러시아 기반으로 추정되는 사이버 범죄자들이 ‘Octo’라는 이름의 새로운 악성코드를 이용해 호주 은행들, 즉 호주 고객을 주요 표적으로 삼고 있다는 경고이다. 사진은 안드로이드(Android) 운영체제 대상의 악성코드 이미지. 사진 : Crast.net

 

‘Octo’라는 이름의 최근 악성코드, ‘다크웹’에서 구입 가능한 범죄자들의 최신 제품

러시아 조직, 목표는 호주 은행 고객들... 정교한 코드, 전문가들도 분간 어려워

 

러시아 기반의 사이버 범죄자들이 매우 정교하게 만들어진 새로운 악성코드로 전 세계 은행들을 표적으로 삼고 있으며 특히 호주 대부분 은행을 대상으로 하고 있다는 경고이다.

호주의 금융 고객들은 이들이 심어놓은 각 은행 앱(app)의 가짜 로그인 페이지에 현혹되고 있으며, 전문가들조차 구분하기 어려울 만큼 정교하게 만들어져 피해 사례는 더욱 늘어날 수 있다는 우려이다.

사기 수법은 단순하다. 사이버 범죄자들이 만든 가짜 로그인 페이지(<사진 1> 참조)에 정보를 입력하면 은행 이용자의 세부 정보가 범죄조직에 곧바로 전송되는 것이다. ‘Octo’라는 이름의 비교적 새로운 이 악성코드는 다크웹(dark web. 기존 웹 브라우저가 아닌, 특정 소프트웨어로만 접근할 수 있도록 만들어진 월드 와이드 웹의 하나. 주로 범죄 또는 성인물 유포에 이용됨)에서 개인적으로 구입할 수 있는 사이버 범죄자들의 최신 제품이다.

이를 만든 이는 스스로를 ‘건축가’ 또는 ‘goodluck’이라 칭하는 것으로 알려져 있다. 이 악성코드는 매우 강력하여 통화내용 녹음, 연락처 수집, 컴퓨터 백신 회피 및 여러 단계의 인증 회피 능력을 갖고 있을 뿐 아니라 입력 내용을 기록하고 문자 메시지도 보낼 수 있다.

또한 해커가 정품 앱에 가짜 로그인 페이지를 겹쳐놓아 인증정보를 포기하도록 속이려 할 때 발생하는 오버레이(overlay) 공격을 수행할 수도 있다는 게 전문가들의 설명이다.

지난 11월 18일(토) ABC 방송이 관련 기관으로부터 정보를 입수해 보도한 바에 따르면, 이 악성코드를 이용한 사이버 범죄자들의 우선 대상은 호주 금융고객들이다. 해당 은행은 ANZ, Bank Australia, Bank of Melbourne, BankSA, BankWest, Beyond Bank, Bendigo Bank, Commbank, Greater Bank, HSBC, myRAMS, NAB, St George, Westpac, UBank 등 대부분 금융사가 포함된 것으로 확인됐다.

보도에 의하면 이 악성코드가 나타난 지 불과 며칠 만에 수백 명의 호주 금융사 고객들이 각각의 이용 장치(스마트폰 등)에 이 코드를 다운로드하도록 유도받았다.

Octo는 안드로이드 휴대전화(삼성, Google, HTC 등의 브랜드)를 대상으로 하며, 구글 플레이Google Play) 스토어의 합법적인 앱처럼 보이는 곳에 숨겨져 있다. 구글 플레이는 세계 최대 기술 회사 중 하나에서 운용하기에 대부분의 사용자가 거의 절대적으로 신뢰한다고 할 수 있다. 안드로이드 휴대전화의 작동 방식으로 인해 구글 플레이와 별도로 다운로드 하여 설치도 가능하다.

 

<사진 1> 사이버 범죄자들이 호주 은행 고객의 개인정보를 빼내기 위해 정교하게 만든 가짜 로그인 페이지의 한 사례.

