월간안 5월호에서 소개할 온라인 스캠 시리즈 3편의 주제는 거짓 온라인 광고를 이용한 금융 투자 사기와 사칭 및 가짜 웹 사이트, 이메일을 통해 개인정보 또는 금전을 탈취하는 피싱 유형의 스캠이다. 특히 금융 투자 사기는 최근 범국가적으로 발생하고 있으며, 피싱 공격은 진위 여부를 판별하기 어려운 수준으로 진화하고 있다. 스캠 유형 별 구체적인 사례를 살펴보자.
2편 바로가기: 온라인 스캠 시리즈 2편 – 스캠의 종류와 몸캠 피싱
1. 온라인 금융 투자 사기
온라인 금융 투자 사기는 공격자가 불법적이고 부도덕한 방법으로 피해자를 속여 현금이나 가상 화폐 등의 금융 자산을 편취하는 범죄다. 공격자는 대부분 조직적으로 활동하며, 정교한 시나리오와 전문화된 다양한 공격 수법을 사용하기 때문에 연령이나 소득, 지적 수준에 관계없이 누구나 피해자가 될 수 있다.
1) 유명인 사칭 투자 플랫폼 광고
온라인 금융 투자 사기의 첫번째 사례로는 유명인 또는 전문가를 사칭한 플랫폼 광고가 있다. 지금은 잠잠해졌지만, 몇 개월 전까지만 해도 유명인 사칭 광고를 통한 불법 투자 사기가 횡행했으며, 이에 심각성을 느낀 유명인들이 직접 나서 정부를 상대로 문제 해결을 촉구하기도 했다. 공격자는 유명인의 사진을 무단으로 도용해 마치 해당 유명인이 투자 기회를 홍보하는 것처럼 조작하고, 이를 광고용으로 게시했다.
[그림 1] 유명인 사칭 유도 플랫폼 광고 예시
이 광고는 구글, 유튜브, 메타 등 많은 사람들이 이용하는 디지털 플랫폼에 빈번하게 노출됐다. 사진 속 유명인 또는 자극적인 썸네일에 혹한 사용자는 무심결에 링크를 클릭했다.
사기 플랫폼 광고는 구글이나 유튜브에서 검색했을 때도 노출됐다. 투자 관련 키워드를 검색하기만 해도 여러 개의 사칭 사이트가 최상단에 나타났으며, 해당 링크를 클릭하면 유명인을 사칭한 사이트로 접속됐다.
[그림 2]는 올해 3월 25일 구글과 유튜브에서 ‘급등주’, ‘주식 투자’와 같은 투자 키워드를 검색했을 때 나온 화면이다. 광고로 노출된 웹 사이트와 유튜브 영상은 모두 사기인 것으로 밝혀졌다.
[그림 2] 투자 관련 키워드 검색 결과
이에, 플랫폼 업계는 정책 위반 광고를 삭제하고 차단하는 등 다양한 조치를 취했다. 하지만 일부 사기 광고는 삭제되지 않은 채 그대로 남아있으며, 메타에는 아직까지 유명인 사칭 광고가 다수 노출되고 있다.
또한, 최근 유명인이 투자 플랫폼을 이용해 고수익을 냈다는 가짜 기사도 발견됐다. 해당 기사는 특정 언론사의 화면 구성, 색상, 글씨체 등을 완벽하게 모방한 사칭 사이트에 게재됐다.
[그림 3] 유명인 투자 관련 가짜 기사
해당 기사에서 언급된 투자 플랫폼 역시 사기로, 웹 사이트 접속 경로에 따라 지원 언어와 사칭 대상 유명인이 다른 것으로 확인됐다.
SNS 또는 포털에 노출된 유명인 사칭 광고 링크를 클릭하면 투자를 유도하는 가짜 사이트로 접속하게 되는데, 여기에는 모바일 메신저로 연결되는 링크가 있다. 사용자는 유명인 사칭 플랫폼 광고나 가짜 사이트의 메신저 앱(텔레그램, 라인, 카카오톡, 밴드 등) 접속 링크를 클릭해 채팅방에 참여한다. 이때부터 본격적인 금융 투자 사기 행위가 이뤄진다.
[그림 4] 단체 채팅방 접속 유도 화면
공격자는 사람들이 투자할 때 타인의 말과 행동에 크게 영향을 받는다는 점을 교묘하게 이용한다. 사용자를 수십 명에서 많게는 수백 명이 참여 중인 단체 채팅방에 초대한다.
