한국인터넷진흥원, 금융거래시 추가인증 우회하는 악성앱 주의 당부

SMS, ARS 등 착신전환 설정으로 금융사기 악용 가능

한국인터넷진흥원(KISA)는 최근 금융거래 추가인증을 우회하는 악성앱이 발견됐다고 15일 밝혔다.

지난해 9월부터 7개월간 탐지된 악성코드를 분석한 결과 기존 PC 인터넷 뱅킹을 노리는 ‘파밍’에 스마트폰을 노리는 ‘큐싱’을 결합한 악성코드가 발견됐다.

큐싱이란 QR코드를 통해 악성링크로의 접속을 유도하는 수법을 말한다. 현재 100만원 이상을 이체할 때 추가 인증 절차를 거치도록 보안을 강화했지만, 이 악성코드는 이를 우회해 피해를 줄 수 있기 때문에 주의가 요구된다.

KISA가 분석한 피해사례에 따르면 사용자 PC는 악성코드에 감염돼 정상 금융 사이트에 접속하더라도 가짜 금융 사이트로 연결된다. 이후 해커는 사용자 스마트폰에까지 악성코드를 감염시키기 위해 QR코드로 추가 인증을 유도한다. 이 QR코드에 저장된 인터넷주소(URL)를 스마트폰으로 불러오는 수법으로 악성앱을 설치하게 된다.

이 악성앱은 전화번호나 문자메시지 등의 정보를 탈취하고 문자 수신 방해, 착신 전환 서비스 설정 등을 시도할 수 있는 것으로 분석됐다. 현재는 착신전환 설정을 각 이통사 홈페이지나 매장 방문을 통해서만 신청할 수 있지만, 이러한 방식을 통해 전자금융거래 시 SMS, ARS 등 추가 인증을 우회해 금융사기에 악용할 수 있다고 KISA는 전했다.

이 악성코드로 인한 피해를 예방하려면 응용소프트웨어의 보안을 최신 버전으로 유지해 관리해야 한다. 또한 QR코드 등을 통해 악성 앱이 설치되는 것을 막으려면 스마트폰에서 ‘출처를 알 수 없는 앱 설치’ 허용 옵션을 사용하지 않도록 설정해야 한다.

박상환 KISA 코드분석팀장은 “만약 모든 보안카드 번호 등 비정상적으로 많은 정보를 요구하거나 QR코드 등으로 추가적인 앱 설치를 권하면 일단 의심해 봐야 한다”며 주의를 당부했다.