   

호주의 경우 안드로이드 휴대전화를 사용하는 이들이 적다고 생각할 수 있지만 실제로는 상당히 많다. 런던에 본사를 둔 시장조사 업체 ‘Kantar WorldPanel’에 따르면 호주에서는 전체 휴대전화 사용자의 52.9%가 안드로이드 기기를 소유하고 있으며 아이폰(iPhone) 기기를 갖고 있는 이들은 47.1%이다.

 

해커들, 서비스 차원에서

악성코드 ‘판매’

 

호주인을 대상으로 한 사이버 범죄자들의 최근 사기 시도 행위는 네덜란드 기반의 은행보안 플랫폼 ‘ThreatFabric’의 수석 위험분석가 다리오 듀란도(Dario Durando)씨에 의해 밝혀졌다. 그는 이 악성코드가 구글 크롬(Google Chrome) 모바일 브라우저의 업데이트로 위장한 것을 발견했다.

ABC 보도에 의하면 이날(11월 18일) 직전까지, 웹사이트 백엔드(back-end. 웹사이트 사용자가 아닌, 프로그램에 의해 이용되는)의 숨겨진 카운터를 보면 호주에서는 533건, 스페인 362건, 미국에서는 64건의 다운로드가 발생했다. 이 카운터는 현재 삭제된 상태이다.

듀란도씨는 “이것은 해커들이 Octo와 같은 것을 만들어 다른 범죄자들에게 임대한 후 배포하는 ‘서비스형 악성코드’ 증가 추세의 일부”라고 설명했다.

해커들은 Octo라는 이 악성코드에 대해 “높은 생존율을 갖고 있고 완전한 장치 제어를 제공하며 이중 인증코드를 훔치는 능력을 갖추었다”고 자랑한다. 한때 데스크톱 컴퓨터만을 표적으로 삼았던 악성코드에서도 유사한 일이 발생한 바 있다.

듀란도씨는 “요즘에는 모바일 기기가 대세를 이루면서 범죄자들은 실제로 연구에 투자하고 더 많은 악성코드를 만들어내야 한다는 판단을 하고 있다”고 말했다.

 

‘건축가’로 불리는

범죄자는 누구?

 

‘ThreatFabric’ 사의 사기방지 엔지니어 에워드 드리휴스(Eward Driehuis) 부회장은 Octo를 담당하는 그룹이 러시아어를 사용하며 러시아 사이버 범죄조직과 연관되었을 가능성이 있다고 말했다.

 

‘Octo’라는 악성코드는 안드로이드(Android) 운영체제를 사용하는 휴대전화 기기를 대상으로 설계된 것이다. 사진 : Unsplash / Daniel Romero

   

드리휴스 부회장은 이어 “이 범죄자들은 여러분이 힘들게 일하여 벌어들인 현금을 노리고 있다”며 “호주에 대한 사이버 범죄자들의 관심은 일반적으로 생각하는 것보다 훨씬 높다”고 경고했다. 그는 호주 은행 고객들에게 더 조심할 것을 촉구하면서, 각 은행에 대해서는 “(사이버 사기 사건이 발생했을 때) 고객에게 책임을 전가하는 것은 공정하지 않으며, 처음이자 마지막 방어선이 된다는 인식에 결코 의존할 수 없다는 생각”을 전했다.

호주 공정경쟁소비자위원회(Australian Competition and Consumer Commission)의 지난해 보고서에 따르면 호주에서 사이버 사기로 인해 손실된 금액은 31억 달러 이상으로, 이는 2021에 비해 80% 증가한 것이다.

또 사람들을 속여 은행 정보와 같은 민감한 정보를 빼내는 ‘피싱’ 손실은 2,460만 달러로, 이는 전년도(2021년)에 비해 무려 469%가 늘어났다. 이 피해액의 대부분인 2,010만 달러는 은행 송금을 통해 도난당했다.

호주 기업규제 당국인 ASIC(Australian Securities and Investments Commission)의 또 다른 보고서를 보면 호주 4대 메이저 은행의 피해 고객에 대한 보상 비율은 2~5%에 불과했다.

