"실례지만 누구세요?"... 진화하는 카카오톡 메신저피싱
[IT동아 정연호 기자] 피싱 범죄자들이 ‘카카오톡’에 눈독을 들이기 시작한 이유는 한국 사람이라면 대부분 사용하는 메신저 앱이기 때문이다. 카카오톡이 메시지 기반 피싱 공격의 주요 타깃이 되고 있다.
국민의힘 강민국 의원실이 금융감독원으로부터 받은 자료에 따르면, 지난 5년간 보이스피싱 피해건수는 22만 7126건이며 피해액은 1조6645억으로 집계됐다. 올해 1월 한 달 동안 발생한 보이스피싱 건수는 843건, 피해액은 35억 원이었다.
최근 5년 동안 보이스피싱 피해는 ‘대출빙자’가 13만 1427건(57.9%/9998억 원)으로 가장 많았고, ‘메신저피싱’ 7만 7655건(34.2%/2849억 원), ‘기관사칭’ 1만 8044건(7.9%/3799억 원) 순으로 나타났다. 대출빙자는 급감하는 추세지만 메신저피싱이 빠른 속도로 증가하고 있다.
메신저피싱 피해가 전체 보이스피싱 피해 건수에서 차지하는 비중은 2018년 14%(9607건)에서 2022년 89%(2만 5534건)으로 급증했다. 메신저피싱 피해액 비중은 2018년 5%(216억 원)에서 2022년 64%(927억 원으로) 가파르게 상승했다. 피싱에 사용된 메신저 종류를 신고한 사례 중 95%(771억 원/2만 3602건)가 카카오톡에서 발생했다.
메신지피싱에 사람들이 속는 이유는 가족이나 지인이 급한 상황이라며 돈을 이체해달라고 부탁하기 때문이다. 예를 들면, 범죄자는 피해자의 아들인 척 속이며 “기존 휴대전화가 망가져서 새로운 카카오톡 계정을 만들었다. 지금 급한데 90만 원만 이체해줘”라고 말한다.
정부기관과 기업의 공식채널로 가장하며 본인인증을 하거나 특정 앱을 깔아야 한다고 요구하는 경우도 많다. “당신의 계정이 해킹됐다”나 “100만원 결제가 됐다”라는 내용을 전달받을 때 불안함을 느끼게 된 피해자가 이에 응하는 사례가 늘고 있다.
메신저피싱은 단순히 가족, 정부기관을 사칭하는 것을 넘어 고도화되고 있다는 업계의 경고가 잇따르고 있다. 대중에게 잘 알려지지 않은 메신저피싱 유형은 다음과 같다.
1.“실례지만 누구시죠?”…모르는 사람에게서 온 카카오톡 메시지
지난 21일 보안 전문기업 이스트시큐리티의 시큐리티팀대응센터(이하 ESRC)는 악성앱을 유포하는 새로운 유형의 카카오톡 메시지를 공개했다. 범죄자는 “카톡 친구추천에 떴는데(혹은 친구로 등록돼 있는데) 실례지만 누구시죠? 저는 oo에 사는 ***라고 합니다””라며 접근하는 것으로 알려졌다.
ESRC는 “사용자가 반응을 보이면 공격이 시작된다”면서 “평범한 이야기를 주고받으며 친밀감과 신뢰를 쌓은 뒤, 대화과정 중 자연스럽게 apk 설치파일을 전달한다”고 설명했다. 사용자가 apk를 다운받아 설치하면 휴대전화 연락처가 범죄자에게 전송된다. 현재 ESRC가 수집한 악성앱에는 연락처 수집 기능만 있지만, 다른 기능이 포함된 앱이 사용될 가능성도 있다.
ESRC는 “낯선 사람에게 선 온 카카오톡에는 답변하지 말고, 구글 플레이가 아닌 다른 경로로 전달받은 apk파일은 절대로 설치하지 않기를 바란다”고 주의를 요했다.
2.은행 사칭, 대출 전화상담 후 신청서 전달
저금리 대출상품을 안내하는 메시지를 한 번도 받지 않은 사람은 없을 것이다. 메시지에 나온 전화번호로 연락해 상담을 할 때 카카오톡 메시지로 악성앱을 다운받게 하는 피싱 사례도 있다. ESRC는 “범죄자는 메시지를 통해 ‘신청서.zip’ 압축파일 다운로드 및 설치를 유도하고 앱 설치에 필요한 ‘출처를 알 수 없는 앱 허용’ 옵션까지 설명한다”고 전했다.
