[이슈분석]금융사기는 더욱 조직화

국내 전자금융 보안 환경이 대변혁기를 맞았지만 해킹 집단은 더욱 조직화했다.

한국트렌드마이크로에 따르면 중국 옌볜 사이버 범죄자가 한국 안드로이드 모바일 뱅킹 고객을 지속적으로 노리고 있는 것이 드러났다. 트렌드마이크로는 이들을 ‘옌볜 모바일 갱’이라고 칭했다. 이들은 2013년부터 계좌에서 돈을 인출하며 4000명 이상의 고객에게 피해를 줬다.

옌볜 모바일 갱은 조직책, 통역사, 악성코드 제작자, 인출책 등으로 구성된다. 이들은 국민·농협·하나·신한·우리은행 국내 5개 시중은행을 표적으로 악성코드를 제작했다. 다섯 개 악성앱은 동일한 악성 소스코드를 기반으로 개발됐고 각 은행 앱에 맞게 제작됐다.

악성코드가 사용한 명령&제어(C&C) 서버 분석 결과 총 38개가 확인됐다. 두 가지 이상 악성코드들이 26대의 서버를 공유하고 있었다. 악성코드는 동시에 여러 은행을 공격하도록 설계됐으며, 주로 시스템 애플리케이션 아이콘과 동일한 형태다. 모든 스마트폰에 설치된 구글 플레이스토어 애플리케이션 아이콘이 주로 사용된다.

이 악성코드에는 다양한 명령을 실행시키는 방송 수신기(Broadcast Receiver)가 들어 있다. 수신기가 실행되면 여러 가지 백그라운드 서비스가 시작된다. 가장 중요한 서비스 중 하나는 현재 스마트폰에서 실행 중인 애플리케이션을 감시하는 것이다. 악성코드가 표적으로 삼은 은행 앱이 실행되면 가짜 앱으로 대체한다. 이런 방식으로 사용자가 입력하는 ID와 비밀번호, 보안카드번호, 인증서비밀번호 등을 수집해 C&C로 전송한다.

이런 악성코드는 주로 피싱 문자메시지로 유포된다. 해커는 GSM(Global System for Mobile communications) 모뎀을 이용해 한 시간에 총 9600건의 피싱메시지를 전송하는 장치까지 갖추고 있다.

옌볜 모바일 갱이 만든 첫 번째 악성코드 샘플은 2013년 5월에 발견됐다. 2014년 1월 이전까지는 악성코드 수가 기하급수적으로 증가했다. 옌볜의 거의 모든 해커 조직이 악성 소스코드를 공유하면서 바이러스 변종을 쉽게 제작했기 때문이다. 2014년 이후 악성코드 수가 급격히 줄어들었는데 안티바이러스 앱에 휴리스틱 탐지 패턴이 추가된 덕이다. 이로 인해 탐지 회피가 어려워졌고 높은 기술력을 보유하지 못한 해커 조직이 공격을 포기하게 됐다. 2014년 4월 이후로는 수치가 일정 수준을 유지하고 있으며 높은 기술력을 가진 해커 조직만이 호시탐탐 안티바이러스 회사의 허점을 노리고 있다.

김인순기자 insoon@etnews.com