[단독] “중고갤럭시 개통하세요”···피싱범들은 안드로이드를 노린다 [알낚모털④]

2016년 경기도 화성시에서 세탁소를 운영하는 김성자 씨가 보이스피싱 총책 및 조직 전체를 붙잡은 실화를 바탕으로 한 영화 ‘시민덕희’ 스틸사진

“새희망홀씨라는 정부에서 나온 저금리 대출 상품이 있다. 대출을 받게 해줄 테니 휴대전화를 아이폰에서 갤럭시로 교체하라”

“계좌가 범죄에 연루되었다. 구속수사를 해야 하는데 약식수사로 진행해 주겠다. 아이폰은 해킹폰으로 범죄에 악용될 수 있으니 안드로이드폰으로 바꿔라”

“휴대전화가 아이폰이라서 백신 검사가 되지 않는다. 안드로이드 중고폰을 하나 구입한 다음, 아이폰에 있는 유심칩을 새로 구입한 중고폰에 장착하라”

이는 보이스피싱 관련 판결문에 흔히 등장하는 수법이다. 전화를 건 보이스피싱범들이 피해자 휴대전화에서 악성앱(애플리케이션) 설치가 막히자, 안드로이드폰을 새로 개통하도록 유도한 뒤 돈을 뜯어 가는 것이다. 악성앱을 이용한 범죄는 거의 100% 안드로이드 기반 휴대전화에서 발생한다고 전문가들은 말한다. 당국에선 범죄에 자주 사용되는 앱은 따로 추려 차단하고 있지만, 개방형인 안드로이드 운영체제(OS)의 태생적 한계와 고도화하는 범죄 수법으로 인해 범죄를 모두 막기에는 역부족이다.

경향신문은 2021년 1월부터 올해 10월18일까지 약 4년간의 1심 형사사건 판결문을 전수조사했다. 이 기간 ‘안드로이드 보이스피싱’ 사건으로 분류된 판결은 총 71건이고, 이 중 ‘안드로이드’ ‘개통’ ‘보이스피싱’ 조합으로 사건을 추리면 총 38개 판결문이 검색됐다. 상급심에서 확정 판결이 나거나 아직 수사중인 사안까지 포함하면 유사 사건의 규모는 훨씬 커질 것으로 예상된다.

판결문을 분석해보면 범죄의 첫 관문은 ‘악성앱’ 설치다. 범죄조직은 주로 불특정 다수에게 문자메시지로 사회적 관심 사안이나 사람들이 쉽게 속는 미끼를 던지며 악성앱이 깔리는 인터넷주소(URL)를 보낸다. 이 때 문자를 받은 사람의 단말기가 아이폰이냐 안드로이드형 폰이냐에 따라 최종 피해 여부가 결정적으로 갈린다. 폐쇄형 OS를 채택하는 아이폰에서는 악성앱 설치 자체가 막히는 반면, 개방형인 안드로이드 OS기반 휴대전화에선 악성앱 다운로드가 가능하기 때문이다.

안드로이드폰은 URL을 클릭하는 순간 악성앱이 다운로드돼 스마트폰 제어권이 피싱범들에게 넘어간다. 이제 무엇을 하든 범죄자가 피해자의 일거수일투족을 파악하고 금융기관 앱을 통해 대출도 받을 수 있다. 수사기관이나 금융기관에 전화를 걸어도, 실제 통화는 범죄조직으로 연결돼 꼼짝없이 그물망에 걸리게 되는 셈이다. 보이스피싱 차단 앱을 개발하는 유경식 인피니그루 대표는 “URL을 클릭한 순간 이미 자기가 속고있는 줄 모르는 경우가 태반”이라며 “심지어 휴대전화를 잠시 뒤집어두라는 말을 (피해자가) 따르는 경우도 봤다”고 말했다.

악성앱이 유독 안드로이드형에서 깔리는 건 ‘사이드로딩’ 기능 때문이다. 사이드로딩은 안전성 규제를 까다롭게 거친 앱만 파는 앱스토어를 거치지 않고, 직접 인터넷을 통해 다양한 앱을 다운받게 만드는 시스템이다. 애플은 앱스토어에서 파는 앱만 설치되기에 악성앱이 뚫지 못한다.

아이폰은 앱스토어에서 다운받는 정상앱이라도 미러링(화면을 다른 기기에서 볼 수 있는 기능)만 허용하고, 원거리 조정 기능은 차단하고 있다. 송아현 금융보안원 모바일보안팀 팀장은 “단말기별 피해 수치를 따로 집계하고 있지 않지만 현재로선 악성앱 보이스피싱 범죄는 대부분 안드로이드 기반에서 발생한다고 보는게 맞다”고 말했다.

삼성전자는 갤럭시에 사이드로딩 비활성화 기능을 두고 있다. 다만 피싱범들의 감언이설에 속아 사용자가 이를 해제하면 악성앱이 쉽게 깔린다. 삼성전자는 올 하반기 악성 메시지 자체를 사전 차단하는 기능도 도입할 방침이다. 이에 대해 유 대표는 “일부 도움이 될지라도 사기꾼 번호와 URL이 실시간으로 바뀌는 만큼 완벽한 차단은 불가능하다”고 말했다.

악성앱을 활용한 보이스피싱 과정

신종철 연세대 겸임교수는 “애플은 폐쇄망이라서 보안 이슈가 없는 대신 이 형태를 유지하기 위해 앱 개발자 등에게 높은 수수료를 받는다. 반면 안드로이드는 다양한 앱을 수용하는 대신 자신의 OS 생태계를 넓히는 박리다매 형식”이라며 “출발점이 다르기에 무엇이 옳다고 볼 수도, 한쪽을 고칠 수도 없다”고 말했다.

당국은 일단 보이스피싱 범죄에 자주 사용되는 원격제어앱을 차단하는 예방책을 내놓았다. 하지만 악성앱이 실시간으로 수도없이 만들어지고 배포되는 데 비하면 갈 길이 멀다. 한 금융권 관계자는 이를 놓고 “창은 너무 많고 방패는 제한적”이라고 표현했다.

금융감독원은 금융기관 소비자보호총괄책임자(CCO) 간담회에서 악성앱 예방 앱 설치를 권고했지만 은행권은 주저하는 분위기다. 시중은행 관계자는 “차단앱을 도입해 보안을 강화하면 속도가 느려진다”며 “은행에선 보안과 속도를 놓고 고민할 수밖에 없다”고 말했다. 송 팀장은 “기술이 고도화한 공격이 계속되는 상황에선 사용자들의 보안의식 제고를 통한 예방이 중요하다”고 말했다.

---

☞ [알낚모털④] 보이스피싱 완벽한 방패는 없다? “보일러 대신 차단앱 하나씩 깔아드리면… ”
https://www.khan.co.kr/economy/finance/article/202410271504001

---

윤지원 기자 yjw@kyunghyang.com, 김지혜 기자 kimg@kyunghyang.com

▶ 매일 라이브 경향티비, 재밌고 효과빠른 시사 소화제!
▶ 짧게 살고 천천히 죽는 ‘옷의 생애’를 게임으로!

©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지