파일 압축을 해제하면 그 안에는 대출신청 문서파일이 아닌 ‘신청서.apk’라는 안드로이드 파일이 있다. 파일을 설치하면 저축은행 공식 앱처럼 만들어진 UI가 보여서 쉽게 속게 된다. 피싱앱을 진짜 앱이라고 믿는 사람들은 대출신청서까지 작성하게 된다. 이 앱은 사용자 정보 탈취, 파일 삭제, 파일 업로드, 연락처 및 통화기록 탈취, 수신전화차단 등의 기능을 갖고 있다.
3.’카카오톡 선물하기’ 위장 피싱 메일
카카오톡 선물하기 채널로 위장해 피해자에게 메일을 보내는 경우도 있다. ‘주문이 완료됐습니다’ ‘결제안내’ 등의 제목인 메일을 받은 이용자는 “선물하기로 특정 상품이 결제됐으며 본인이 주문하지 않았으면 카카오톡 친구추가 후 문의를 하길 바란다”고 안내를 받게 된다.
이 메일을 카카오에서 보낸 것으로 오인해 문의를 하면, 해당 채널은 “카카오계정 도용/해킹이 우려되니 카카오 고객센터에 들어가 신고하라”는 말과 함께 링크를 전송한다. ESRC는 “해당 링크를 누르면 피싱 페이지로 이동되며, 이름/전화번호/이메일/카카오계정 비밀번호를 입력하라고 유도한다”고 말했다.
4.카카오톡 채널추가 유도
ESRC는 넥슨, 카카오게임즈, 멜론 등 많은 사람이 사용하는 서비스를 사칭하는 메신저피싱이 늘고 있다고 전했다. 해당 서비스 결제 내역이 포함된 메일을 보내는 것이다. 본인이 결제를 하지 않았다면 카카오톡 검색창에 ‘xxx’를 검색하라는 문구로 사람들을 유인한다.
메일에서 지시한 대로 채널 검색을 하면 실제로 해당 채널이 나온다고 한다. 이들은 대화를 하면 여러 이유를 대며 카카오톡 비밀번호를 물어본다. ESRC는 “카카오톡 공식채널은 친구 수가 상당히 많은 것을 알 수 있다. 특정 서비스나 브랜드에서 카카오톡 채널을 운영할 때 친구 수가 마케팅 활동에 큰 비중을 차지하기 때문에 많은 친구 수를 확보하려고 노력한다. 피싱메일에서 안내하는 채널이 친구 수가 매우 적으면 조금만 주의를 기울이면 알아챌 수 있다”고 했다.
“모르는 친구와 채널은 주의 필요해”
카카오톡은 피싱을 예방하기 위해서 친구 등록이 안 된 사람과 금전거래를 주의할 것을 권하고 있다. 이들이 자신을 아들이나 딸, 부모님이라고 이야기해도 돈을 보내 달라는 요구에 응하기 전엔 상대방에게 전화를 하고 관련 내용을 확인하는 게 좋다. 전문가들은 “사기범은 90~98만원 사이의 금액을 요구할 때가 많다”고 설명한다. 100만원 이상 현금이 입금되면 30분간 인출되지 않는 지연인출제도를 피하기 위해서 그렇다.
친구등록이 안 된 모르는 사람이 해외번호로 가입을 했다면 주황색 지구본 프로필 이미지와 함께 전화번호의 국가 정보가 뜬다. 해외 가입자가 이체를 요구할 때도 주의가 필요하다.
카카오톡은 채널톡에서 비즈니스 인증 서비스를 운영하고 있다. 공식 계정으로 검증된 채널은 채널명 바로 옆에 체크표시의 배지가 있다. 공식 비즈니스 인증을 받지 않은 채널은 ‘정보 확인이 완료되지 않은 채널입니다’라는 문구가 상단에 나온다. 특정 채널에서 대화를 하라고 요구를 받았을 때 배지가 없다면 계정 정보를 넘기는 것도 조심해야 한다.
카카오톡 메신저피싱에 당했다면 은행 콜센터나 금융감독원 ‘불법사금융피해신고센터(1332)’에 즉시 연락해 지급정지를 요청해야 한다. 돈이 인출된 상태라면 은행에 이체 확인증 발급 요청을 하고, 피해 내용을 입증할 자료를 갖고 경찰서에 신고하면 된다. 경찰이 사건사고 사실확인원을 발급해주면 이를 은행에 제출해 피해금 환급 신청을 할 수 있다.
글 / IT동아 정연호 (hoho@itdonga.com)