가짜 앱으로 사기·해킹까지...피해 예방 위해 사용자 관심 필요
2022-07-20 07:00
VPN체크, 공식 앱스토어에 사기 앱 80여개 여전히 있어
방치한 앱에서 사용 비용 무단 청구...연간 1억 달러 규모
피해 예방 위해 알 수 없는 앱 설치 말고, 권한 부여도 신중해야
방치한 앱에서 사용 비용 무단 청구...연간 1억 달러 규모
피해 예방 위해 알 수 없는 앱 설치 말고, 권한 부여도 신중해야
스마트폰은 애플리케이션(이하 앱)을 통해 활용성이 높아진다. 웹 브라우저 앱으로 정보를 검색할 수 있고, 쇼핑몰 앱을 통해 언제 어디서나 물건을 구매할 수 있다. 지도 앱을 설치하면 내비게이션으로 활용할 수도 있고, 동영상 편집 앱으로 유튜브에 올릴 영상 제작도 가능하다.
하지만 모든 앱이 유용한 것은 아니다. 일부 앱은 사용자를 속이고 몰래 결제를 유도하기도 하며, 또 어떤 앱은 개인정보나 금융정보 유출에 악용되기도 한다. 특히 사용자 모르게 카메라나 마이크 등을 작동시켜 사생활 정보나 기밀정보를 유출하는 악성 앱도 존재하기 때문에 주의가 필요하다.
VPN체크(VPNCheck)가 발표한 자료에 따르면 지난해 3월 보안 기업 어배스트(Avast)가 발견한 애플 앱스토어 사기 앱 133개 중 84개가 여전히 서비스되고 있는 것으로 나타났다. 이러한 앱은 무료 체험 기간으로 사용자를 현혹한 뒤, 교묘한 방식으로 월간 구독료 자동 결제를 유도해 이용자에게 피해를 줬다. VPN체크는 이러한 앱이 연간 1억 달러(약 1312억원)를 벌어들였을 것으로 추정하고 있다.
이러한 앱을 흔히 플리스웨어(Fleeceware)라고 부른다. 이스트시큐리티에 따르면 플리스웨어는 짧은 무료 사용 기간 후 과도한 월 사용료를 부과하는 앱이다. 사용자가 앱을 쓰기 위해서 무료 체험판에 가입할 경우, 앱이 마음에 들지 않는다면 구독을 취소해야 추가적인 요금이 부과되지 않는다.
하지만 앱 사용자 대부분은 불필요한 앱을 그냥 삭제한다. 정상적인 앱 개발자라면 사용자가 앱을 삭제할 경우 구독을 취소한 것으로 간주하고 요금을 청구하지 않는다. 하지만 플리스웨어를 만든 개발자는 앱이 제거되더라도 체험 사용 기간을 취소해주지 않는다.
이들이 개발한 사기 앱은 QR·바코드 리더, 계산기, 손전등 등 기본적이고 단순한 형태의 앱이 많다. 뿐만 아니라 많은 경우 리뷰 조작을 통해 높은 별점을 주고, 검색 시 상위에 노출하는 방식도 사용하고 있다. 특히 이러한 앱은 설치 후 몇 번 사용하고 방치되는 경우가 많아 사용자의 관심 밖에 벗어난다. 결제 수단을 등록해놓고 앱 지불 내역을 관심 있게 보지 않는 사용자라면 피해를 입을 수 있다.
◆단순 사기 넘어 금융정보 유출까지...사용자 주의와 관심이 가장 중요
가짜 애플리케이션을 통해 발생하는 피해는 적지 않다. 플리스웨어처럼 단순한 사기 앱뿐만 아니라 정보를 유출하기 위해 제작된 스파이웨어(Spyware), 정상적인 앱으로 위장해 암호화폐를 채굴하는 크랩토재커(CryptoJacker) 등 다양한 앱이 사용자의 스마트폰을 노린다.
미국 연방수사국(FBI)은 18일(현지시간) 가짜 암호화폐 투자 앱이 사용자를 노리고 있다고 경고했다. FBI는 현재까지 사이버범죄자가 244명의 피해자로부터 4270만 달러(약 560억원)를 탈취한 것으로 추정하고 있다.
범죄자는 투자자를 대상으로 합법적인 암호화폐 투자 서비스를 제공한다고 속이며 악성 앱 설치를 유도하는 것으로 나타났다. 앱 설치 이후에는 서비스 이용을 위해 사용자에게 제공된 암호화폐 지갑으로 암호화폐를 전송하라고 안내한다. 하지만 해당 지갑은 범죄자의 소유며, 한 번 전송한 암호화폐는 되돌릴 수 없다.
