안랩 모바일 분석 팀이 해외 친구 또는 연인을 가장해 사용자와 친분을 쌓은 뒤 암호화폐 투자를 유도해 금전을 갈취하는 로맨스 스캠을 발견했다. 공격자는 번역 기능을 탑재한 메신저를 이용해 전 세계로 활동 범위를 넓히고 있으며, 최근에는 가짜 암호화폐 거래소, 은행, 쇼핑몰을 악용하는 등 진화된 수법을 사용한다. 이번 글에서는 코인 투자를 권유하는 로맨스 스캠이 이뤄지는 과정을 소개한다.
1. 사용자 유인
공격자는 공격할 대상을 직접 찾아 나서기 보다는 자발적인 접근을 유도한다. 예를 들어, 먼저 SNS에 사용자가 관심을 보일 만한 게시글을 작성한다. 물론, 해당 게시글은 암호화폐와 관련이 없는 평범한 내용이다. 사용자가 게시글에 좋아요 또는 팔로우를 하면 공격자는 [그림 1]과 같이 DM(Direct Message)를 보내 고마움을 표시한다. 이후 대화를 계속 이어나가며 번역 기능을 지원하는 다른 메신저 앱으로 이동하자고 권유한다.
[그림 1]
2. 투자 심리 자극
공격자는 수일 동안 사용자와 대화를 주고받으며 스캠 진행 여부를 판단한다. 해당 사용자가 스캠 대상자로 확정되면, [그림 2]처럼 자신이 지인을 통해 암호화폐에 대한 비밀 수익 정보를 받고 있으며, 이를 통해 수익을 창출하고 있다고 말한다.
[그림 2]
3. 가짜 암호화폐 거래소 사용 유도
사용자가 암호화폐 투자를 배우고 싶다고 하거나, 비밀 수익 정보에 관심있다는 의사를 내비치면, 공격자는 가짜 암호화폐 거래소를 소개한다. 만약 사용자가 다른 정상적인 암호화폐 거래소를 사용하려는 경우, 자신이 이용 중인 거래소를 사용해야만 수익을 얻을 수 있다고 설득한다.
[그림 3]
4. 암호화폐 거래소 사칭 및 검색 정보 조작
최근 확인된 사례에서는 공격자가 ‘코인비‘(CoinB)라는 가짜 암호화폐 거래소를 소개했다. 코인비는 [그림 4]와 같이 나무위키와 위키백과에 언급돼 있다. 공격자는 두 온라인 백과사전이 불특정 다수의 인터넷 사용자가 편집할 수 있는 데이터베이스(DB) 웹사이트로, 거짓 정보를 추가하거나 내용을 조작할 수 있다는 점을 악용했다. 나무위키에 명시된 코인비 정보를 자세히 보면, 거래소 설립자, 정보, 관련 기사는 실제로 존재하는 미국 최대 가상화폐 거래소인 ‘코인베이스(Coinbase)’에 대한 내용이다.
[그림 4]
[그림 5]와 같이 유튜브와 페이스북에서도 코인비를 소개하는 별도 페이지가 확인됐다. 해당 페이지에 표시된 코인비 홈페이지(coinb.top)는 현재 서비스가 중단된 상태이며, 다른 도메인 주소로 연결된다.
[그림 5]
공격자는 [그림 6]과 같이 가짜 암호화폐 거래소를 이용할 수 있는 앱의 다운로드 주소를 안내한다. 해당 주소로 들어가면 공식 마켓의 다운로드 페이지와 유사하게 제작된 것을 확인할 수 있었다.
[그림 6]
앱 다운로드 페이지는 사용자 기기의 운영체제(OS)를 구분해 설치 파일을 다운로드한다. 앱을 설치한 후 실행하면 가짜 암호화폐 거래소를 이용할 수 있다.
[그림 7]
5. 가상 계정을 통한 앱 이용 학습
공격자는 앱을 설치한 사용자에게 가짜 암호화폐 거래소가 제공하는 가상 계정으로 로그인해 앱 사용 방법을 배우자고 제안한다. 이는 사용자가 앱의 일부 기능이 동작하지 않는 것을 보고 의심할 상황에 대비해 필요한 기능만 사용하도록 교육하고, 수익이 발생하는 것을 보여주며 사용자의 투자 욕구를 자극하기 위함이다.
공격자의 안내에 따라 앱 내 고객센터(Contact Us)에서 가상계좌를 신청하면 [그림 8]과 같이 프로톤메일(ProtonMail)로 가입된 가상 계정을 안내한다. 안내된 계정에는 50,000 USD(한화 6,885만 원) 상당의 암호화폐가 있으며, 해당 금액으로 가상 투자가 가능하다.
[그림 8]
사용자는 로그인 시 공격자의 안내에 따라 [그림 9]와 같이 비트코인(BTC)을 구매한다. 이 구매 행위는 실제 암호화폐 그래프의 영향을 받는 것이 아니라, 일정 시간이 지나면 계정 내 보유 금액만 늘어난다. 실제로 구매 시간 동안 비트코인 그래프를 확인했을 때 소폭만 변동되고 계속 유지되는 추세를 보였다.
거래 이후 공격자는 가상 계정의 수익을 언급하고, 해당 비밀 수익 정보는 사용자 본인에게만 알려주는 것이라며 다른 사람에게 투자 사실을 알리지 말 것을 당부한다.
[그림 9]
6. 개인정보 및 코인 유출
가상 계정을 이용한 학습이 끝나면 회원가입을 권유하는데, 이 과정에서 사용자의 앱 내 금융 및 개인정보 입력을 유도한다. 입력된 정보는 별도 검증을 수행하지 않는다. 사용자가 개인정보를 입력한 후에는 코인 구매를 위한 입금 방법 등을 안내한다. 이때, 사용자는 입금한 돈을 되찾을 수 없을 뿐만 아니라, 입력된 개인정보로 인해 2차 피해를 입을 수 있다.
[그림 10]
7. 유사한 가짜 암호화폐 거래소
안랩 모바일 분석 팀은 해당 로맨스 스캠 앱과 웹 주소를 바탕으로 유사한 사례들을 조사했다. 분석 결과, [그림 11]과 같은 다수의 가짜 암호화폐 거래소 앱과 사이트를 확인할 수 있었다. 이미 일부 가짜 거래소 사이트들은 스캠으로 발각돼 경고 알람이 뜨고 있었으며, 공격자는 자신이 발각되면 해당 거래소 서버를 닫고 다른 암호화폐 거래소 명으로 재출시하고 있었다.
[그림 11]
또한, 가짜 암호화폐 거래소 앱들의 다운로드 주소는 모두 다르지만, [그림 12]와 같이 동일한 스크립트를 사용하고 있으며, 제작된 앱 모두 동일한 코드로 이루어져 있는 것으로 보아, 하나의 그룹에서 앱들을 관리하고 있는 것으로 추정된다.
[그림 12]
로맨스 스캠은 사회공학적 기법을 사용하기 때문에 앱과 스캠 사이트만으로는 악성 유무를 사전에 인지하기 어렵다. 따라서 사용자는 불분명한 암호화폐 거래소 사용을 지양하고, 백신 앱을 최신 버전으로 유지해 피해가 발생하지 않도록 주의해야 할 것이다.
더 자세한 내용은 ASEC 블로그를 통해 확인할 수 있다.
