최신 보안 동향

[주의]국내 인터넷 뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱

TACHYON & ISARC 2013. 1. 15. 09:16
1. 국내 인터넷 뱅킹 이용자를 노린 피싱


잉카인터넷 대응팀은 최근들어 국내 휴대폰 이용자들에게 인터넷 뱅킹 보안 승급(강화) 서비스를 사칭해서 개인 금융정보(주민번호, 이름, 계좌번호, 비밀번호, 보안카드 일련번호,  보안카드 비밀번호 등) 탈취 및 피싱 시도용 단문 문자 메시지(SMS)를 무차별적으로 배포하고 있는 것을 확인하였다. 이러한 가짜 인터넷 뱅킹 홈페이지에 자신의 실제 금융 정보를 입력할 경우 제 3자에 의해서 "실제 예금 인출 사고"를 입을 수 있다는 점에서 매우 각별한 주의가 필요하다. 또한, 거의 매일 가짜 웹 사이트가 만들어지고 있다는 점에서 사용자들은 아래 사례를 통해서 유사 사기성 수법에 속지 않도록 주의하여야 한다.



문자메시지 서비스를 이용해서 전파되는 이런 문자 피싱(SMS Phishing)수법은 기존의 보이스 피싱(Voice Phishing)과는 다르게 직접 전화통화를 하는 방식이 아니기 때문에 불특정 다수에게 짧은 시간동안 동시다발적으로 문자 사기 시도를 할 수 있다는 점에서 구별되며, 사용자의 중요 정보가 한꺼번에 동시 탈취될 수 있다는 특징 때문에 유출된 정보가 잠재적인 위협 요소로 꾸준히 작용될 것으로 우려된다. 

[칼럼]특명! 사이버 은행강도로부터 당신의 금융자산을 보호하라.
http://erteam.nprotect.com/374

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.
http://erteam.nprotect.com/373

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
http://erteam.nprotect.com/293

2. 사용자 정보 유출 시도 과정

우선 불특정 다수의 휴대폰 이용자들에게 다음과 같은 단문 문자 메시지(SMS)가 발송되고 있는데, 공격자는 이미 수 많은 사람들의 휴대폰 번호 등의 개인정보를 불법적으로 수집하고 도용하고 있는 것으로 추정된다.

대체적으로 국내 유명 금융권을 사칭한 내용으로 문자 메시지가 발송되는데, 국민은행, 우리은행, 농협 등 시중은행들의 인터넷 뱅킹 웹 사이트처럼 교묘하게 꾸며진 가짜 웹 사이트 URL 주소를 발송하고 있다.

ⓐ 문자 메시지 수신

아래 공개된 피싱 사이트들은 현재는 모두 접속이 차단된 상태이며, 지속적으로 새로운 곳이 만들어져 유포되고 있다.



문자 메시지에는 "ㅇㅇ은행입니다. 포털사이트 정보유출로 보안승급 후 이용해 주세요 ***bank.com" 과 같은 형태로 구성되며, 발신 전화번호 역시 실제 해당 은행의 콜센터 번호처럼 속이는 경우가 많다.

또한, 가짜 웹 사이트는 금융권과 한국인터넷진흥원(KISA) 등 유관기관을 통해서 신속하게 차단이 이뤄지고 있지만, 하루가 멀다하고 계속해서 새로운 가짜 웹사이트가 등장하고 있기 때문에 유사한 형태의 공격 수법이 지속적으로 이용될 것으로 보여진다. 최근 몇 년까지는 전화 사기라는 일명 "보이스 피싱" 형태가 사회적인 문제로 대두된 바 있었는데, 많은 계도와 홍보 그리고 ATM 기기의 음성 안내 등 다양한 홍보에 따라서 이번과 같은 새로운 방식으로 피싱 기법이 진화하고 있는 것으로 추정된다.

아울러 최근에는 인터넷 접속이 가능한 스마트폰 이용자가 많아진 점과 유명 인터넷 웹사이트 등을 통해서 유출된 개인정보(전화번호 등)가 이러한 문자 사기에 악용되고 있는 것으로 추정된다.

ⓑ 보안 승급 서비스 사이트로 연결

최근에 발견되는 것들은 대부분 포털 사이트 정보 유출로 인하여 보안승급 후 이용하라는 접속 유도 방식을 사용하는데, 보안 강화라는 문구를 사용하는 경우도 발견된 바 있다. 따라서 유사한 형태로 계속적으로 변경될 가능성도 높다.

문자 메시지로 받은 웹 사이트로 연결을 할 경우 다음과 같이 실제 인터넷 뱅킹 웹 사이트처럼 화면 전체가 교묘하게 제작되어 있다.


웹 사이트에는 마치 인터넷 뱅킹 고객을 위한 보안승급서비스 처럼 꾸며져 있지만 모두 조작된 가짜 화면이며, "보안승급바로가기" 버튼이나 "일부 메뉴" 등이 모두 사용자의 개인정보 입력을 유도하고 탈취 시도하는 허위 링크로 연결된다.

