“금융권 앱 사칭한 피싱 앱 주의하세요”

구글 정식마켓 통해 등록…소비자 주의 당부

▲KB국민은행 애플리케이션을 가장한 피싱 앱(사진=하우리)

금융권 애플리케이션을 사칭한 피싱 앱이 등장해 소비자들의 주의가 요구된다. 특히 지난 14일부터 3일간 구글 정식 마켓(구글 플레이스토어)를 통해 지속적으로 등록되고 있는 것으로 나타났다.

이원남 하우리 모바일 보안연구팀장은 18일 “해당 앱들은 구글 마켓에 정식으로 등록된 후 사용자가 아무런 의심없이 다운로드 받을 수 있어서 더욱 위험하다”며 “지난 14일 처음으로 5종의 악성코드가 발견된 데 이어 15일 10종, 16일 4종, 17일 1종이 구글 정식 마켓에 등록되어 있는 것을 확인했다”고 말했다.

하우리에 따르면 이 앱들은 해당 금융앱과 동일한 첫 화면을 보여주고 “안전을 위해(OTP) 무료 가입이벤트!” 라는 문구를 보여줘 악성코드 제작자가 만든 웹 페이지로 이동하도록 하는 수법을 사용했다.

피싱 웹 페이지에 접속한 사용자는 이름, 주민등록번호, 출금계좌, 계좌비밀번호, 등기번호, 자택주소, 휴대폰 번호, 보안카드의 모든 번호를 입력하게 해 금융거래를 하기 위한 모든 정보를 갈취한다.

이에 따라 구글 마켓에서 게시자의 명칭이 명확하지 않거나 사용자 평점, 평판 등을 확인해야 하고 앱에 대한 설명이 없는 것은 악성코드의 가능성이 높다고 회사측은 전했다.

이원남 팀장은 “정식 마켓을 통해 악성코드가 배포됨에 따라 마켓 보안강화와 스마트폰 백신의 활용이 필수가 됐다”며 “앞으로도 스마트폰의 사용자를 대상으로 금융정보 탈취 시도는 변종 악성코드와 신종 수법으로 지속적으로 발견될 것”이라고 조언했다.