특히 FBI는 결제 플랫폼 등으로 사칭해 가상자산을 노리는 범죄를 주의해야 한다고 강조했다. 투자 전문가를 사칭해 앱 설치를 유도하는 메시지를 주의해야 하며, 앱에 사용자 암호화폐 지갑이나 계정 정보 등을 유출하는 기능이 포함됐을 가능성도 있어 이를 무시하는 것이 좋다고 설명했다. 또한 암호화폐 소유자는 자신의 모든 계정에 다요소 인증(2단계 인증)을 적용하는 등 보호 조치가 필요하다고 덧붙였다.
이러한 악성 앱은 사기 등 사회적 이슈를 이용하는 사례가 많다. 특히 백신 접종이 본격화된 지난해 7월에는 국내에서 질병관리청을 사칭해 백신접종 증명서를 보냈다고 속이고, 앱 설치를 유도하는 사례가 발견되기도 했다.
사이버범죄자는 질병관리청을 사칭한 문자 메시지를 다수의 사용자에게 발송하고, '전자예방접종증명서 발송', '본인확인 필요' 같은 메시지로 사용자를 속이고, 문자 메시지에 포함된 인터넷 주소(URL)를 통해 악성 앱 설치 파일을 유포한다.
만약 사용자가 여기에 속아 설치 파일을 실행하면 공격자는 이를 통해 각종 개인정보를 무단 수집한다. 한국인터넷진흥원이 발견한 악성 앱의 경우 본인인증을 위해 신분증이나 면허증 사진 촬영을 요구하기도 하며, 은행 계좌번호와 비밀번호 입력을 요구하는 사례도 있다. 특히 공인인증서 비밀번호 등도 요구하며, 입력 시 이러한 금융정보가 모두 해커 손에 넘어가게 된다.
한국인터넷진흥원은 이러한 악성 앱으로부터 피해를 예방하기 위해 △스마트폰 운영체제와 모바일 백신 최신으로 업데이트하기 △공식 앱 마켓이 아닌 다른 출처(출처를 알 수 없는 앱)의 앱 설치 제한하기 △스마트폰 앱 설치 시 과도한 권한을 요구하는 앱은 설치하지 않기 △문자 메시지에 포함된 URL 클릭하지 않기 △스마트폰 보안 잠금(비밀번호 또는 화면 패턴)을 설정하여 이용하기 △와이파이 연결 시 제공자 불분명한 공유기 이용하지 않기 △루팅, 탈옥 등을 통한 스마트폰 플랫폼의 구조 임의변경 금지 △스마트폰에 중요정보(주민등록증, 보안카드 등) 저장하지 않기 △스마트폰 교체 시 개인정보 등 데이터 완전 삭제 혹은 초기화 △스마트폰, SNS 등 계정 로그인 2단계 인증 설정하기 등 10가지 보안 수칙을 권고했다.
이러한 사고를 예방하는 데 무엇보다 중요한 것은 사용자의 관심이다. 의심스러운 앱이나 문자 메시지 등을 주의하는 것은 물론, 백신 앱 등을 설치해 해커의 침입을 차단해야 한다. 결제와 관련해서도 결제 내역 등을 꼼꼼히 확인해 부당한 청구가 발생하지 않도록 확인해야 한다.
하지만 모든 앱이 유용한 것은 아니다. 일부 앱은 사용자를 속이고 몰래 결제를 유도하기도 하며, 또 어떤 앱은 개인정보나 금융정보 유출에 악용되기도 한다. 특히 사용자 모르게 카메라나 마이크 등을 작동시켜 사생활 정보나 기밀정보를 유출하는 악성 앱도 존재하기 때문에 주의가 필요하다.
VPN체크(VPNCheck)가 발표한 자료에 따르면 지난해 3월 보안 기업 어배스트(Avast)가 발견한 애플 앱스토어 사기 앱 133개 중 84개가 여전히 서비스되고 있는 것으로 나타났다. 이러한 앱은 무료 체험 기간으로 사용자를 현혹한 뒤, 교묘한 방식으로 월간 구독료 자동 결제를 유도해 이용자에게 피해를 줬다. VPN체크는 이러한 앱이 연간 1억 달러(약 1312억원)를 벌어들였을 것으로 추정하고 있다.
이러한 앱을 흔히 플리스웨어(Fleeceware)라고 부른다. 이스트시큐리티에 따르면 플리스웨어는 짧은 무료 사용 기간 후 과도한 월 사용료를 부과하는 앱이다. 사용자가 앱을 쓰기 위해서 무료 체험판에 가입할 경우, 앱이 마음에 들지 않는다면 구독을 취소해야 추가적인 요금이 부과되지 않는다.
하지만 앱 사용자 대부분은 불필요한 앱을 그냥 삭제한다. 정상적인 앱 개발자라면 사용자가 앱을 삭제할 경우 구독을 취소한 것으로 간주하고 요금을 청구하지 않는다. 하지만 플리스웨어를 만든 개발자는 앱이 제거되더라도 체험 사용 기간을 취소해주지 않는다.