 

‘취약한 고객들’ 위한

정부 보호조치 ‘시급’

 

소비자 법률지원 단체 ‘Consumer Action Law Centre’의 스테파니 톤킨(Stephanie Tonkin) 최고경영자는 호주 은행들이 점점 더 교묘해지는 사이버 범죄자들의 사기에 피해를 입는 고객을 보호하고자 충분한 노력을 기울이지 않는다고 지적했다.

그녀는 “우리가 매일 일선에서 접하는 사기피해 사례는 너무 복잡하여 탐지하기가 거의 불가능하다”며 “호주 금융사 고객들은 사이버 사기 범죄를 방지할 수 있는 법률과 시스템이 미흡해 국제 범죄자들의 쉬운 표적이 되고 있다”고 우려했다.

톤킨 CEO는 이 같은 사이버 사기가 은행 플랫폼에서 일어나고 있기에 은행들이 더 많은 책임을 져야 한다고 촉구하면서 “주요 은행의 경우 수십 억 달러의 수익을 올리면서 (은행 이용자) 본인의 잘못이 아닌 상태에서 사기 피해의 대가를 치르는 것은 결국 고객들”이라고 지적했다.

이어 “호주의 경우 사이버 사기 행각에 관한 법률과 책임이 공백 상태이기에 무고한 피해자가 만들어지고 있다”는 톤킨 CEO는 “우리에게 필요한 것은 정부가 사기 피해자들에게 배상하기 위해 은행을 압박하는 법률을 시행해야 한다는 것이며, 이를 통해 은행으로 하여금 사기행각의 예방 및 감지를 위한 시스템에 투자하도록 해야 한다”고 강조했다.

 

네덜란드 기반의 은행보안 플랫폼 ‘ThreatFabric’의 수석 위험분석가 다리오 듀란도(Dario Durando. 사진)씨. 그는 이 악성코드가 구글 크롬(Google Chrome) 모바일 브라우저의 업데이트로 위장한 것을 발견했다. 사진 : ThreatFabric

   

이와 관련, 호주 연방경찰청 대변인은 “호주인들이 점차 늘어나는 사이버 범죄 위협에 직면해 있다”며 “AFP는 특히 Australian Signals Directorate(사이버 보안을 담당하는 연방 기구)와의 공동 작전을 통해 사이버 범죄를 방해할 수 있는 혁신 기술을 모색하고 있다”고 밝혔다.

또한 대변인은 “비즈니스 전자메일 침해, 랜섬웨어(ransomware. 전산망 작동이 중단되게 한 뒤, 재가동을 조건으로 금품을 요구하는 데 이용되는 악성프로그램의 일종), 원격 액세스 사기 및 신분도용 사기 등에 맞서 국가 합동 타스크포스를 조정하고 있다”는 점도 덧붙였다.

 

금융기관들,

“사이버 보안 지원” 밝혀

 

ABC 보도에 따르면 Octo의 위험이 높아지는 가운데 각 은행들은 이를 심각하게 받아들이고 사이버 보안을 강화하겠다는 방침이다. 호주 은행협의회(Australian Banking Association) 대변인은 회원사들이 업계 전반에 걸쳐 시행 가능한 사기방지 조치에 관해 논의할 것이라고 말했다.

하지만 고객의 사이버 범죄 피해에 대한 은행의 역할 부분에 대해서는 지난해 스티븐 존스(Stephen Patrick Jones) 재무차관의 발언 내용을 인용해 책임을 회피했다. 당시 존스 차관은 “일부 사람들은 은행이 항상 책임을 져야 한다고 제안한다. 하지만 나는 이러한 접근 방식을 지지하지 않으며, 모든 기관이 요구하는 높은 차단장치가 있어야 한다. 다만 그들(고객들)이 자신의 모든 의무를 이행한다면, 고객이 책임을 져야 한다는 것은 옳지 않아 보인다”(Some people are suggesting that the banks should always be liable. I don't support this approach, there should be a high bar on what is expected by all of our institutions – but if they meet all of their obligations it doesn't seem right that they are liable)라고 언급한 바 있다.