이 단체 채팅방은 스캠 공격자들의 소굴이다. 채팅방에는 투자 정보와 주식 종목을 추천하는 한 명의 투자 전문가와 투자 전문가를 보조하며 소통 창구 역할을 하는 서포터, 그리고 전문가와 서포터의 말과 행동에 호응하는 대다수 투자자가 있다. 물론 이들은 모두 한 패다. 투자자는 전문가의 말을 따르니 정말 수익을 낼 수 있었고, 더 적극적으로 투자를 하겠다며 투자자를 전적으로 신뢰하는 분위기로 몰아간다. 채팅방에 접속한 사용자 중 일부는 투자자들의 수익률 인증과 전문가를 신뢰하도록 조작된 각종 자료를 보고, 자신도 투자하겠다는 마음을 먹는다.
이 과정은 단기간에 이루어지지 않으며, 최소 2~3주에서 최대 한 달 이상 장기간 진행된다. 투자금을 실제로 입금할 만한 순진한 사용자를 골라 내는 절차가 필요하기 때문이다. 만일 사용자가 해당 기간 동안 전문가를 의심하거나 판을 깨는 발언을 하면, 해당 메시지 문구는 즉시 가려지고, 채팅방에서 강제 퇴출 당한다.
[그림 5] 투자 사기 목적의 모바일 단체 채팅방
사기 행위를 벌이는 시나리오는 채팅방 별로 다르며, 꽤 자연스럽고 그럴 듯하다. 어떤 공격자는 실존하는 투자 회사를 사칭해 사무실을 만들고 연기를 하기도 했다. 또한, 공식 홈페이지를 복제해 영상을 올렸으며, 일부는 얼굴을 노출하는 대범함을 보였다.
[그림 6] 공격자가 제작한 가짜 투자 사이트
공격자는 가짜 보도자료 또는 라이브 투자 강의를 공유하거나, 모바일 기프티콘을 뿌리고 매일 안부 인사를 하는 등 사용자의 의심을 사지 않기 위해 많은 노력을 기울였다. 그리고 대한민국 투자 시장에 관한 해박한 지식을 뽐내기도 했다. 이 외에, 채팅방에 가짜 모바일 앱 설치 링크를 보내며 사용자의 다운로드를 유도했다.
공격자 중에는 간혹 한국어를 유창하게 구사할 수 있는 사람도 있었지만, 대다수 말투는 다소 어색한 경향을 보였다.
[그림 7] 가짜 모바일 앱 설치 링크 접속 시 나타나는 화면
공격자는 투자금을 입금하려는 사용자에게 투자금을 관리할 수 있는 전용 웹 사이트 혹은 모바일 앱 정보를 전달했다. 이 정보는 단체 채팅방이 아닌 단독 채팅을 통해 공유됐다. 모바일 앱은 구글 플레이(Google Play)나 애플 앱 스토어(Apple App Store)와 같은 공식 앱 스토어에 등록돼 있었으며, 웹 뷰(Web View) 기능만 제공했다. 하지만 앱이 공식 앱 스토어에 등록돼 있어 사기를 의심하는 사용자가 많지 않았다.
모바일 사기 앱의 주 목적은 사용자의 투자금 입금을 유도하는 것이었다. 투자금 입금 시 사용자는 신분증 앞뒤 사진을 전송한 뒤 심사를 받아야만 거래할 수 있었다. 투자 사기 피해자는 돈만 잃는 것이 아니라, 신원 정보도 탈취당했다.
유명인을 사칭한 플랫폼 광고는 태국, 일본 등 다른 아시아 국가에서도 확인됐다. [그림 8]은 동일한 광고주가 국가 별로 다른 사기 광고를 업로드한 사례다. 사칭 대상은 주로 해당 국가에서 잘 알려진 금융 전문가나 사회적 영향력이 있는 유명인으로, 국내 사례와 마찬가지로 광고를 클릭하면 투자 사기 사이트로 연결됐다.
[그림 8] 해외 유명인 사칭 광고 사례
2) 고수익 부업 사기
온라인 금융 투자를 유도하는 두번째 스캠 사례는 부업 사기다. 부업 사기는 공격자가 주로 인스타그램을 통해 전업주부 및 여성들에게 팔로우를 걸어 DM(Direct Message)을 보내는 방식으로 이뤄진다. 공격자의 인스타그램 피드에는 경제적으로 여유로운 일상 또는 값비싼 물건을 보여주는 사진이 많다. 이 사진들은 모두 도용한 것이다. 이런 사진들로 사용자의 동경심을 불러일으키고, 사용자가 공격자에게 먼저 연락하도록 유도한다.
[그림 9] 부업을 홍보하는 스캠 공격자의 인스타그램 계정 피드
불법 카지노 베팅
공격자는 자신처럼 성공할 수 있는 비결로 간단한 온라인 게임을 제시하며, 웹 사이트에서 금액을 충전할 것을 요구한다. 사실 이것은 불법 카지노다. 공격자는 확실한 원금 보장을 약속하고, 투자 초기에는 수익금을 지급한다. 하지만 투자 금액이 점차 커지면 각종 이유를 대며 돈을 돌려주지 않고 추가 입금을 요구한다.
