한국 인터넷 이용자를 끌어들였다. 

스마트스파이와 헬로x스파이 해커그룹의 행적은 해외발 온라인 사기를 비롯한 사이버 범죄의 지능화 추세를 보여 준다. 웹사이트가 국내 서버를 두고 운영됐다면 관련 실마리를 통해 범죄를 추적할 수 있지만, 특정 국가에서 다른 지역을 대상으로 만든 악성 앱과 사이트를 동원해 저지르는 사이버 범죄는 추적과 범죄자 검거를 어렵게 만드는 측면이 있다. 이런 경향은 올해 더 심각해질 전망이다. 

■ 5년간 온라인 사기 위해 안드로이드 트로이목마 제작 유포

360비컨랩은 지난 2013년부터 발생한 온라인사기에 동원된 일련의 트로이목마형 악성코드 군집을 수집했다. 악성코드는 한국어 인터페이스를 제공하는 국내 금융사 대출서비스용 애플리케이션처럼 가장하고 있었다. 이 악성코드에 감염된 안드로이드 스마트폰 기기는 단문메시지, 통화기록, 연락처 정보를 탈취당하고, 추후 온라인 사기에 직접 이용된다. 

악성코드 제작자는 앱을 유포하기 위해 구축된 피싱(Phishing) 웹사이트 기본 언어로도 한국어를 썼다. 하지만 360비컨랩 분석 결과 이 트로이목마 악성코드의 제작자의 모국어는 한국어가 아니었다. 피싱 사이트의 웹서버도 국외 지역에서 운영됐다. 360비컨랩 연구원들은 분석한 악성코드 샘플 다수의 발생 시기가 주요 휴일 전후 시기에 크게 요동치는 경향을 보였다고 지적했다. 

360비컨랩 연구원들은 분석된 악성코드의 패키지 명칭과 코드상의 특징을 근거로, 피싱 및 트로이목마 앱의 공격을 통한 온라인사기 활동을 벌인 범죄자들을 '스마트스파이'와 '헬로x스파이'라는 두 집단으로 구별했다. 두 해커그룹이 과거 다른 온라인사기나 사이버범죄 활동의 주체와 직접적인 연관성이 있는지, 특정한 지역에 기반을 두고 있는지 여부를 언급하지는 않았다. 

해커그룹이 한국에 유포한 트로이목마 악성코드의 로그파일 내용 일부. 중국어 단어와 병음 표기를 확인할 수 있다. [자료=360 Beaconlab]

■ 중국어 쓰고 한국 바깥 지역서 활동…한국 지역 정조준 

360비컨랩 연구원들은 두 해커그룹이 각각 유포한 트로이목마 악성코드 앱이 가장 많이 도용한 명칭 10종씩을 추려 목록으로 제시했다. 절대다수가 한국 지역에서 실제 사업장을 두고 운영되는 기업이나 금융사의 공식 앱 명칭을 도용했고, 한국어 인터페이스로 제작됐다. 이는 곧 해커그룹의 온라인사기 활동 핵심 표적이 일상적으로 한국어를 알아듣고 사용하는 한국인이라는 의미였다. 

스마트스파이가 제작해 유포한 가짜 앱의 상위 10개 이름은 ▲신한캐피탈 ▲고려저축은행 ▲China Social Insurance ▲알약 ▲NICE ▲KB국민은행 ▲WifiService ▲현대캐피탈 ▲SmartMonitor ▲현대저축은행이었다. 헬로x스파이가 만든 가짜 앱의 상위 이름은 ▲농협캐피탈 ▲현대캐피탈 ▲롯데캐피탈 ▲하나저축은행 ▲국민은행 ▲웰컴저축은행 ▲KB국민캐피탈 ▲하나캐피탈 ▲신한캐피탈 ▲KB캐피탈이었다.

360비컨랩 연구원들은 여러 악성코드 추가 분석 결과에서 파악된 세 가지 단서를 근거로 해커의 활동지는 한국 밖일 것이라 봤다. 

해커그룹이 한국에 유포한 트로이목마 악성코드의 리소스 구조. [자료=360 Beaconlab]

첫째, 생성된 악성코드 관련 로그 일부에 중국어 단어가 포함됐고, 일부 앱 리소스의 이름이 중국어를 로마자로 표기하는 병음(?音, Pinyin) 체계를 따랐다. 둘째, 제작자가 한국인이 아니라는 점이 2016년말께 깃허브 계정에 등재된 스마트스파이 악성코드 소스 작성자 정보를 통해서도 확인된다. 셋째, 'ShinhanCapital.apk'와 'hana.apk' 등 악성코드를 유포한 피싱사이트의 서버 소재지도 한국 바깥이다.