 

■ iPhone 및 Android 사용자를 위한 전문가 팁

▲ 의심해보라= 누군가 당신의 개인정보를 갖고 있다는 것은, 대개는 합법적인 것이 아니다. ‘ThreatFabric’ 사의 사기방지 엔지니어 에워드 드리휴스(Eward Driehuis) 부회장은 “개인정보는 다양한 유출을 통해 수집되는데, 이런 유출은 거의 매일 발생하며 범죄자들은 해당 정보를 구매한다”면서 “아무도 믿지 말라”고 강조한다. “만약 관련 전화를 받으면 정중하게 끊은 뒤 ‘당신의 공식 번호로 전화를 하겠다’고 말하라고 조언했다.

 

은행보안 플랫폼 ‘ThreatFabric’의 사기방지 엔지니어 에워드 드리휴스(Eward Driehuis. 사진) 부회장은 “호주인을 대상으로 한 사이버 범죄자들의 관심은 일반적으로 생각하는 것보다 훨씬 높다”고 경고했다. 사진 : ThreatFabric

   

▲ 무엇이든 물어보라= 당신의 연인이나 사랑하는 사람으로부터 ‘뭔가’ 필요하다는 메시지를 받았다면, 그 이면은 눈에 보이는 메시지와 다를 수 있다. 드리휴스 부회장은 “메시지에서 ‘당신의 아들, 딸, 아내, 어머니 등 자신이 누구인지 밝히고 있다’ 해도 그대로 믿어서는 안 된다”고 말했다. 개인정보를 요구하는 이들도 마찬가지이다. “백엔드(back end)에는 나중에 사기행각을 위해 그런 종류의 정보를 수집하는 범죄자가 있을 수 있으므로 제공하는 내용에 주의해야 한다”는 조언이다.

 

▲ 여러분의 휴대전화 기기에 무엇을 담아놓았는지 주의하라= 이는 특히 휴대전화기에 앱(app)을 사이드로드 할 수 있는 안드로이드 사용자를 위한 것이다. ‘구글 플레이’(Google Play) 스토어를 계속 사용하고 설치 중인 항목에 주의를 기울여야 한다. 꼭 필요한 경우가 아니라면, 접근 서비스를 꺼(off) 두는 게 좋으며, 이를 요청하는 앱은 의심할 필요가 있다.

전문가들은 “모바일 악성코드의 99%가, 뭔가 장애가 있는 이들을 돕고자 고안된 접근 서비스에 의존한다”고 경고한다. 이는 사용자에게 많은 기능과 권한을 제공하고 해커들이 활용할 수 있는 강력한 도구이다. ThreatFabric 사의 위험분석가 다리오 듀란도(Dario Durando)씨는 “모든 악성코드는 처음부터 이 권한을 요구할 것이며 애플리케이션이 시작되는 순간부터”라고 설명했다. 이어 “그들(사기범죄자들)은 자신들이 가장하고 있는 응용 프로그램을 실행하는 데 매우 필수적인 것으로 보이려 노력할 것”이라며 “(여러분은) 어떤 앱에도 이런 종류의 권한을 부여해서는 안 된다”고 덧붙였다.

 

▲ 본인 휴대전화가 해킹되었음을 어떻게 알 수 있나= 이를 위한 한 가지 방법은, 휴대전화 설정으로 이동한 다음 접근 페이지로 들어가 파일 관리자나 QR코드 스캐너와 같은 의심스러운 앱이 있는지 확인하는 것이다. 만약 당신의 장치가 감염된 경우에는 휴대전화기가 깜박이기 시작하거나 홈 화면으호 돌아가려 시도한 것처럼 설정 페이지가 자동으로 종료되어 이 페이지에 접속하지 못할 수도 있다. 듀란도씨는 “많은 맬웨어(malware) 계열이 애플리케이션을 제거할 수 있는 특정 부분에 들어갈 때마다 사용자를 설정 페이지에서 강제로 내보내는 일종의 방어 메커니즘을 갖고 있기 때문에, 이는 당신의 장치가 감염되었다는 확실한 표시”라고 설명했다.

 

▲ 휴대전회 기기가 감염된 경우= 가장 안전한 방법은 전화기 전체를 초기화하는 것이다.

 

김지환 기자 herald@koreanherald.com.au