뉴스

[월드리포트] 새벽에 날아온 인증코드 문자…수만 위안이 갑자기 사라졌다

[월드리포트] 새벽에 날아온 인증코드 문자…수만 위안이 갑자기 사라졌다

송욱 기자 songxu@sbs.co.kr

작성 2020.06.26 15:50 조회수
프린트기사본문프린트하기 글자 크기
지난해 7월 중국 하이난성에 사는 송 모 씨는 새벽 3시에 휴대전화에 문자메시지 몇 통을 갑자기 받았습니다. 잠시 후 마지막으로 받은 문자는 그녀의 은행 계좌에서 5만 위안, 약 850만 원이 이체됐다는 내용이었습니다. 송 씨의 돈은 700km 떨어진 광둥성에서 인출됐습니다. 신고를 받은 경찰은 돈을 인출한 용의자를 검거했고, 다행히 5만 위안도 찾을 수 있었습니다. 그런데, 송 씨는 휴대전화를 조작하거나 개인 정보를 유출한 적도 없었는데, 어떻게 범행이 이뤄졌을까요?

송욱 취파용
중국 경찰의 조사 결과, 범행 핵심은 문자메시지 인증 코드였습니다. 중국의 웨이보, 타오바오 등 많은 앱들은 로그인이나 본인을 확인할 때 두 가지 방식을 많이 이용합니다. 하나는 아이디와 비밀번호를 입력하는 것이고, 다른 하나는 가입할 때 기입한 전화번호로 인증 코드를 문자메시지로 받아 입력하는 방식입니다. 인증 코드 방식은 비밀번호를 기억할 필요 없어 편리하고, 내 휴대전화로 필요할 때마다 코드를 받는 만큼 안전하다고 여겨져 중국에서 많이 사용되고 있습니다.

범인들은 송 씨의 인증 코드 문자메시지를 중간에 가로챘습니다. 이용한 건 구형 전화기와 2G 네트워크였습니다. 속도와 보안을 자랑하는 5G 네트워크 시대가 시작됐지만, 신호가 좋지 않은 곳에선 휴대전화 신호가 2G 네트워크로 바뀝니다. 중국 전문가들에 따르면 2G의 암호화 기술은 상대적으로 간단해 해독도 비교적 용이합니다.

송욱 취파용
이런 허점을 이용해 범인들은 한대에 15위안, 2천5백 원 정도 하는 모토로라 구형 핸드폰들을 개조해 일종의 안테나를 만들었습니다. 이를 컴퓨터에 연결해 특정 프로그램을 가동하면 기지국 신호를 모방해 주변의 휴대전화 신호를 탐지할 수 있다고 경찰은 설명했습니다. 탐지된 휴대전화의 번호와 문자 메시지는 범인들의 컴퓨터에 자동으로 표시됩니다. 범인들은 피해자 송 씨의 주거지 주변에서 장비를 이용해 문자메시지를 탈취했고, 다른 지역에 있는 일행이 돈을 빼냈습니다.

범인들은 신호 방해 장치를 사용해 강제로 2G 네트워크로 바꾸기도 했습니다. 그리고 돈을 인출하는데 필요한 주민번호, 계좌번호 등 개인정보들을 알아내는데도 인증 코드를 사용했습니다. 인증 코드로 인터넷 쇼핑이나 보험 등의 여러 앱에 로그인한 뒤 이용자가 입력한 개인정보 등을 알아낸 것으로 조사됐습니다. 이런 범행들은 의심을 피하기 위해 문자 메시지 사용량이 많은 사람을 대상으로 했고, 시간대도 주로 새벽에 이뤄졌습니다.

송욱 취파용
앞서 지난해 5월 중국 허난성 정저우에서도 같은 일이 있었습니다. 같은 지역의 10여 명의 주민들이 새벽에 여러 건의 문자들을 받은 뒤 10만 위안, 약 1천7백만 원이 넘는 금액이 은행 계좌, 알리페이 등에서 빠져나갔습니다. 이 사건 이후 한 중국 언론매체는 탐지 장치를 파는 사람을 취재했는데, 판매자는 최대 5km 이내의 문자메시지까지 탐지할 수 있으며, 각종 개인정보까지 살 수 있다고 말했습니다.

송욱 취파용
중국 언론들은 이런 수법이 2018년부터 기승을 부리기 시작해 끊이지 않고 있다고 지적하고 있습니다. 경찰의 관련 조직에 대한 수사와 탐지 장치 판매에 대한 단속이 이뤄지고 있지만, 전문가들은 인터넷 개인정보 안전에 대한 우려의 목소리를 내고 있습니다. 편리하고 안전할 것이라고 생각했던 인증 코드 방식에 허점이 있고, 앱의 사용자 개인정보 보안 또한 여전히 허술하기 때문입니다. 전문가들은 업체들의 인증 코드만을 이용한 검증 방식과 개인 정보 관리 방식을 시급히 보완할 필요가 있고, 개인들도 갑자기 휴대전화 신호가 2G로 바뀌거나 인증 문자들이 갑자기 온다면 휴대전화를 비행모드로 바꾸거나 전원을 차단하라고 조언했습니다.  

많이 본 뉴스