정부가 전자금융사기 피해를 막기 위해 100만 원 이상 이체 시 복수의 인증 절차를 거치도록 보안을 강화했지만, 오히려 이를 역으로 이용해 개인용 컴퓨터(PC)와 스마트폰을 한꺼번에 노리는 지능형 악성코드가 발견됐다.
한국인터넷진흥원(KISA)은 PC용 인터넷뱅킹을 노리는 파밍(Pharming)과 스마트폰 정보를 탈취하는 큐싱(Qshing)을 결합한 새로운 악성코드가 발견됐다고 15일 밝혔다. 새로 발견된 악성코드는 우선 PC를 감염시킨다. 사용자가 진짜 금융사이트 주소를 넣어도 가짜 금융사이트로 접속된 뒤 보안을 위한 2채널 인증 수단이라며 QR코드로 추가 인증을 사용자에게 요구한다. 스마트폰으로 이 QR코드에 접속하면 스마트폰도 악성코드에 감염된다. 해커는 이후 스마트폰에 저장된 전화번호와 문자메시지를 탈취하는 등 스마트폰을 자유자재로 조작할 수 있다.
박상환 KISA 코드분석팀장은 모든 보안카드 번호 등 비정상적으로 많은 정보를 요구하면서 QR코드 등으로 추가적인 스마트폰 프로그램 설치를 권하면 일단 의심해야 한다며 주의를 당부했다.황태호 기자 taeho@donga.com
About Dong-A Ilbo