"수익 내려다 털렸다"…안랩, 증권사 사칭 피싱 앱 주의 당부

모바일로 주식·코인·선물 거래를 하는 투자자들을 겨냥한 피싱 공격이 기승을 부리고 있다. 유명 증권사의 투자 플랫폼으로 위장한 가짜 앱을 설치하도록 유도한 뒤, 계좌번호와 비밀번호 같은 개인정보를 빼가는 방식이다.

안랩은 최근 국내외 유명 증권사를 사칭한 악성 앱이 유포된 정황을 포착했다고 밝혔다. 공격자는 유명 증권사의 모바일 투자 시스템(MTS)으로 위장한 앱을 제작해 퍼뜨렸다.

앱을 실행하면 로그인 화면이 나타나고 사용자가 자산 거래를 위해 회원가입을 하면 아이디, 비밀번호, 휴대폰 번호, 계좌번호, 이메일 계정 등의 입력을 요구한다. 입력된 정보는 즉시 공격자의 서버로 전송된다. 탈취된 개인정보는 크리덴셜 스터핑(Credential Stuffing) 등 추가 공격에 악용될 가능성이 크다. 크리덴셜 스터핑이란 유출된 계정 정보를 이용해 다른 온라인 서비스에 무작위로 로그인하는 공격 기법이다.

정상적인 금융 플랫폼은 회원가입 시 아이디 중복 확인, 비밀번호 복잡도 검증, 계좌번호 유효성 검사 등의 절차를 거친다. 하지만 안랩 분석 결과, 이번 악성 앱은 '가입코드' 입력 외에는 별다른 검증 없이 가입이 진행됐다. 공격자가 문자메시지(SMS)나 단체 채팅방, 소셜미디어 등을 통해 가입코드와 함께 앱 다운로드 링크를 유포한 것으로 보인다.

현재 안랩 V3 모바일 시큐리티는 해당 악성 앱을 탐지하고 있다. 하지만 사용자가 출처 불분명한 링크에서 앱을 다운로드하지 않는 것이 가장 효과적인 예방책이다. 자산 거래는 반드시 공식 거래소에서만 진행하고, 모바일 백신 앱을 최신 버전으로 유지하는 것도 중요하다.

장연철 안랩 엔진개발팀 선임 연구원은 "공격자는 사용자를 속이기 위해 더욱 정교하게 위장한 악성 앱을 제작·유포하고 있다"며 "공식 앱 마켓에서 악성 앱이 발견되는 사례도 확인된 만큼 모바일 사용자의 각별한 주의가 필요하다"고 말했다.

유진아기자 gnyu4@dt.co.kr