'코드 난독화'·'드로퍼' 방식 탓에 경찰도 분석 어려움
심각한 금전적 피해 유발…분석 과정 동일 개발자 확인
|
6일 경찰청과 한국인터넷진흥원(KISA·키사)에 따르면 키사는 다년간 경찰청으로부터 의뢰 받은 악성 프로그램을 분석한 결과, 최근 범죄 조직이 사용하고 있는 악성 프로그램이 과거 단순 개인정보만 탈취했던 것과 달리 피해자의 전화를 가로채는 등 원격제어형으로 변화한 사실을 확인했다.
키사는 원격제어형의 경우 개인정보 탈취 피해와 다르게 심각한 금전적 피해를 유발할 수 있고, 향후 공격자들(범죄 조직)이 주로 활용할 것으로 판단하고 있다.
범죄 조직은 이 같은 원격제어형 프로그램을 우체국 집배원, 택배기사, 고객센터 상담원 등으로 위장한 뒤 휴대전화에 설치하도록 유도하고 있다. 해당 프로그램은 기업에서 고객의 컴퓨터나 모바일 기기에 원격으로 접속해 서비스를 지원하는 용도로 쓰이지만, 범죄 조직은 이를 이용해 피해자의 휴대전화에 또 다른 악성 프로그램을 설치하거나 범행 마지막 단계에서 대화 내용을 삭제하는 증거 인멸 용도로 악용한다.
또 피해자가 걸고 받는 모든 전화를 가로채서 받고, 범죄 조직이 보유한 휴대전화로 전화를 걸 때 정상적인 기관 대표번호로 휴대전화 화면에 표시되도록 조작한다.
특히 키사는 최근 유포되는 악성 프로그램의 경우 프로그래밍 언어로 작성된 코드를 읽기 어렵게 만드는 '코드 난독화', 정상 프로그램으로 위장했다가 업데이트 방식으로 악성 프로그램이 설치되는 '드로퍼' 방식이 접목된 사실을 파악했다.
|
키사는 이러한 정교함을 가진 악성 프로그램이 완성 단계에 도달했다고 내부적으로 보고 있으며, 일부 악성 프로그램의 경우 개발자가 동일하다는 사실도 발견했다.
키사 관계자는 "상대방 권한을 빼앗아 장비를 장악하면 끝이기 때문에 원격제어형을 최종 단계로 보고 있으며, 그 이상 넘어가는 건 없을 것으로 보고 있다"고 말했다.
키사 관계자는 이어 "완성된 원격제어형 프로그램은 다양한 방면에서 피해를 일으킨다"며 "휴대전화를 원격제어해 탈취한 정보를 가지고 협박하면 보이스피싱, 그 정보를 활용해 부고장, 청첩장 등에 활용하면 스미싱, 휴대전화 카메라로 도촬하면 몸캠 피싱, 결국 프로그램을 어떻게 쓰느냐에 따라 피해 양상도 달라진다"고 설명했다.
이 관계자는 "텔레그램뿐만 아니라 카카오톡, 네이버 라인에서도 피해가 확인되고 있으며, 키사는 이러한 피해를 최대한 기술적으로 접근해 수사 기관에 정보를 제공하고 있다"고 부연했다.