[체험!금융]직접 보이스피싱 먹잇감 되어 봤습니다

[이데일리 김유성 기자] 좀처럼 줄어들지 않는 보이스피싱을 기술적으로 막을 수 있는 방법이 없을까.

보이스피싱 방지 서비스 업체인 인피니그루의 도움을 받아 실제 피싱 범죄에 사용됐던 피싱 앱을 기자의 스마트폰에 직접 깔아봤다. 물론 인피니그루가 개발한 보이스피싱 방지 앱 ‘피싱 아이즈’를 설치한 이후다. 인피니그루는 최근 신한카드와 제휴한 업체다.

(그래픽= 이동훈 기자)

진짜 뺨치는 신한은행 피싱앱 깔아보니

깔린 피싱 앱은 감쪽같았다. 누가 봐도 신한은행 앱이었다. 앱 디자인과 색감은 진짜 신한은행 앱보다 더 좋아 보였다. 시험용이라곤 하지만, ‘내 개인정보가 통째로 해커한테 넘어가면 어쩌나’ 걱정이 앞섰다.

유경식 인피니그루 대표는 “사기꾼들은 정말 부지런히 일한다”면서 “진짜 앱을 가짜로 오인할 정도로 정교하다”고 혀를 내둘렀다.

파란색 앱 화면을 누르자 곧장 이름과 전화번호 등 개인정보를 입력하라는 화면이 떴다. 개인정보를 입력하도록 만든 일종의 덫이다. 사기꾼은 피싱을 통해 탈취한 개인정보를 활용해 사용자를 속인다.

피싱 앱에 장악돼 좀비가 된 스마트폰은 해커의 손에 놀아나게 된다. 사용자가 신고를 하려고 경찰에 전화를 걸어도, 그 전화는 해커에게 간다. 금융사에 전화를 걸어도 마찬가지. 사용자는 감쪽같이 속을 수 밖에 없다. 유 대표는 “사용자가 부주의해서 당하는 줄 알지만, 사실 당할 수 밖에 없어 당하는 것”이라고 말했다.

실제 스마트폰에 신한은행 피싱앱을 깔아본 모습.

앱만 깔고 몇 분이 지나자 전화가 왔다. 지역번호 ‘02’로 시작하는 유선전화 번호였다. 보이스피싱을 하려는 사기꾼의 전화일까. 침을 꼴깍 삼키고 전화를 받았다.

“신한카드입니다. 고객님이 피싱앱으로 추정되는 앱을 깐 게 모니터링 돼 전화드렸습니다.”

안심이 됐다. 테스트로 피싱앱을 깔았다고 하자 신한카드 직원도 안심을 했다. 혹여라도 불분명한 앱은 깔지 말라고 상담 직원은 신신당부를 했고 끊었다.

신한카드 쪽에 문의하자, 하루 10통 정도 이런 전화를 한다고 했다. ‘피싱아이즈’ 앱을 깐 신한카드 사용자가 피싱 앱을 깔았을 때다. 신한카드에 전화번호가 등록되지 않은 불특정 사용자에게는 전화를 하고 싶어도 못한다.

유 대표는 “신한카드를 시작으로 신한은행 등 제휴처를 늘려가고 있다”면서 “제휴 금융사가 늘어날 수록 피싱 방지 혜택을 받는 사용자들이 늘어날 것”이라고 예상했다.

신한은행 피싱앱(사진= 인피니그루 제공)

빅데이터 분석과 금융사 FDS 협조가 핵심

피싱아이즈는 사용자들로부터 사기꾼들에게 피생 현혹 데이터를 수집해 각 금융사들의 보유한 이상금융거래방지시스템(FDS)로 전송하는 방식을 기반으로 하고 있다.

예컨대 ‘대출’, ‘급전’처럼 피싱에 많이 쓰이는 문자 메시지나 카카오톡 메시지를 수집한다. 피싱앱이 깔렸다면, 피싱아이즈가 저장한 데이터베이스(DB)와 대조한다. 피싱앱이 깔린 것으로 판단되면 피싱아이즈와 제휴된 금융사들에게 이를 전송한다.

각 금융사의 FDS에서 이상 거래 징후 등에 대한 탐지를 한다. 더불어 피해자에게 공지를 한다. 피싱아이즈와 최초로 제휴했던 신한카드는 피싱앱을 설치한 이용자에게 직접 연락을 해 피싱 위험에 빠졌다는 점을 알렸다.

사용자가 직접 피싱아이즈 앱을 켜서 피싱 앱을 탐지할 수 있다. 일반적인 악성코드 제거앱처럼 실행해 피싱앱을 검색하고 삭제하면 된다. 유 대표는 “최근 금융앱에 내장(임베디드)하는 서비스도 제공하고 있다”면서 “사용자가 많아지고 제휴된 금융사가 늘어날 수록 피싱아이즈의 피싱앱 탐지 능력은 더 정교해질 것”이라고 말했다.

인피니그루의 앱 ‘피싱아이즈’는 누구나 무료로 앱 장터에서 다운로드 받을 수 있다. 신한카드·은행과 제휴를 맺었지만, 신한금융을 이용하지 않는 금융 소비자도 똑같이 피싱아이즈 서비스를 사용할 수 있다.