이들이 개발한 사기 앱은 QR·바코드 리더, 계산기, 손전등 등 기본적이고 단순한 형태의 앱이 많다. 뿐만 아니라 많은 경우 리뷰 조작을 통해 높은 별점을 주고, 검색 시 상위에 노출하는 방식도 사용하고 있다. 특히 이러한 앱은 설치 후 몇 번 사용하고 방치되는 경우가 많아 사용자의 관심 밖에 벗어난다. 결제 수단을 등록해놓고 앱 지불 내역을 관심 있게 보지 않는 사용자라면 피해를 입을 수 있다.
◆단순 사기 넘어 금융정보 유출까지...사용자 주의와 관심이 가장 중요
가짜 애플리케이션을 통해 발생하는 피해는 적지 않다. 플리스웨어처럼 단순한 사기 앱뿐만 아니라 정보를 유출하기 위해 제작된 스파이웨어(Spyware), 정상적인 앱으로 위장해 암호화폐를 채굴하는 크랩토재커(CryptoJacker) 등 다양한 앱이 사용자의 스마트폰을 노린다.
미국 연방수사국(FBI)은 18일(현지시간) 가짜 암호화폐 투자 앱이 사용자를 노리고 있다고 경고했다. FBI는 현재까지 사이버범죄자가 244명의 피해자로부터 4270만 달러(약 560억원)를 탈취한 것으로 추정하고 있다.
범죄자는 투자자를 대상으로 합법적인 암호화폐 투자 서비스를 제공한다고 속이며 악성 앱 설치를 유도하는 것으로 나타났다. 앱 설치 이후에는 서비스 이용을 위해 사용자에게 제공된 암호화폐 지갑으로 암호화폐를 전송하라고 안내한다. 하지만 해당 지갑은 범죄자의 소유며, 한 번 전송한 암호화폐는 되돌릴 수 없다.
특히 FBI는 결제 플랫폼 등으로 사칭해 가상자산을 노리는 범죄를 주의해야 한다고 강조했다. 투자 전문가를 사칭해 앱 설치를 유도하는 메시지를 주의해야 하며, 앱에 사용자 암호화폐 지갑이나 계정 정보 등을 유출하는 기능이 포함됐을 가능성도 있어 이를 무시하는 것이 좋다고 설명했다. 또한 암호화폐 소유자는 자신의 모든 계정에 다요소 인증(2단계 인증)을 적용하는 등 보호 조치가 필요하다고 덧붙였다.
이러한 악성 앱은 사기 등 사회적 이슈를 이용하는 사례가 많다. 특히 백신 접종이 본격화된 지난해 7월에는 국내에서 질병관리청을 사칭해 백신접종 증명서를 보냈다고 속이고, 앱 설치를 유도하는 사례가 발견되기도 했다.
사이버범죄자는 질병관리청을 사칭한 문자 메시지를 다수의 사용자에게 발송하고, '전자예방접종증명서 발송', '본인확인 필요' 같은 메시지로 사용자를 속이고, 문자 메시지에 포함된 인터넷 주소(URL)를 통해 악성 앱 설치 파일을 유포한다.
만약 사용자가 여기에 속아 설치 파일을 실행하면 공격자는 이를 통해 각종 개인정보를 무단 수집한다. 한국인터넷진흥원이 발견한 악성 앱의 경우 본인인증을 위해 신분증이나 면허증 사진 촬영을 요구하기도 하며, 은행 계좌번호와 비밀번호 입력을 요구하는 사례도 있다. 특히 공인인증서 비밀번호 등도 요구하며, 입력 시 이러한 금융정보가 모두 해커 손에 넘어가게 된다.
한국인터넷진흥원은 이러한 악성 앱으로부터 피해를 예방하기 위해 △스마트폰 운영체제와 모바일 백신 최신으로 업데이트하기 △공식 앱 마켓이 아닌 다른 출처(출처를 알 수 없는 앱)의 앱 설치 제한하기 △스마트폰 앱 설치 시 과도한 권한을 요구하는 앱은 설치하지 않기 △문자 메시지에 포함된 URL 클릭하지 않기 △스마트폰 보안 잠금(비밀번호 또는 화면 패턴)을 설정하여 이용하기 △와이파이 연결 시 제공자 불분명한 공유기 이용하지 않기 △루팅, 탈옥 등을 통한 스마트폰 플랫폼의 구조 임의변경 금지 △스마트폰에 중요정보(주민등록증, 보안카드 등) 저장하지 않기 △스마트폰 교체 시 개인정보 등 데이터 완전 삭제 혹은 초기화 △스마트폰, SNS 등 계정 로그인 2단계 인증 설정하기 등 10가지 보안 수칙을 권고했다.
이러한 사고를 예방하는 데 무엇보다 중요한 것은 사용자의 관심이다. 의심스러운 앱이나 문자 메시지 등을 주의하는 것은 물론, 백신 앱 등을 설치해 해커의 침입을 차단해야 한다. 결제와 관련해서도 결제 내역 등을 꼼꼼히 확인해 부당한 청구가 발생하지 않도록 확인해야 한다.