금융거래 2채널 인증도 무용지물… '악성코드가 진화하고 있다'
최근 금융당국이 전자금융사기 피해를 막기 위해 100만 원 이상 이체 시 추가 인증 절차를 거치도록 보안을 강화했으나, 이를 우회하는 지능형 악성코드가 발견돼 주의가 필요하다.
한국인터넷진흥원(이하 KISA)이 지난 2013년 9월부터 7개월간 악성코드 은닉사이트 탐지 시스템을 통해 발견한 악성코드를 분석한 결과, 기존 PC 인터넷 뱅킹을 노리는 파밍(Pharming)에 스마트폰의 금융정보를 노리는 큐싱(Qshing)을 결합한 형태로 진화하고 있다. QR코드를 통해 설치된 악성 앱은 전화번호, 문자메시지 등의 정보를 탈취하고, 문자 수신 방해, 착신 전환 서비스 설정 등을 시도할 수 있다. 이러한 방식을 악용해 이체 시 SMS, ARS 등 추가 인증을 우회해 금융사기에 악용할 것으로 보인다.
파밍: PC에 악성코드를 설치해, 정상 은행사이트를 입력해도 가짜 은행 사이트로 접속하게 만드는 수법
큐싱: QR코드를 통해 악성 링크로 접속을 유도하거나 직접 악성코드를 심는 수법
이러한 피해를 예방하기 위해서는 백신, 웹 브라우저 등을 최신 버전으로 유지하도록 관리해야 한다. 또한 QR코드 등을 통해 악성 앱이 설치되는 것을 예방하기 위해 스마트폰에서 '출처를 알 수 없는 앱 설치'를 선택 해제하는 것이 좋다.
KISA 박상환 코드분석팀장은 "보안카드 전체 번호 등 비정상적으로 많은 정보를 요구하면서, QR코드 등으로 추가적인 스마트폰 앱 설치를 권하면 일단 의심해야 한다"며 주의를 당부했다.
글 / IT동아 이상우(lswoo@itdonga.com)