[그림 10] 베팅을 유도하는 스캠 사기
마케팅 부업 사기
마케팅 부업 사기도 비일비재하게 발생한다. 마케팅 부업 사기는 대체로 합법적인 마케팅 회사로부터 발생한다. 마케팅 회사는 부업을 원하는 사람을 모집하고, 이들에게 마케팅 플랫폼과 일감을 유료로 제공한다. 부업을 신청한 사용자는 부업 초기에 수백만 원 이상의 가입비 또는 교육비를 선 입금한다. 이들은 블로그 광고 글이나 체험단 후기 작성, 쇼핑몰 운영 등을 통해 소소한 수익을 낸다.
문제는 마케팅 회사에서 인력을 직접 관리하지 않고 개인들에게 의존한다는 것이다. 마케팅 부업은 개인이 다른 사람을 온라인으로 모집해 교육과 일감을 제공하는 구조다. 다시 말해, 실제로 일을 함으로써 얻는 소득은 훨씬 적고, 새로운 사람을 모집해야 높은 수익을 얻을 수 있다. 그래서 신규 인력만 모집하고 그 이후에는 연락을 소홀히 하거나 아예 끊어버리는 사례가 종종 확인된다.
다른 사람을 마케팅 부업 시장으로 끌어들이지 못하고 일만 해서는 초기 투자금을 회복하는데 상당히 오랜 시간이 걸린다. 따라서 마케팅 부업은 누군가에게는 좋은 일자리일 수도 있지만, 다단계 사기나 거의 다름없다.
[그림 11] 마케팅 부업 사기 예시
공동 구매
또한, 공격자는 불특정 다수에게 모바일 문자 메시지를 통해 상품 구매 대행 일자리를 소개하고, 연락을 유도한다. 회신을 한 사용자에게는 상품을 구매하고 일정한 수익금을 챙길 수 있다는 말로 현혹시킨다.
몇 차례 수익금을 지급해 신뢰를 쌓은 다음에는 점차 상품의 구매 가격을 높인다. 사용자는 더 많은 수익을 내기 위해 수백 또는 수천만 원의 자본을 투입한다. 그 이후에는 몇 명이 함께 참여하는 팀 공동구매로 이어지는데, 다른 팀원들의 정체는 스캠 공격자다. 이들은 단합과 공동 목표 달성이라는 명목 하에 사용자가 더 큰 액수의 돈을 입금하도록 한다.
사용자가 부업을 그만두고 최소한의 자금을 회수하려는 경우에도 공격자는 수수료나 세금 등 각종 꼼수를 부려 최대한 많은 돈을 갈취하려고 한다.
[그림 12] 공동 상품 구매 사기 예시
3) 로또 번호 추천 및 공모 청약
공격자는 매우 높은 확률로 당첨될 수 있는 로또 번호를 제공해 준다며 수업료 입금 및 불법 사행성 게임 참여를 유도한다. 로또 번호를 이용한 사기는 오래 전부터 유행했지만, 현재도 여전히 활발히 벌어지고 있다. 공격자가 보여주는 각종 자격증, 증명서, 수익 인증 화면은 모두 허위다.
[그림 13] 로또 번호 추천 사기
이 밖에, 공격자는 상장 예정인 기업을 사칭해 존재하지 않는 특별 공모 청약을 받기도 한다. 사칭 사이트는 실제 사이트와 똑같이 제작됐지만, 공모주 신청을 위한 개인정보 입력란이 있다는 차이가 있다. 공격자는 사용자에게 청약금을 받고, 그 이후에는 잠적한다.
[그림 14] 공모주 신청 사기 웹 사이트
4) 피해자 두 번 울리는 2차 사기
사용자는 사기를 당하면 온라인 커뮤니티를 통해 피해 구제 정보를 찾는다. 그런데 이때도 피해자를 노리는 또 다른 공격자가 있다. 여기서부터 2차 사기 범죄가 시작되는 것이다. 이미 패닉 상태에 빠진 피해자는 손실금을 되돌려주겠다는 공격자의 말을 신뢰한다. 공격자는 피해자에게 임시로 자금을 만들어 이체하라는 등의 비상식적인 요청을 하고, 자금을 갈취한다.
[그림 15] 2차 사기 사례
2. 쇼핑몰 사칭 및 무단 복제
온라인 쇼핑몰을 이용한 사기는 실제로 존재하는 쇼핑몰을 모방하거나, 가짜 쇼핑몰을 직접 제작한 유형이 있다.
