보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사 > 오피니언

[개인정보보호 칼럼-4] 악성앱 통한 개인정보 유출 예방 및 대응을 위한 제언

입력 : 2023-07-04 15:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
악성앱 설치하는 행위만으로도 사용자 모바일 내 정보들 탈취
보안 유지하라는 범죄자 강압에 따라 피해자가 스스로 주변과 차단하면서 고립될 수 있어
전화 끊고 주변 사람의 휴대전화 사용해 수사기관 등에 확인 절차 진행, 도움 요청해야


[보안뉴스= 정석화 경찰청 사이버수사국 사이버테러대응과 총경] #. 피해자 A씨는 자신이 사용하고 있는 스마트폰에 전화금융사기 조직에게 속아 설치한 보안프로그램에 악성 기능이 존재하는 것을 인지한 후, 스마트폰을 소지하고 경찰서에 방문해 경찰과 공조를 통해 전화금융사기 조직원을 검거하기로 했다. 그런데 상담을 마친 피해자 A씨가 경찰서를 나옴과 동시에 전화금융사기 조직으로부터 경찰에 신고한 사실을 추궁당하며 협박을 받았다. 어떻게 전화금융사기 조직은 피해자 A씨가 경찰서를 방문하고 공조하기로 한 내용을 알았을까?

[이미지=gettyimagesbank]


개인정보 등 탈취
모바일 악성앱은 타인의 스마트폰에 기생하면서 기기 정보, 문자 메시지(SMS), 통화 기록, 녹음 내용, GPS 추적, 사진, 금융정보, 브라우저 데이터, 저장된 멀티미디어, 주소록 등을 수집한다. 악성앱은 피해자의 소셜미디어(SNS) 계정과 메신저 애플리케이션에도 접근한다. 접근권한을 얻은 공격자는 피해자 소셜미디어 프로필을 통해 메신저 대화, 피드, 기타 개인정보까지 들여다보는 등 개인의 사생활을 감시하고 개인정보를 수집해 불법적인 용도로 사용한다. 또한, 착발신 전화를 불법 조직이 운영하는 콜센터에 강제로 연결하는 일명 통화 ‘가로채기’ 기능 등도 사용하고 있다. 즉, 악성앱을 설치하는 행위만으로도 사용자 모바일 내 정보들이 탈취되는 것이다.

▲악성앱 탈취 개인정보 등[자료=경찰청]


유포 방식
먼저 전화금융사기 조직은 알 수 없는 방법으로 취득한 개인정보를 이용해 검사·검찰수사관을 사칭하며 피해자에게 전화한다. ‘당신 명의로 대포통장이 개설되어 범죄에 연루되었으니, 공범이 아니라는 점을 입증하려면 금융감독원이나 국세청에서 지정하는 안전 계좌로 입금하라’라고 속인다. 이어서 피해자가 판단력이 흐려졌다고 판단되면 카카오톡을 이용해 검사 공무원증과 구속영장, 공문 파일 등을 보내며 수사에 협조하면 구속 대신 약식으로 조사하겠다고 회유하면서 사기행각을 시작한다. 이어 전화금융사기 조직에게 속은 피해자에게 악성코드가 감염된 것 같으니 정부기관에서 제작한 악성프로그램 탐지 앱을 설치하도록 정식 앱 배포 사이트가 아닌 별도의 URL(IP 기반의 유포사이트)에서 악성앱 다운로드 받아 설치를 유도한다.

▲카카오톡을 통한 공문서 및 악성앱 유포 방식[자료=경찰청]


결과적으로 기관 사칭형 전화금융사기에서 악성앱을 설치하는 이유는 일반인들이 수사기관의 조사를 거의 경험하지 못한 상태란 점을 악용해 강압적인 목소리로 협박하기 때문이다. 또 악성앱을 설치해 피해자가 걸고 받는 모든 전화·문자를 전화금융사기 조직으로 연결하는 일명 ‘강수강발(강제수신·강제발신)’ 방식으로 범인을 검사·수사관이라고 완전히 믿게 만든다. 더구나 검사사칭형의 경우에는 악성앱이 설치되지 않더라도 보안을 유지하라는 범죄자 강압에 따라 피해자가 스스로 주변과 차단하면서 고립될 수 있는 만큼 개개인의 주의가 한 단계 더 요구된다.

악성앱의 설치 후 주요 기능
악성앱이 설치되면 ‘강수강발’ 즉, 피해자가 검찰·경찰·금융감독원 등 어디에 전화해도 범인들이 당겨 받고, 범인이 거는 전화는 검찰·경찰·금융감독원 등 공식 번호로 표시되어 피해자가 완전히 속아 넘어갈 수밖에 없다. 더구나 피해자의 위치정보나 휴대전화의 녹음 기능까지 강제로 구동하면서 지시를 따르는지 경찰서처럼 다른 장소로 이동해서 이야기하는 등 지시를 따르지 않는지 피해자의 일거수일투족을 감시한다.

▲전화 가로채기 기능[자료=경찰청]


악성앱을 통한 개인정보 유출 예방 및 대응을 위한 제언
정부기관에서는 어떠한 경우에도 앱을 다운 받을 수 있는 URL(IP) 형식의 다운로드 주소를 제공하지 않으므로, 공식 앱 스토어(구글 플레이, 원스터어, 티스토어, 갤럭시 스토어 등)에서 다운받아 설치해야 한다. 또한, 수사기관은 수사를 위한 압수수색영장, 구속영장, 출석요구서, 수사협조의뢰 등과 같은 공문서를 사회관계망 서비스(SNS)나 휴대전화 메시지를 이용해 보내지 않는다. 나아가 어떠한 수사기관이나 금융기관도 수사를 빙자해 현금을 인출해 제출하라고 하거나 다른 계좌로 송금을 요구하는 경우는 결코 없다.

만약 범죄자들에게 속아 악성앱을 설치했다고 의심스럽다면, 일단 전화를 끊고 주변 사람의 휴대전화를 사용해 수사기관 등에 확인 절차를 진행하거나 도움을 요청해야 한다.
[글_ 정석화 경찰청 사이버수사국 사이버테러대응과 총경]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)