유명 브랜드 무료쿠폰 가장 SMS로 악성코드 설치 유도
스마트폰 소액결제를 노린 안드로이드 악성코드 ‘체스트(chest)'에 의한 피해가 지속적으로 발생하고 있어 사용자의 주의가 요구된다.
서울 망우3동에 거주하는 용 모씨는 며칠 전 ‘카페베네 커피 2잔’이라는 내용의 스팸문자를 받았다.
용 씨는 단순한 쿠폰인 줄로 생각을 하고는 해당 메시지에 있는 링크를 클릭하자 스마트폰에 악성코드이 설치됐다.
이 일이 생긴 후 용 씨에게는 아무런 문자통보도 없이 다날로부터 15만원이 청구됐다.
용 씨는 인터넷 검색을 통해서 자신에게 왔던 스팸문자에 악성코드가 숨겨져 있었다는 사실을 알게 됐다.
용 씨는 SK텔레콤과 다날에 통화를 시도했지만 모두 “정상적인 처리였으므로 우리는 잘못이 없다”며 책임을 회피했다.
용 씨는 본지 제보를 통해 “일반 시민의 입장에서는 악성코드에 의한 사기인 것을 알고 있음에도 두 업체가 짜고 친다고 밖에는 생각할 수 없다”며 울분을 터뜨렸다.
글로벌 보안 기업 안랩(구 안철수 연구소, 대표 김홍선)은 지난 11월 국내 첫 금전 피해 사례를 발생시켰던 안드로이드 악성코드 ‘체스트(chest)’가 발견된 이후, 동일 악성코드 및 변종에 의한 소액결제 피해가 지속적으로 발생하고 있다고 밝혔다. 지금까지 발견된 유사 악성코드는 10여 개에 이르며 변종 악성코드가 계속 발견되고 있다.
기존 악성코드는 대부분 불특정 다수를 대상으로 하고 개인정보 탈취가 주 목적이었다. 하지만 ‘체스트(chest)’는 과거 발생한 대량의 개인정보유출 사고를 통해 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격대상을 정한다는 점에서 기존 악성코드보다 진보된 형태라 할 수 있다.
특히, 소액결제 시 반드시 필요한 인증번호 문자메시지가 직접 악성코드 제작자에게 전달되고, 사용자는 청구서가 나온 후에야 피해를 확인할 수 있다는 점, 대부분의 사용자가 핸드폰 사용 내역서를 꼼꼼히 살펴보지 않는다는 점에서 이후 유사한 피해가 추가 발생할 우려가 높다.
악성코드 제작자는 미리 확보한 개인정보 중 전화번호 리스트를 대상으로, 외식 영화 및 기타 유명 브랜드 무료쿠폰 등을 가장해 특정 URL이 포함된 문자메시지(SMS)를 발송한다. 문자메시지의 내용은 제작자의 의도에 따라 변경될 수 있다. 사용자가 URL로 접속하면 악성코드가 포함된 악성 애플리케이션의 설치를 유도한다. ‘체스트’가 사용자의 단말기에 설치되면 먼저 통신사 정보와 감염자 전화번호가 해외에 위치한 서버로 전송된다.
악성코드 제작자는 ‘체스트(chest)'가 전달한 정보로 감염자의 단말기를 식별하고, 이미 보유하고 있는 주민번호와 매칭해 소액결제를 시도한다. 이 때, 결제에 필요한 인증번호가 포함된 문자메시지가 사용자의 단말기로 전송되는 경우, 그 내용은 사용자 모르게 악성코드 제작자에게 직접 전달되어 결제에 사용된다. 악성코드 제작자는 게임 사이트 등에서 사이버머니를 구매해 되팔아 현금화하는 것으로 추정된다.
사용자는 정보가 외부 서버로 유출되는 것을 바로 알기 어렵기 때문에 청구서가 나온 후에야 피해 사실을 알 수 있다. 국내 휴대폰 소액결제 서비스 한도 금액이 매월 30만원으로 제한되어 있긴 하지만 현재 시장 규모가 2조8000억 원에 이르는 것을 감안하면 전체 피해액은 매우 클 수 있다.
안랩 이호웅 시큐리티대응센터장은 “이번 악성코드는 대량으로 유출된 개인정보와 결합해 지속적으로 스마트폰 사용자에게 실제 금전적인 피해를 입히고 있다”며 “사용자는 우선 수상한 문자메시지로 받은 URL을 실행할 때 주의하는 것이 필수이며 URL을 실행했을 때 애플리케이션의 설치를 유도하면 설치하지 않는 것이 좋다”고 사용자의 주의를 당부했다.
이 센터장은 “서드파티 마켓은 물론 구글 공식 마켓이라도 안심하지 말고 다른 사용자의 평판을 읽어본 후 설치하는 등 신중함이 필요하다”며 “아울러 수시로 V3 모바일과 같은 스마트폰 전용 백신으로 점검을 해보는 습관이 필요하다”고 말했다.
※참고)
용 씨의 경우 일단 과금내역을 요구한 후 그 내역이 과오금이니 구두보다는 내용증명으로 철회를 요구하는 것이 바람직 할 것으로 보인다.
내용증명은 보내는 내용을 육하원칙에 의해 확실하게 작성하는 것이 중요하고 문서 형식은 크게 상관없다.
이와는 별도로 콘텐츠산업 진흥법에는 제28조(이용자보호지침의 제정 등) 2항에 과오금절차등을 미리 고지토록 규정하고 있다.
과오납금 환불 절차 해결방법 등 보호절차를 미리 고지하는 등의 노력을 기울여야 하는데 이를 지키지 않을 경우엔 같은 법률 제28조⑤항 ‘콘텐츠사업자가 제2항 또는 제3항을 위반한 경우에 대한 시정권고, 시정조치 및 벌칙에 관하여는 「전자상거래 등에서의 소비자보호에 관한 법률」 제31조, 제32조, 제40조, 제41조 및 제44조를 준용한다. 이 경우 "공정거래위원회"는 "문화체육관광부장관"으로 본다’는 규정에 따라 문화체육관광부는 시정권고(31조). 시정명령(32조 1항)조치를 내릴 수 있으며 또한 잦은 법규 위반이나 시정명령 위반 시 1년 이하의 기간을 정해 영업을 정지시킬 수 있다.(32조 4항)
또한 시정명령위반 시 3년 이하의 징역 또는 1억 원 이하의 벌금에 처할 수 있으며(40조) 영업정지 명령 위반 시 2년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있다.(41조)
마지막으로 제40조부터 제43조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다고 규정돼 있다.(44조)