④ 4년간 판결문 전수조사
“대출받으려면 아이폰 안 돼
해킹됐으니 갤럭시로 교체”
안드로이드폰 사용 유도
범죄 첫 단계 ‘악성앱 설치’
안드로이드폰이 취약한 탓
“새희망홀씨라는 정부에서 나온 저금리 대출 상품이 있다. 대출을 받게 해줄 테니 휴대전화를 아이폰에서 갤럭시로 교체하라.”
“계좌가 범죄에 연루되었다. 구속수사를 해야 하는데 약식수사로 진행해주겠다. 아이폰은 해킹폰으로 범죄에 악용될 수 있으니 안드로이드폰으로 바꿔라.”
이는 보이스피싱 관련 판결문에 흔히 등장하는 수법이다. 전화를 건 보이스피싱범들이 피해자 휴대전화에서 악성앱(애플리케이션) 설치가 막히자, 안드로이드폰을 새로 개통하도록 유도한 뒤 돈을 뜯어가는 것이다. 악성앱을 이용한 범죄는 거의 100% 안드로이드 기반 휴대전화에서 발생한다고 전문가들은 말한다.
당국에선 범죄에 자주 사용되는 앱은 따로 추려 차단하고 있지만, 개방형인 안드로이드 운영체제(OS)의 태생적 한계와 고도화하는 범죄 수법으로 인해 범죄를 모두 막기에는 역부족이다.
경향신문은 2021년 1월부터 올해 10월18일까지 약 4년간의 1심 형사사건 판결문을 전수조사했다. 이 기간 ‘안드로이드 보이스피싱’ 사건으로 분류된 판결은 총 71건이고, 이 중 ‘안드로이드’ ‘개통’ ‘보이스피싱’ 조합으로 사건을 추리면 총 38개 판결문이 검색됐다. 수사 중인 사안까지 포함하면 유사 사건의 규모는 훨씬 커질 것으로 예상된다.
판결문을 분석해보면 범죄의 첫 관문은 ‘악성앱’ 설치다. 범죄조직은 주로 불특정 다수에게 문자메시지로 사회적 관심 사안이나 사람들이 쉽게 속는 미끼를 던지며 악성앱이 깔리는 인터넷주소(URL)를 보낸다. 이때 문자를 받은 사람의 단말기가 아이폰이냐 안드로이드형 폰이냐에 따라 최종 피해 여부가 결정적으로 갈린다.
폐쇄형 OS를 채택하는 아이폰에서는 악성앱 설치 자체가 막히는 반면, 개방형인 안드로이드 OS 기반 휴대전화에선 악성앱 다운로드가 가능하기 때문이다.
안드로이드폰은 URL을 클릭하는 순간 악성앱이 다운로드돼 스마트폰 제어권이 피싱범들에게 넘어간다. 이제 무엇을 하든 범죄자가 피해자의 일거수일투족을 파악하고 금융기관 앱을 통해 대출도 받을 수 있다. 수사기관이나 금융기관에 전화를 걸어도, 실제 통화는 범죄조직으로 연결돼 꼼짝없이 그물망에 걸리게 되는 셈이다. 보이스피싱 차단 앱을 개발하는 유경식 인피니그루 대표는 “URL을 클릭한 순간 이미 자기가 속고 있는 줄 모르는 경우가 태반”이라며 “휴대전화를 잠시 뒤집어두라는 말을 (피해자가) 따르는 경우도 봤다”고 말했다.
악성앱이 유독 안드로이드형에서 깔리는 건 ‘사이드로딩’ 기능 때문이다. 사이드로딩은 까다로운 안전성 규제를 통과한 앱만 파는 앱스토어를 거치지 않고, 직접 인터넷을 통해 다양한 앱을 내려받게 만드는 시스템이다. 애플은 앱스토어에서 파는 앱만 설치되기에 악성앱이 뚫지 못한다. 아이폰은 앱스토어에서 다운로드한 정상앱이라도 미러링(화면을 다른 기기에서 볼 수 있는 기능)만 허용하고, 원거리 조정 기능은 차단하고 있다.
삼성전자는 갤럭시에 사이드로딩 비활성화 기능을 두고 있다. 다만 피싱범들의 감언이설에 속아 사용자가 이를 해제하면 악성앱이 쉽게 깔린다.
신종철 연세대 겸임교수는 “애플은 폐쇄망이라서 보안 이슈가 없는 대신 이 형태를 유지하기 위해 앱 개발자 등에게 높은 수수료를 받는다. 반면 안드로이드는 다양한 앱을 수용하는 대신 자신의 OS 생태계를 넓히는 박리다매 형식”이라며 “출발점이 다르기에 무엇이 옳다고 볼 수도, 한쪽을 고칠 수도 없다”고 말했다.
당국은 일단 보이스피싱 범죄에 자주 사용되는 원격제어 앱을 차단하는 예방책을 내놓았다. 하지만 악성앱이 실시간으로 수도 없이 만들어지고 배포되는 데 비하면 갈 길이 멀다. 한 금융권 관계자는 이를 놓고 “창은 너무 많고 방패는 제한적”이라고 표현했다.
금융감독원은 금융기관 소비자보호총괄책임자(CCO) 간담회에서 악성앱 예방 앱 설치를 권고했지만 은행권은 주저하는 분위기다. 시중은행 관계자는 “차단 앱을 도입해 보안을 강화하면 속도가 느려진다”며 “은행에선 보안과 속도를 놓고 고민할 수밖에 없다”고 말했다.
<시리즈끝>