하지만 스마트스파이와 헬로x스파이, 두 해커그룹의 악성코드를 분석해 보면 통화차단, 명령제어서버와의 통신확보, 민감정보 수집, 자원 위변조, 네트워크 통신 등 동일한 기능을 다르게 구현한 경향을 볼 수 있다.

스마트스파이가 만든 트로이목마 악성코드는 감염된 기기에서 통화 기능의 'NEW_OUTGOING_CALL' 브로드캐스트를 차단하고 'setResultData'를 통해 거는 전화번호를 설정한다. 로컬 데이터베이스를 직접 읽어 민감정보를 수집한다. 가짜 인터페이스를 표시하기 위해 로컬 영역에 접근해 자원 위변조를 수행한다. 'HttpPost'를 사용해 서버와 통신한다. 

반면 헬로x스파이가 만든 트로이목마 악성코드는 감염된 기기에서 통화 기능의 'endCall()'을 호출해 전화를 끊고 'intent.action.CALL'을 호출해 전화를 가로챈다. 내장된 콘텐츠 뷰어 기능을 사용해 민감정보를 수집한다. 가짜 인터페이스를 표시하기 위해 자체 zip파일에 압축된 자료를 해제한다. 'OkHttp'를 사용해 서버와 통신한다. 

해커그룹이 유포한 트로이목마 악성코드 출처 피싱사이트 소재지가 모두 한국 지역 밖이었다. [자료=360 Beaconlab]

이밖에도 두 해커그룹이 동일한 한국 금융사를 사칭해 각각 만든 가짜 앱의 사용자 인터페이스를 나란히 견줬을 때에도 미묘한 차이를 확인할 수 있다. 

■ "트로이목마, 기기 통화 가로채 사기 성공률 높여" 

스마트스파이와 헬로x스파이에서 트로이목마 악성코드를 유포한 목적은 누군가를 감염시켜 직접 피해를 입히는 게 아니라, 그를 상대로 한 온라인사기 성공률을 높이는 것으로 요약된다.

360비컨랩 연구원의 분석 결과, 두 해커그룹이 유포한 트로이목마 악성코드는 사기 대상의 전화에 걸려 온 전화를 가로챈다. 하지만 이 시점에 곧바로 감염 피해자를 곧바로 속이려들지 않는다. 통상적인 온라인사기와의 차이점이다. 연구원은 이 트로이목마가 "(감염된 뒤) 피해자에게 걸려온 최초 통화에서 신뢰를 유지함으로써 사기 성공률을 비약적으로 끌어올린다"고 묘사했다. 

해커그룹은 잠재적 표적인 한국 이용자에게 여러 수단을 동원해 피싱 웹사이트 링크를 전달한다. 피싱사이트에 방문한 이용자는 해커그룹이 제작한 악성코드 앱을 내려받아 설치하도록 유도당한다. 예시된 가짜 웹사이트와 앱은 한국어 인터페이스를 기본 지원하며 언뜻 보기에 수상하다는 점을 알아차리기 어렵게 만들어졌다.

해커그룹이 한국에 유포한 트로이목마에 감염되지 않았을 때의 정상적인 전화 기능(왼쪽)과 감염돼 통화상대 번호가 조작된 전화 기능. [자료=360 Beaconlab]

트로이목마 악성코드가 실행되면 감염 피해자 스마트폰에서 단문메시지와 통화기록을 가로채고 통화이력을 조작한다. 또 스마트폰의 전화번호 입력 인터페이스를 조작해, 특정한 전화번호로 전화를 걸도록 유도한다. 이 시점부터 실제로 '사기' 단계에 들어가게 된다. 이 전화를 통해 어떤 대화가 오가는지는 언급되지 않았지만, 연구원은 "기본적으로 전과정을 피해자가 (사기라고) 알아차리지 못한다"고 설명했다.

트로이목마 악성코드 감염 전후 전화 기능 인터페이스 차이 예시. 정상 기기로 전화를 걸었을 때(왼쪽)는 전화를 건 상대의 번호('1 555-521-5556')가 제대로 표시된다. 감염 기기의 경우 겉보기엔 제대로 된 번호('5556')로 전화를 건 듯 보이지만(가운데) 이는 감염 피해자를 속이기 위한 표시다. 실제 걸린 전화 상태(오른쪽)를 보면 빨간 네모 표시 안의 숫자('1 555-521-5558')처럼 다른 번호로 전화가 걸린다.

