당신의 은행 계좌 노리는 해커..어떤 수법으로?

[아시아경제 김철현 기자] 계속되고 있는 금융권 개인정보 유출 사고로 인해 고객들의 직접적인 금전 피해에 대한 우려도 커지고 있다. 최근 은행에서 유출된 개인정보가 보이스피싱에 악용되는 사례도 발생했다. 그렇다면 개인정보를 불법으로 수집한 해커는 어떤 수법으로 은행 고객의 계좌에 접근할까?

가장 대표적인 수법은 '피싱'이다. 실제로 피싱 공격을 하는 범죄자들은 과거 어느 때보다 활발하게 금융기관을 사칭한 가짜 사이트를 만들어 사용자의 정보를 빼내고 은행 계좌에서 돈을 훔치는 데 열중하고 있다. 카스퍼스키랩의 연구 보고서인 '2013년 사이버 금융 위협'에 따르면 지난 한 해 동안 은행, 온라인 상점, 전자 결제 시스템을 사칭한 피싱 공격의 비율은 31.45%로 2012년 보다 8.5% 증가했다.

전자금융을 노린 악성코드를 배포하는 수법도 있다. 개인정보를 이용한 메시지를 보내 클릭을 유도, 악성코드를 설치한 뒤 돈을 인출하는 데 필요한 각종 금융정보를 빼돌릴 수 있는 것이다. 특히 최근에는 전자금융을 노린 악성코드가 늘고 있어 주의가 요망된다. 트렌드마이크로의 위협보고서에 따르면 지난해 온라인뱅킹 멀웨어 감염 수는 대략 100만 건에 달해 약 50만 건이었던 2012년보다 두 배 증가한 것으로 집계됐다. 그 만큼 은행의 계좌를 노린 해커들이 늘고 있다는 얘기다.

이는 국내 모바일뱅킹 사용자 증가와도 관련이 있다. 한국은행에 따르면 지난해 스마트폰 등 휴대용 기기로 현금을 인출하거나 자금을 이체하는 모바일뱅킹 등록자 수는 4933만명으로 1년 새 34.6% 급증했다. 모바일뱅킹 일평균 거래 건수는 200만건, 거래 금액은 1조4000억원에 이른다. 도입 초기인 2009년과 비교하면 건수는 7.5배, 금액은 5배 이상 늘어났다.

수법도 점점 교묘해지고 있다. 안랩에 따르면 최근 안랩의 대표적 스마트폰용 뱅킹 보안 제품인 'V3 모바일 플러스 2.0'의 삭제를 유도하는 '뱅쿤'류의 악성 애플리케이션(이하 앱)이 발견되기도 했다. 이 악성 앱은 사용자가 은행 앱을 실행하면 자동으로 동작하는 V3 모바일 플러스 2.0의 진단창을 사칭해 가짜 감염 메시지를 띄운 후, 사용자가 무심코 확인 버튼을 누르면 실제로는 보안프로그램을 삭제한다. 또 사용자 몰래 정상 은행 앱을 삭제하고 대신 가짜 앱을 설치해 금전 탈취를 시도한다.

최근에는 인터넷뱅킹 과정에서 사용자가 입력한 계좌정보와 이체 금액을 무단으로 변경해 해커의 계좌로 금액을 이체하는 신종 '메모리 해킹' 수법이 지속적으로 발견되고 있다. 이 수법은 컴퓨터에 특정 은행을 겨냥한 악성코드를 설치하고 메모리상의 데이터를 훔치거나 변조해 제2의 계좌로 예금이 인출되게 하는 방식이다.

금융보안 관계자는 "보안 사고를 예방하기 위해서는 현재 사용 중인 기기의 백신 소프트웨어와 보안 업데이트를 최신으로 유지하고 보안 수칙을 지키는 것이 중요하다"고 당부했다. 또 스미싱을 포함한 스마트폰 뱅킹 악성 앱으로 인한 피해를 줄이기 위해서는 문자 메시지나 SNS에 포함된 URL 실행을 자제하고 모바일 백신으로 스마트폰을 주기적으로 검사해야 한다. 반드시 정상 마켓을 이용해 앱을 다운 받는 습관도 필요하며, 정상 마켓에서도 다운로드하기 전에 반드시 평판을 확인해 보고 사용자 권한을 요구하는 항목이 과도하게 많지 않은지 확인하는 것도 중요하다. 소액결제를 차단하거나 결제금액을 제한하는 것도 좋은 방법이다.

김철현 기자 kch@asiae.co.kr