머니투데이

머니투데이 페이스북 머니투데이 트위터
통합검색

오늘의 증시

오늘의 증시
코스피 코스닥 원/달러
2092.40 690.18 1128.50
보합 4.34 보합 8.8 ▼0.7
+0.21% +1.29% -0.06%
양악수술배너 (11/12)조 변호사의 가정상담소 (10/18)
블록체인 가상화폐

인터넷 뱅킹 2차 인증, QR코드로 앱 다운 '조심'

[쉿!보안노트]<10>해킹도 융합이 대세'파밍+큐싱'주의보

진달래의 쉿! 보안노트 머니투데이 진달래 기자 |입력 : 2014.07.20 09:45
폰트크기
기사공유
편집자주언제 어디서나 '온라인(Online)' 상태로 사는 세상이다. 2020년 대한민국 한 사람이 사용하는 평균 모바일 기기 수가 11개까지 증가할 것이라는 전망도 나온다. 사람도 물건도 모두 실시간으로 연결되는 삶은 편리한만큼 불안하기도 하다. 알리고 싶지 않은 나의 각종 정보들이 온라인 공간에 흘러다니고 있는 것은 아닐까. 빠른 변화 속도에 밀려 일상생활에서 간과하고 넘어가던 보안 정보를 쉽게 풀어본다.
인터넷 뱅킹 2차 인증, QR코드로 앱 다운 '조심'
#인터넷 뱅킹을 사용하던 A씨는 2차 인증이 필요하다는 안내에 따라 QR코드를 이용해 스마트폰에 앱(애플리케이션)을 다운로드 받았다. 안내대로 정보를 입력하고 나서 계좌이체를 진행하는데 마지막 단계에 가서는 기기가 먹통이 됐다.

알고보니 A씨는 가짜 웹사이트에 접속해서 인터넷 뱅킹을 진행했던 것. PC와 스마트폰에 심어진 악성코드와 악성앱으로 인해 A씨가 입력한 개인정보와 금융정보 등이 모두 해커 손에 넘어가버렸다.

한국인터넷진흥원(KISA)에 따르면 A씨 사례처럼 PC와 모바일 모두에서 해커 공격을 당한 사례들이 최근 늘고 있다. 지난해 9월부터 미등록기기에서 전자 금융거래를 할때 2차 채널 인증을 의무화하면서 이를 악용해 이중으로 정보를 빼돌리는 수법이 나타나기 시작한 것이다.

해커들은 가능한 많은 정보를 털기 위해 파밍(Pharming)과 큐싱(Qshing)수법을 복합적으로 사용한다. 우선 특접 웹사이트 접속으로 악성코드에 감염된 PC에서 금융거래를 시도한 이용자들은 가짜 웹사이트로 넘어가게된다. 바로 PC에 가짜 은행사이트로 유도하는 악성코드를 설치하고 금융정보를 빼낸 후 예금을 인출하는 '파밍'이다.

이후 2차 인증이 필요한 것처럼 사용자를 속여 QR코드를 통해 악성 앱을 다운받도록 유도한다. 바로 '큐싱' 수법을 활용한 것. 해당 악성 앱은 전화번호, 문자메시지 등의 정보를 훔치고 문자 수신 방해, 착신 전환 서비스 설정 등을 시도한다. 보다 많은 정보를 빼돌려 금전적 이득을 취하기 위해 모바일 환경을 조작하는 것이다.

이렇게 되면 가령 소액결제서비스를 이용자가 모르는 사이 대신 이용할 수도 있다. 문자수신이 방해되기 때문에 본인인증 절차가 있더라도 이용자는 피해사실을 알 길이 없게 된다.

보안전문가들은 악성코드 피해를 예방하기 위해 백신, 웹 브라우저 등 응용소프트웨어 보안을 최신 버전으로 유지해야 한다고 말한다. 또 QR코드로 인한 악성 앱 설치를 막기 위해 스마트폰에서 '출처를 알 수 없는 앱 설치'를 사용하지 않도록 설정하라고 당부했다.

특히 은행 보안카드 번호를 모두 요구하는 등 비정상적으로 많은 정보를 요구하면서 QR코드 등으로 추가적인 스마트폰 앱 설치를 권하면 일단 의심해야한다고 조언한다.

진달래
진달래 aza@mt.co.kr

더 나은 사회를 위해 현장을 생생하게 전달하겠습니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%


오늘의 주요뉴스




종료된칼럼

베스트클릭

실시간 급상승

10.0초

5분간 수집된 조회수 기준

오늘의 운세

많이 본 뉴스