또한, 일부 메뉴나 카테고리를 클릭할 경우 "안전승급 하신 뒤 이용해 주세요.." 라는 팝업 창을 띄어 다른 기능은 모두 사용이 안되는 것처럼 만들어져 있다. 따라서 이용자는 어쩔 수 없이 보안승급서비스를 진행하도록 선택을 제한시키고 정보 탈취 시도용 웹 사이트로 연결을 유도시킨다.


ⓒ "보안승급바로가기"는 개인정보 유출의 시작

사용자가 "보안승급바로가기" 버튼을 클릭하게 되면 다음과 같이 개인정보를 위한 이용자 동의사항을 보여줌과 동시에 이용자의 실명과 주민등록번호를 입력하도록 유도한다. 

 


화면의 중앙 아래쪽에는 첫 번째 개인정보 입력을 요구하는 화면이 보여지고, 사용자로 하여금 이름(실명)과 주민등록번호를 입력하도록 유도하는 내용이 보여지고, 확인 버튼을 클릭할 경우 정보 유출과 함께 다음 페이지로 연결된다.


주민등록번호는 나름 체크 기능을 가지고 있어 잘못된 형식이 입력될 경우 다음과 같이 재입력을 요구하도록 만들어져 있기도 하다.

그렇지만 "주민"이 아닌 "주문등록번호"와 같이 허술하게 오타가 포함되어 있는 모습을 볼 수 있다.

 


ⓓ 중요 금융정보 본격 탈취 시도

실명 이름과 주민등록번호가 정상적으로 입력되면 피싱 웹 사이트는 다음과 같이 본격적으로 개인용 금융정보 탈취를 시도하게 되는데, 계좌번호/계좌비밀번호/보안카드일련번호/보안카드번호 등 인터넷 뱅킹에 사용되는 대부분의 정보를 입력하도록 요구한다.

또 다른 경우에는 OTP카드 사용자 여부를 체크하는 화면을 보여주기도 한다.
 


인터넷 뱅킹 서비스에서 어떠한 경우라도 보안카드의 모든 번호를 요구하는 경우는 절대 없으므로, 이렇게 개인의 중요한 정보를 모두 요구하는 경우는 100% 사기성으로 판단해도 무관하다.


만약 사용자가 이 내용을 모두 입력하고 확인버튼을 누르게 되면 해당 금융정보는 외부로 유출이 되고, 이러한 정보를 수집하는 공격자는 추후 불법적으로 공인인증서를 재발급 받거나 탈취하여 예금 인출을 시도할 수 있게 된다.

참고로 국민은행 이외에도 다른 금융권처럼 만들어진 경우도 이미 다수 보고된 바 있고, 마찬가지로 유사사례의 공통점은 모두 보안승급, 보안강화 서비스처럼 허위내용으로 사용자의 금융정보 입력을 과도하게 유도한다.



다시 이어서 확인 버튼을 클릭하게 되면 "처리가 완료되었다"는 간단한 메시지를 보여주는 경우도 있고, 다음과 같이 "완료되엿습니다", "배전의 노력을 다하겠습니다." 처럼 한글 맞춤법에 어긋난 안내 문구 화면이 출력되는 경우도 있다.
 


피싱 웹 사이트는 도메인을 추적해 본 결과 미국 IP소재로 확인되었으며, 중국쪽에서 호스팅된 것으로 추정된다. 지속적으로 도메인이 1년 단위 정도로 생성되는 것으로 보아, 공격자는 도메인 호스팅 서비스의 권한을 불법적으로 탈취하여 악용하고 있는 것이 아닌가 의심된다.

 


3. 마무리

그동안 전화사기(보이스 피싱)의 경우 주변의 많은 피싱 수법 사례 공개와 다양한 피해 예방 노력 등으로 어느정도 긍정적인 차단효과가 발휘되고 있다. 전화사기 성공율이 그 만큼 낮아졌기 때문에 공격자들은 끈질기게 다른 방식을 노리고 있는 것으로 추정된다. 따라서 인터넷 뱅킹 이용자들은 늘 방심하지 말고 각별한 주의를 기울이는 자세가 필요하다.

정상적인 인터넷 뱅킹 서비스에서는 보안카드의 모든 암호를 입력하도록 요구하는 경우가 없다는 것을 명심하고, 이러한 요구 페이지에 속지 않도록 유념해야 하며, 마치 심각한 내용처럼 포장된 문자메시지나 공지사항을 받을 경우 당황하지 말고 침착하고 신중하게 대처할 필요가 있겠다. 특히, 이렇게 개인정보를 다수 요구하는 의심사이트를 목격하게 되면 해당 은행사이트나 한국인터넷진흥원(KISA) 등에 신속하게 신고하고 SNS 등을 이용해서 주변에 널리 알리는 것도 좋은 방법 중에 하나이다.