■ 2013년부터 악성코드 유포·2017년 별도 그룹 포착…"현재도 활동"

360비컨랩은 최초 트로이목마 악성코드 유포 시기를 지난 2013년 8월 이후로 판단했다. 처음 유포 주체는 스마트스파이였고, 이후 2017년께 헬로x스파이 해커그룹이 따로 움직이기 시작했다. 스마트스파이와 헬로x스파이 모두, 연구원들이 분석 결과를 발표한 작년말까지 활동 중인 것으로 파악됐다. 한국에서 이들을 대상으로 한 피해 사례가 있는지, 국내 사법당국의 수사가 진행 중인지는 불분명하다.

[디지털데일리 이상일기자] 최근 국내 금융권의 리스크관리 시스템 고도화가 활발하게 이어지고 있는 가운데 자금세탁방지(AML), 부정거래탐지(FDS) 등 이상금융거래에 대한 개별 시스템 통합을 놓고 고민이 깊어지고 있다.

현재 은행, 증권, 보험 등 각 분야별 주요 금융회사들은 고객 정보를 기반으로 고객관계관리(CRM), 리스크관리 시스템 등 다양한 비즈니스 인텔리전스시스템을 운용하고 있다. 

금융회사의 리스크관리시스템 고도화는 규제대응(컴플라이언스) 차원에서 진행돼왔지만 고객이 금융상품에 가입하는 시점부터 체계적인 관리를 통해 리스크를 완화시키는데도 초점이 맞춰지고 있다.

하지만  AML, FDS, CRM, 리스크 관리시스템이 각각의 시스템으로 구축되고 있어 데이터 활용면에서 효율성이 떨어진다는 문제점이 노출되고 있다는 지적이 제기되고 있다.

또한 동일한 데이터를 기반으로 분석 하더라도 부서별로 다른 기준을 적용하는 사례가 발생하고 있어 효율적인 비즈니스 인텔리전스 시스템으로 작동하는데 한계를 드러내고 있다는 지적도 나온다.

실제로 한 보험업계 관계자는 “FDS에서 적발된 고객에게 CRM에서 상품가입 메시지가 발송되는 등 개별 시스템 운영으로 생기는 문제가 적지 않다”고 전했다.

때문에 금융IT 업계에선 고객 DB 기반의 리스크 관련 시스템을 하나로 통합해 효율성을 확보할 필요성이 있다고 강조하고 있다.

아시아나IDT 관계자는 “기본적으로 AML이나 FDS이나 원천 DB는 거의 동일하다”라며 “시스탬 통합으로 효율성을 모색해 볼 수 있다”고 전했다.

실제 시스템 통합으로 효과를 보고 있는 사례도 있다. AIA생명의 경우 ‘아이크라’라는 보험사기방지(FDS)와 조기경보시스템(EWS), 고객 맞춤형 상품추천(CRM) 등 3가지 기능이 합친 시스템을 통해 신개념 고객 맞춤형 리스크 관리가 가능해졌다.

은행권에선 IBK기업은행이 관련 시스템 구축을 추진 중이다. 기업은행은 최근 ‘이상거래 징후 통합 점검·관리 체계 구축’을 위한 컨설팅 사업을 발주했다. 기업은행은 자금세탁방지 시스템을 중심으로 외환 특이거래 점검 시스템(FAIS)과 FDS 등 각 시스템의 유사기능을 통합한 이상거래 징후 통합 점검·관리 체계 구축으로 업무효율성을 제고하겠다는 복안이다.

은행권의 경우 특히 오는 12월까지 위험기반접근법(RBA, Risk-Based Approach) 자금세탁방지 시스템 도입을 금융정보분석원이 요구함에 따라 AML 시스템 고도화 사업이 예정돼 있는 가운데 기업은행과 같이 FDS 등 연관 시스템과의 연계 및 통합을 고민하고 있는 상황이다.

물론 각각의 시스템을 통합하는데 있어 또 다른 걸림돌도 존재한다. CRM, FDS, AML 등 각각의 시스템의 주관 부서가 다르기때문이다.

업계 관계자는 “마케팅, 언더라이팅(보험심사), 외환자금팀 등 각각 시스템을 사용하는 주무부서가 다른 상황”이라며 “조직간 이해관계가 얽혀 있기 때문에 이를 하나의 시스템으로 통합하는 것에 대해 금융사들이 어려움을 겪고 있다”고 전했다.

(디지털데일리, '15.6.16.)

코스콤은 증권사 공동 이상금융거래탐지시스템(FDS)을 정식 가동했다고 1일 밝혔다.

FDS는 증권사를 통해 전자금융거래를 하는 사용자의 단말기와 거래 정보를 수집, 이상거래 여부를 확인하는 시스템이다. 현재 골든브릿지증권에 우선 적용됐으며 앞으로 국내외 10여개 증권사에 추가 도입될 예정이다.

(한국경제, '16.2.1.)

출처 : http://news.hankyung.com/article/2016020134656