IT DONGA

아이폰 노린 신종 '몸캠피싱' 발견… 사용자 주의 당부

이상우

[IT동아 이상우 기자] 이스트시큐리티가 안드로이드 스마트폰 사용자뿐만 아니라 아이폰 사용자를 노린 몸캠 피싱 사기가 국내에서 발견됨에 따라 사용자 주의가 필요하다고 당부했다.

애플 앱스토어와 유사하게 꾸민 사기 사이트로, 사용자의 계정 정보 입력을 요구한다.

몸캠피싱이란 여성 사용자를 가장한 범죄 조직이 스마트폰 등을 통해 남성을 유혹해 알몸 화상채팅을 요구하고, 이를 녹화한 뒤 지인에게 보내겠다며 협박해 돈을 요구하는 사기 수법이다. 범죄 조직은 모르는 사람과 무작위로 채팅을 연결하는 랜덤채팅 앱을 통해 피해자를 물색한다.

이후 카카오톡, 스카이프 등 모바일 화상 통화를 지원하는 앱으로 피해자를 초대해 알몸 화상 채팅을 요구하고 영상을 녹화한다. 동시에 '소리가 잘 들리지 않는다'는 등의 핑계로 다른 앱 설치를 유도하고, 이 앱에 포함된 악성코드는 스마트폰에 저장된 주소록을 탈취해 실제 지인의 연락처로 이 동영상을 보내겠다고 협박한다.

안드로이드 스마트폰의 경우 공식 마켓에 등록되지 않은 앱도 링크를 통해 apk 파일을 내려받으면 앱 설치가 가능하기 때문에 주요 공격 대상이 됐지만, 아이폰의 경우 비등록 앱은 설치가 불가능하기 때문에 이러한 위협에서 안전하다고 알려져 있다.

하지만 이스트시큐리티 보안 대응 센터에 따르면 새롭게 발견된 몸캠 피싱 유형은 기존 방식과 다른 방법을 통해 아이폰 사용자의 계정 정보를 탈취한다. 이번 피싱은 '성인 만남'을 연상할 수 있는 키워드가 사용된 다수의 피싱 사이트로 피해자가 접속하도록 유도한 뒤, 안드로이드와 iOS 애플리케이션 다운로드 버튼을 별도로 구성해, 마치 사용자가 자신의 스마트폰 환경에 맞는 앱을 설치할 수 있는 것처럼 보여준다.

이 화면에서 피해자가 안드로이드 버튼을 누르면 이전과 동일하게 악성 앱이 설치되지만, iOS 버튼을 누르면 애플 앱스토어와 똑같이 꾸며진 피싱 사이트 화면이 나타나고, 아이튠즈(iTunes) 계정 정보 입력을 요구하는 새로운 방식을 사용한다. 사용자가 의심 없이 계정 정보를 입력할 경우 범죄조직이 사용자의 계정과 비밀번호를 알게 된다. 기존 금융 사이트 등에서 이뤄지던 피싱과 동일한 방식이다.

범죄조직은 향후 아이클라우드에 동기화된 지인 연락처를 탈취할 수 있으며, 이를 이용해 녹화해둔 동영상과 함께 지인의 연락처로 동영상을 전송하겠다며 상대방을 협박할 수 있다.

이스트시큐리티 김준섭 부사장은 "지금까지 iOS 운영체제는 스미싱, 피싱, 랜섬웨어 등으로부터 상대적으로 안전하다고 알려져 왔지만, 이번 몸캠 피싱 사례에서 알 수 있듯이 보안 위협을 완벽히 막기는 어렵다"며, "아이폰 사용자도 출처가 불분명한 사이트에 계정 정보를 입력하지 않도록 주의하고, 공식 앱스토어를 통해서만 앱을 설치하는 등 보안 수칙을 반드시 준수해야 한다"고 당부했다.

글 / IT동아 이상우(lswoo@itdonga.com)

이전 다음