[ 기사/뉴스 ] (전자신문) [ET시론]보이스피싱의 기술적 이해

기사 원문

[ET시론]보이스피싱의 기술적 이해

 

요약

• 보이스피싱 범죄자는 해외에 콜센터를 두고 국내에는 심박스를 설치함
• 보이스피싱 피해자 선정과 대화 시나리오 간에도 분명한 '관계'가 있음

 

정리

• 지난해까지 가장 일반적 형태의 보이스피싱은 인터넷전화 통화를 국내 이동통신 통화로 변환시켜 주는 '심박스'를 통해 이뤄졌다.
  • 심박스는 인터넷 전화를 이용해 국경을 통과할 때 이통 과금을 피할 수 있어 유럽에서는 주로 과금 회피사기(Bypass Fraud)에 많이 사용됐다.

 

• 보이스피싱 범죄자는 해외에 콜센터를 두고 국내에는 심박스를 설치한다.
  • 콜센터와 심박스 통신은 인터넷전화를 통한 유선통신, 심박스와 보이스피싱 피해자끼리 통화는 이통으로 이뤄진다.
  • 초기에는 64회선 등 다수 회선을 포함한 심박스 장비가 주로 사용되다가 시간이 가면서 작은 회선 수를 갖는 심박스를 이용하고 있다.
  ⇒ 이 과정에서 '쉽게 돈 벌 수 있는 부업'으로 속여 심박스를 가정에 설치하는 사례가 급증했다.

 

• 심박스 동작을 위해서는 심카드가 필요하다. 초기에는 심박스에 심카드를 꽂아 쓰는 경우가 많았지만 최근에는 '심뱅크'라는 장비를 해외에 설치해 심카드·심박스 통신을 대체하기 시작했다. 이는 심박스가 적발될 때 심카드 압수를 막기 위한 수법으로 보인다.

 

• 보이스피싱 피해자 선정과 대화 시나리오 간에도 분명한 '관계'가 있다.
  • 예를 들어 저축은행의 고금리 대출자 개인 정보가 유출됐을 때는 저금리 대출 전환을 빌미로 피싱을 한다. 중소기업인 대상으로는 코로나19 정부 지원금 시나리오 등 유출되거나 선정된 개인 정보에 부합하는 시나리오를 준비해서 의심을 피한다.

 

• 이렇게 준비된 시나리오와 함께 피해자의 의심을 피하게 하는 두 번째 수단은 악성 앱에 구현된 통화 하이재킹 기능이다.
  • 보이스피싱에 속아 악성 앱을 설치하면(예를 들어 재난지원금을 받고 싶으면 이 앱을 설치해 달라고 한다) 앱 설치 이후에는 오고 가는 모든 통화에 대해 제어가 가능하다.

 

• 경찰의 대대적 단속으로 보이스피싱 조직은 심박스 대신 휴대폰을 중계기로 이용하기 시작했다. 패드 등 다른 기기를 해외에 두고 국내 휴대폰을 이용해 전화·문자를 보내는 기능(CMC·COD)을 활용한 것이다.

 

• 3세대(3G) 통신 기반의 심박스는 이제는 3G 기기가 거의 없어 LTE 를 사용하는 다른 기기나 3G 주파수의 전파 탐지를 통해 추적할 수 있었다. 하지만 CMC·COD를 사용하는 경우 LTE 또는 5G 신호를 이용하기 때문에 다른 기기와 주파수 측면에서 구분하기 어려운 점이 있다.

 

• 휴대폰 영역에선 최근 비약적으로 발전한 자연어 처리 기술을 활용, 보이스피싱 시나리오를 미리 탐지하고 경고할 수 있다. 악성 앱 탐지를 하고 악성 앱의 동작을 방해할 수도 있다. 조금 더 확실한 방법은 통화를 콜센터로 전환하는 기능을 안드로이드가 금지하는 것이다. 이는 구글과의 협의가 필요하지만 내려받아서 설치하는 솔루션보다 단말기에 기본 반영돼 누구나 보호받을 수 있다는 점에서 필요해 보인다.

 

• 보이스피싱은 이통·유선통신을 이용하기 때문에 네트워크 관점에서도 몇 가지 솔루션이 떠오른다.
  • 심박스는 휴대폰과 다른 통신 모뎀을 사용한다. 통신사가 빅데이터  솔루션을 이용해 심박스를 탐지할 수 있다.
  • 피해자의 신고가 있으면 이통사는 공격에 이용된 휴대폰(CMC·COD의 경우) 또는 심박스 이통 신호를 식별할 수 있다. 단말기에서 기지국으로 송신하는 내용은 암호화됐지만 단말기 송신 시점 정보는 기지국에서 할당하며, 암호화돼 있지 않다.
  • *CMC: Call & Message Contiunity *COD: Call on Other Device
  ⇒ 이 신호에 대한 방향 탐지 기술을 개발하면 휴대폰과 심박스, 즉 공격 단말기의 위치를 추적할 수 있다.

 

• 심박스의 경우 인터넷전화를 통해 해외로 전화를 연결하며, CMC·COD의 경우 삼성과 애플 클라우드를 통해 해외로 전화를 연결한다.
  • 전자의 경우 인터넷의 국경인 인터넷 교환노드(KIX) 양 끝단의 인터넷 주소가 식별될 수 있으며,
  • 후자의 경우 두 제조사의 클라우드에서 이통 식별자 등을 식별할 수 있다.
  ⇒ 보이스피싱은 다양한 관련 기업, 연구자의 노력을 결집해야만 해결할 수 있는 문제라 할 수 있다.

 

 

 

---

 

 

 

마무리

• 보이스피싱에 대한 기사나 뉴스는 많이 봤으면서 어떤식으로 보이스피싱이 이뤄지는지는 처음 알게되었다. 심박스라는 기기 존재에 대해서도 많이 신기했고, 인터넷 네트워크같은 네트워크 해킹쪽으로는 모르는 것이 많아서 보이스피싱 통신을 위한 과정을 이해하기가 처음에 어려웠으나 차근차근 이해하니 우와하며 신기하다는 말밖에 나오지 않는다. 나날이 발전하는 보이스피싱 기술을 막을 신호에 대한 확실한 대처 방법이 나와 한명이라도 피해자가 줄었으면 하는 마음이다.