[정보보호]옌볜 모바일갱..한국 전자금융사기 주범

한국 전자금융사기범 ‘옌볜 모바일갱’이 지난 2013년부터 2014년까지 4000명 이상의 한국 안드로이드 모바일뱅킹 고객에게 수백억원이 넘는 피해를 입힌 것으로 드러났다.

한국트렌드마이크로는 중국 지린성 옌볜에서 한국 전자금융을 집중적으로 해킹한 조직을 ‘옌볜 모바일갱’이라고 명명했다. 옌볜 모바일갱은 조직책과 통역사, 악성코드 제작자, 인출책 등으로 구성된다.

연변 모바일 갱은 한 시간에 1만 건의 문자메시지를 전송하는 전용 장비를 이용했다.
연변 모바일 갱은 한 시간에 1만 건의 문자메시지를 전송하는 전용 장비를 이용했다.

조직책은 해커 조직의 핵심 인물로 해킹 비즈니스 흐름을 파악하고 악성코드를 널리 전파할 기기를 갖추고 있다. 모바일갱에서 조직책은 조직원간 모든 메시지를 교환하는 역할을 한다.

통역사는 한국 피해자에게서 가로챈 문자메시지나 악성코드 사용자 인터페이스 단어 등을 현지어로 통역한다. 새로운 악성코드와 탐지 회피 기법 등을 개발하는 악성코드 제작자도 중요한 역할이다. 일명 카우보이라 불리는 인출책은 한국에 거주하며 피해자의 돈을 은행에서 인출해 조직책에게 송금한다.

이들은 중국 QQ채팅그룹에서 공개적으로 조직원을 모집한다. 주로 ‘모바일 안랩 안티바이러스 회피를 위한 기술 파트너 구함. 하루 1만위안(RMB) 이상 지급’ ‘한국을 대상으로 SMS 메시지를 가로채는 모바일 악성코드를 개발할 수 있는 분은 연락주십시오’라는 글을 올린다.

옌볜 모바일갱이 공격에 사용한 안드로이드 악성코드는 구글플레이나 다른 서드파티 앱사이트에서는 다운로드할 수 없다. 오직 악성 문자메시지나 다른 악성코드에 의해 새로운 앱이 깔리는 형태다. 이들은 국내 은행 5곳을 대상으로 한 가짜 앱을 유포했는데 외견상 진짜 앱과 구별할 수 없도록 변조했다. 스마트폰에 이미 정상적으로 깔려있는 유명 필수 앱을 대체하는 앱들을 설치해 동시에 17개 은행 고객을 공격했다.

악성코드는 사용자가 입력하는 카드 번호, ID 번호, 카드 비밀번호, 인증서 비밀번호 등을 수집하고 이를 외부에 있는 중앙 수집 서버로 업로드한다. 스마트폰 사용자는 가짜 앱이 백그라운드에서 실행돼 자신도 모른 채 개인정보가 유출되고 또 다른 악성코드를 다운로드하는 명령을 수행하는지 모른다.

악성코드가 배포되는 경로는 대부분이 모임 초대장이나 경찰 사칭 등의 내용으로 URL 정보를 포함하는 문자메시지로 전달된다. 해커 조직은 보안업체나 경찰을 피하기 위해 지휘 통제 서버들을 각기 다른 국가에 두고 다른 통신사를 이용했다.

김인순기자 insoon@etnews.com