[머니투데이 진달래 기자][편집자주] 언제 어디서나 '온라인(Online)' 상태로 사는 세상이다. 2020년 대한민국 한 사람이 사용하는 평균 모바일 기기 수가 11개까지 증가할 것이라는 전망도 나온다. 사람도 물건도 모두 실시간으로 연결되는 삶은 편리한만큼 불안하기도 하다. 알리고 싶지 않은 나의 각종 정보들이 온라인 공간에 흘러다니고 있는 것은 아닐까. 빠른 변화 속도에 밀려 일상생활에서 간과하고 넘어가던 보안 정보를 쉽게 풀어본다.

[[쉿!보안노트]<10>해킹도 융합이 대세'파밍+큐싱'주의보]
#인터넷 뱅킹을 사용하던 A씨는 2차 인증이 필요하다는 안내에 따라 QR코드를 이용해 스마트폰에 앱(애플리케이션)을 다운로드 받았다. 안내대로 정보를 입력하고 나서 계좌이체를 진행하는데 마지막 단계에 가서는 기기가 먹통이 됐다.

알고보니 A씨는 가짜 웹사이트에 접속해서 인터넷 뱅킹을 진행했던 것. PC와 스마트폰에 심어진 악성코드와 악성앱으로 인해 A씨가 입력한 개인정보와 금융정보 등이 모두 해커 손에 넘어가버렸다.

한국인터넷진흥원(KISA)에 따르면 A씨 사례처럼 PC와 모바일 모두에서 해커 공격을 당한 사례들이 최근 늘고 있다. 지난해 9월부터 미등록기기에서 전자 금융거래를 할때 2차 채널 인증을 의무화하면서 이를 악용해 이중으로 정보를 빼돌리는 수법이 나타나기 시작한 것이다.

해커들은 가능한 많은 정보를 털기 위해 파밍(Pharming)과 큐싱(Qshing)수법을 복합적으로 사용한다. 우선 특접 웹사이트 접속으로 악성코드에 감염된 PC에서 금융거래를 시도한 이용자들은 가짜 웹사이트로 넘어가게된다. 바로 PC에 가짜 은행사이트로 유도하는 악성코드를 설치하고 금융정보를 빼낸 후 예금을 인출하는 '파밍'이다.

이후 2차 인증이 필요한 것처럼 사용자를 속여 QR코드를 통해 악성 앱을 다운받도록 유도한다. 바로 '큐싱' 수법을 활용한 것. 해당 악성 앱은 전화번호, 문자메시지 등의 정보를 훔치고 문자 수신 방해, 착신 전환 서비스 설정 등을 시도한다. 보다 많은 정보를 빼돌려 금전적 이득을 취하기 위해 모바일 환경을 조작하는 것이다.

이렇게 되면 가령 소액결제서비스를 이용자가 모르는 사이 대신 이용할 수도 있다. 문자수신이 방해되기 때문에 본인인증 절차가 있더라도 이용자는 피해사실을 알 길이 없게 된다.

보안전문가들은 악성코드 피해를 예방하기 위해 백신, 웹 브라우저 등 응용소프트웨어 보안을 최신 버전으로 유지해야 한다고 말한다. 또 QR코드로 인한 악성 앱 설치를 막기 위해 스마트폰에서 '출처를 알 수 없는 앱 설치'를 사용하지 않도록 설정하라고 당부했다.

특히 은행 보안카드 번호를 모두 요구하는 등 비정상적으로 많은 정보를 요구하면서 QR코드 등으로 추가적인 스마트폰 앱 설치를 권하면 일단 의심해야한다고 조언한다.

머니투데이