서민 금융자산을 '정밀 타격'하는 지능형 피싱 범죄 수법이 고도화되고 있다. 지난해 대량 유출된 개인정보가 활용된 영향이다. 개인정보를 토대로 "속을 수밖에 없는 대상"을 골라 범죄 표적으로 삼게 됐다는 것. 과거 불특정 다수에게 양적 공세를 펼치던 방식이 '질적 타격'으로 변화됐다는 분석이다. 인공지능(AI) 보안 기업 에버스핀은 26일 악성 애플리케이션(앱) 탐지 솔루션 '페이크파인더'를 통해 지난해 데이터를 분석한 결과를 공개했다. 에버스핀에 따르면 지난해 전체 악성앱 탐지 건수는 92만4419건으로 104만건에 달했던 전년보다 약 11% 줄었다.
에버스핀은 이를 '위협의 고도화'로 진단했다. 해킹으로 확보한 실명, 전화번호, 상세 구매 이력 등의 데이터가 해커들에게 범죄 대상을 식별하고 '공격 가이드라인'을 제공했다는 설명이다.
과거엔 불특정 다수에게 무작위로 악성앱 설치를 유도하는 양적 공세가 주를 이뤘다. 하지만 지난해의 경우 대기업·커머스 플랫폼에서 유출된 개인정보로 "속을 수밖에 없는 사람만 골라 공격하는 질적 타격으로 범죄 양상이 급변했다"는 것이 에버스핀의 분석이다.
세부 데이터를 보면 전통적 보이스피싱 수단인 '전화 가로채기' 유형은 28만건으로 전년보다 24.1% 줄었다. 사칭 앱 방식의 범죄 유형도 이 기간 45만건에서 32만건으로 30% 감소했다.
반면 스마트폰 내 민감 정보를 털어가는 '개인정보 탈취' 유형의 악성앱은 53% 급증했다. 지난해에만 32만건이 이 같은 방식으로 피싱을 진행해 최대 위협으로 부상했다. 해킹을 통해 확보한 정보만으로는 금융사 2차 인증 등을 뚫는 데 어려움이 있는 만큼 문자 인증번호, 신분증 이미지 등의 정보를 확보할 수 있도록 악성앱을 활용하고 있는 것이다.
해커들은 피해자의 상세 주문 내역을 미끼로 '배송지 오류 수정' 등을 요구하는 방식으로 접근한다. 이후 피해자가 의심하지 못하도록 악성앱 설치를 유도한 다음 문자 메시지, 연락처, 사진첩 등의 권한을 탈취한다. 이를 통해 금융 인증을 우회할 데이터를 수집한다.
에버스핀 관계자는 "지난해 해킹 대란은 해커들에게 '어떤 앱을 만들어야 범죄가 성공할지' 알려준 가이드라인과 같았다"며 "해킹으로 확보한 1차 데이터를 기반으로 2차 핵심 정보를 탈취하기 위해 설계된 정보 탈취 앱이 기승을 부린 한 해"라고 설명했다.
실제 지난해 이동통신3사(SK텔레콤·KT·LG유플러스)를 포함해 넷마블, 쿠팡 등 주요 기업들이 해킹 공격을 받았다. 이 과정에서 수천만명에 이르는 사용자 개인정보가 유출됐다. 가입자 약 2300만명의 개인정보를 털린 SK텔레콤은 개인정보보호위원회가 부과한 1300억원대 과징금에 불복해 행정소송을 제기하면서 날을 세우기도 했다.
에버스핀 관계자는 "개인이 문자의 진위를 가려내기엔 한계에 다다른 만큼 금융사들이 도입한 페이크파인더와 같은 전문 보안 기술이 서민들의 자산을 지키는 필수 안전장치가 되고 있다"고 강조했다.
김대영 한경닷컴 기자 kdy@hankyung.com