먼저, 기존 쇼핑몰을 사칭한 유형부터 살펴보자. 일부 불법 사칭 온라인 쇼핑몰은 정상 온라인 쇼핑몰의 화면을 완벽하게 복제한다. 레이아웃, 색상, 배너, 아이콘 등의 시각적 요소뿐만 아니라 상품 정보도 정상적인 쇼핑몰과 동일하게 모방해 진짜인지 가짜인지 구분하기 어렵다.
웹사이트 하단의 사업자 정보 영역 역시 정상 쇼핑몰의 정보를 도용하며, 웹 사이트 도메인 주소 역시 정상 도메인과 유사하게 설정한다. 따라서 쇼핑몰 브랜드만 알고, 정확한 도메인 주소를 모르면 스캠 여부를 알아차리기 쉽지 않다.
|
정상 온라인 쇼핑몰 |
사칭 온라인 쇼핑몰 (현재는 접속 불가) |
[표 1] 정상 쇼핑몰과 사칭 쇼핑몰 URL 비교
국내에서 발견된 사칭 온라인 쇼핑몰은 정상 쇼핑몰과 비교하면 상품 가격이 일반적인 유통 가격에 비해 현저히 낮게 책정돼 있어 소비자의 구매 욕구를 자극한다. 또한, 상품 검색이나 고객 문의 등 온라인 쇼핑몰의 일부 기본 기능이 제대로 작동하지 않는다. 이뿐만 아니라, 결제 수단으로 신용카드는 지원하지 않으며, 계좌이체에 한정돼 있다.
[그림 16]는 국내 온라인 쇼핑몰을 사칭하고 불법적으로 복제한 스캠 사이트의 예시다.
[그림 16] 국내 유명 온라인 소핑몰을 불법 복제한 가짜 쇼핑몰
공격자는 가짜 쇼핑몰을 자체적으로 제작하기도 한다. 가짜 쇼핑몰은 소비자를 속이기 위해 할인 이벤트, 구매 후기, 쇼핑몰 소개 페이지를 노출하고, 고객 문의에 성실하게 응대하는 등 정상적인 쇼핑몰로 위장한다. 또한, 상품 정보 제공, 신용카드 결제, 고객 지원 등 쇼핑몰의 주요 기능을 대부분 탑재했다. 하지만 소비자는 물건을 주문하고 결제를 완료하더라도 물건을 받지 못할 가능성이 높다.
공격자가 가짜 쇼핑몰을 직접 만드는 경우에도 실제 쇼핑몰을 사칭한 사례와 유사하게 낮은 상품 가격을 제시하고, 상품 이미지와 배너, 쇼핑몰 소개 페이지 콘텐츠를 다른 쇼핑몰에서 무단으로 가져오거나 복제한다. 따라서 평판 조회 등 외부 정보를 통한 신뢰도 검증 없이는 스캠 여부를 판단하는 데 한계가 있다.
[그림 17] 다른 사이트의 이미지를 가짜 쇼핑몰 배너 제작에 활용한 사례
3. 가짜 로그인 페이지
가짜 로그인 페이지는 사용자 계정 탈취를 목적으로 한다. 공격자는 실제 로그인 페이지와 유사한 피싱 페이지를 만들어 사용자의 로그인을 유도한다. 과거에는 레이아웃이나 로고 크기 등 시각적으로 어색한 피싱 페이지가 많았지만, 최근에는 정상과 구분하기 어려울 정도로 비슷하다. 사용자가 계정 정보를 입력하면 예상했던 화면이 그대로 나타나기도 한다. 이런 이유로, 로그인 페이지의 소스 코드를 면밀히 확인하지 않으면 가짜라는 것을 인지하기 어렵다.
[그림 18] 가짜 로그인 페이지 사례
4. 피싱 이메일
공격자는 사용자를 속이기 위해 피싱 이메일의 발신자 주소를 바꾸거나 이메일 본문 내용을 정상 메일과 매우 유사하게 만든다. 이 유형의 공격은 사용자가 첨부 파일을 실행하거나, 외부 링크를 클릭해 악성 파일 다운로드 및 악성 웹 사이트에 접속하도록 한다. 최근 공격자는 불특정 다수에게 무차별적으로 이메일을 발송하면서도, 수신자의 이메일 주소를 활용해 맞춤형 공격을 시도하기도 한다. 발신자 주소가 변조된 이메일은 DMARC(Domain-based Message Authentication Reporting and Conformance)와 같은 이메일 인증 체계를 도입하면 일정 부분 해결할 수 있지만, 설정과 관리가 복잡하다는 단점이 있다.
[그림 19] 피싱 이메일 사례
-- 4편에서 계속 --
