스마트폰 소액 결제를 노린 안드로이드 악성코드 '체스트(chest)'와 그 변종들로 인한 피해가 지속적으로 발생하고 있어 스마트폰 사용자의 급주의가 절실히 요망되고 있다.
14일 안랩에 따르면 지난해 11월 국내서 처음으로 스마트폰 악성코드에 의한 금전 피해를 일으킨 '체스트'는 현재 상당히 퍼져 가는 상태이다.
'체스트'의 제작ㆍ유포자들은 대규모 개인정보 유출사고로 새어 나간 개인정보 가운데 주민등록번호와 전화번호를 이용해 공격 대상을 선정하는 것으로 알려졌다.
이들은 전화번호 정보가 있는 대상을 골라 외식ㆍ영화 무료쿠폰 등을 준다며 특정 '인터넷주소'(URL)가 포함된 문자메시지(SMS)를 발송한다.
문자메시지는 제작자의 의도에 따라 그 내용이 다양하며, 사용자가 SMS에 나온 URL로 접속해 관렵 앱을 설치할 경우 악성코드가 포함된 체스트가 설치돼 통신사 정보와 전화번호가 해외에 있는 서버로 전송된다.
이 개인정보를 받은 악성코드 제작자는 기존에 갖고 있던 개인정보와 새로 빼낸 정보를 바탕으로 통상 '소액 결제' 사기를 시도한다.
결제 과정 중 휴대전화로 발송된 인증번호를 입력하는 단계가 있으나 체스트가 인증번호까지 유출하기 때문에 사기를 막기 어렵다.
게다가 사용자는 휴대폰 요금 청구서가 나온 후에야 자신이 소액결제 사기피해를 당한 것을 뒤늦게 알 수 있기 때문에 보이스피싱과 달리 즉시 대처가 사실상 불가능하다.
이호웅 안랩 시큐리티대응센터장은 "국내 휴대전화 소액결제 서비스는 월 30만원으로 한도가 제한돼 있지만, 개별 피해자들의 피해액을 합산하면 그 액수가 상당히 클 것"이라며 "문자메시지에 URL이 제시돼 있는 경우 함부로 접속해선 안 되며, 실수로 접속했더라도 관련 앱을 설치해선 절대 안 된다"고 말했다.
기상천외한 방법의 보이스피싱도 모자라 이젠 스마트폰 소액결제까지 노리는 전자사기 범죄에 금융소비자들이 대책없이 노출되고 있다.
금융소비자들 스스로 이러한 사기행위에 더욱 주의를 기울여야 함은 말할 것도 없지만, 금융전자 시스템을 만들어 제공하는 금융사나 이통사들도 이를 막기 위해 보안을 강화해야할 의무가 있다.
금융소비자들은 금융사나 이통사의 고객 보호를 위한 진실한 노력을 요청하고 있다.