전자금융 보안성 강화를 위해 도입된 2채널 인증을 우회하는 지능화한 악성코드가 발견됐다.
한국인터넷진흥원(KISA)은 2013년 9월부터 7개월간 악성코드를 분석한 결과, 기존 PC 인터넷 뱅킹을 노리는 파밍(Pharming)에 스마트폰 금융정보를 노리는 큐싱(Qshing)을 결합한 형태로 진화했다고 밝혔다.
파밍은 악성코드에 감염된 PC를 조작해 가짜 금융 사이트로 유도하는 기법이다. 범죄자는 개인 금융정보를 몰래 빼낸다. 큐싱은 QR코드와 개인정보, 금융정보를 낚는다(Fishing)는 의미의 합성어다. QR코드로 악성 링크로 접속을 유도하거나 직접 심는 방법이다.
최근 공격자는 보안에 취약한 사용자 PC를 악성코드에 감염시켜 가짜 사이트로 연결한다. 해커는 사용자 스마트폰을 악성코드에 감염시키려고 QR코드 추가 인증을 유도한다. QR코드에 저장된 인터넷주소를 스마트폰으로 불러오는 방식으로 악성 앱을 설치한다.
악성 앱은 전화번호, 문자메시지 등 정보를 탈취하고 문자 수신 방해, 착신 전환 서비스 설정 등을 시도한다. 현재 착신 전환 설정은 홈페이지나 매장 방문으로만 가능하다. 이 방식을 악용하면 전자금융거래 자금 이체 시 SMS, ARS 등 추가 인증을 우회해 금융사기를 당할 수 있다.
악성코드를 예방하기 위해서는 백신, 웹브라우저 등 응용소프트웨어 보안을 최신 버전으로 유지하도록 관리한다. QR코드 등을 통해 악성 앱이 설치되는 것을 예방하기 위해 스마트폰에서 ‘출처를 알 수 없는 앱 설치’ 허용 옵션을 사용하지 않도록 설정을 변경한다.
박상환 KISA 코드분석팀장은 “만약 모든 보안카드 번호 등 비정상적으로 많은 정보를 요구하면서 QR코드 등으로 추가적인 스마트폰 앱 설치를 권하면 일단 의심하라”고 주의를 당부했다.
김인순기자 insoon@etnews.com