‘피싱 범죄’ 온상 된 텔레그램… “출처불명 링크 누르면 낚여”
확산되는 텔레그램 해킹 파문
운영자-지인 사칭해 접촉… ‘업데이트 하라’ 접속 유도
7월 피싱사이트 10곳 차단… 해킹용 링크 250만개 달해
개인정보로 금융사기 우려… “지인 보낸 링크도 조심을”
《“(텔레그램) 공식 로고와 함께 ‘업데이트해야 한다’는 메시지가 왔는데, 무심코 첨부된 링크를 누를 뻔했어요. 나중에 해킹 소식을 듣고 가슴을 쓸어 내렸죠.”
20대 취업준비생 유모 씨(24)는 지난달 21일 텔레그램을 통해 ‘이전 버전은 해킹에 취약하니 가능한 한 빨리 업데이트하라’는 문구와 업데이트 안내 링크가 담긴 메시지를 받았다. 텔레그램에 익숙지 않았던 유 씨는 잠시 고민하다 ‘인증되지 않은 사용자’라는 경고를 보고 혹시나 하는 생각에 차단 버튼을 눌렀다. 유 씨는 “보안성이 강하다고 생각한 텔레그램에서도 피싱 범죄가 발생했다니 앞으로 뭘 믿어야 할지 걱정”이라고 했다.》
최근 국내에서 텔레그램을 통한 계정 탈취 사례가 확산되고 있다. ‘익명성’과 ‘암호화’를 내세우며 ‘보안성’을 자랑했던 텔레그램마저 피싱 수단으로 이용되는 것이다. 해외에 본사를 둔 텔레그램의 특성상 수사도 쉽지 않다.
한국인터넷진흥원(KISA)에 따르면 지난달 28일 기준으로 7월 한 달에만 사이트 10곳이 텔레그램 사칭 피싱 웹사이트로 파악돼 차단됐다. 다만 이번 사태의 공격 주체나 피해 범위는 아직 파악되지 않은 상태다. 경찰은 “피해 사례가 급격히 늘고 있다”며 추가 피해 가능성을 경고했다.
전문가들은 이번 사태가 가짜 메시지나 웹사이트 등으로 이용자를 유인해 개인정보나 계정정보를 입력하도록 한 후 계정을 탈취하는 전형적인 ‘피싱 공격’에 해당된다고 지적한다. 기존 문자메시지(SMS)나 카카오톡 등에서 유행하던 범죄가 텔레그램으로 넘어온 것이다.
특히 보안성이 중요하다는 이유로 텔레그램을 이용하던 정치인 및 고위 공무원 다수가 이번 해킹 피해를 입은 것으로 나타났다. 법무부 장관 출신인 더불어민주당 박범계 의원도 최근 텔레그램 해킹 피해를 입었다. 전 헌법재판관 A 씨, 중앙 부처 차관급을 지낸 B 씨 등도 해킹을 당했다. 민주당은 지난달 19일 당내 공지를 통해 “확인되지 않는 링크를 클릭하는 등 해킹 피해에 노출될 일이 없도록 주의해 달라”고 밝혔다.
● “업데이트하세요” 접근하는 해커들
해커들은 다양한 경로를 통해 텔레그램 사용자 계정 아이디(ID)를 확보한다. 단체 대화방에 있는 다수의 사용자를 노리거나, 사전에 탈취한 계정과 친구 관계인 계정을 목표로 정하기도 한다. 다크웹(접속하려면 특정 프로그램을 이용해야 하는 웹사이트) 등에서 계정을 구매해 무작위로 연락을 취하는 경우도 있다.
목표 계정을 확보한 해커들은 서비스 운영자로 위장하거나 지인을 사칭해 사용자에게 접근한다. 주 공격 루트는 일대일 대화창이었다. 이들은 ‘불법 사용이 발견됐으니 24시간 내 재로그인하라’, ‘계정 재인증을 위해 전화번호를 입력하라’, ‘링크를 눌러 업데이트를 실행하라’ 등의 내용으로 메시지 내 피싱 사이트 링크로 접속하도록 유도했다.
피싱 사이트 링크로는 텔레그램 공식 웹사이트 주소와 매우 유사한 형태의 URL(인터넷주소)이 활용됐다. 알파벳 ‘o’를 숫자 ‘0’으로 바꾼 telegram.0rg를 이용하기도 했고, ‘telegram’을 ‘telegrim’, ‘teiegrim’, ‘telegramvip’ 등으로 일부 철자를 바꾸며 교묘하게 사용자들을 속였다. 피싱 사이트 디자인 역시 정상적인 텔레그램 서비스 로그인 페이지와 사실상 차이가 없는 수준이었다.
사용자가 무심코 피싱 사이트에 휴대전화 번호를 입력하면, 해커들은 그 번호를 실제 텔레그램 사이트에 입력해 사용자에게 인증코드를 전송하게 했다. 안랩 관계자는 “사용자가 해당 인증코드를 피싱 사이트에 입력하면 해커들은 사용자 계정에 완전한 접근권을 갖게 된다”며 “해커들은 계정 탈취 후 다시 해당 계정의 지인들에게 피싱 메시지를 재유포하는 것으로 나타났다”고 밝혔다.
텔레그램을 활용한 피싱 범죄는 단시간에 고도화되고 있다. 다크웹에는 텔레그램 맞춤 ‘피싱 키트’를 판매하는 사이트가 등장했다. 돈을 내면 해킹용 메시지, 피싱 사이트 URL, 추적 방지 시스템은 물론 번역 시스템까지 제공한다. 사이버 보안 전문업체 ‘카스퍼스키’에 따르면 지난해 10월∼올 3월 추적된 텔레그램용 해킹용 링크만 250만 개에 달했다. 국내 보안업체 관계자는 “최근 국내에서 확산되는 해킹 메시지는 기존 영문 메시지가 한국어로 번역된 것으로 추정된다”고 했다. 해외에선 2021년 말부터 유사한 방식의 텔레그램 계정 탈취 시도가 이어진 것으로 알려졌다.
● 금융 정보, 악성앱 통한 추가 금융 범죄 우려도
텔레그램 탈취 사례 중 국내에서 금전적 이득을 취한 사례는 아직까지 보고되지 않았다. 다만 전문가들은 텔레그램을 통한 추가 금융 범죄가 언제든 발생할 수 있는 상황이라고 경고했다. 안랩 관계자는 “메신저로 피싱 사이트 URL 접속을 유도한 후 사용자의 카드번호 등 금융 정보를 기입하라고 할 수 있는데, 이렇게 탈취된 금융 정보는 추후 금융 사기에 활용될 수 있다”고 했다.
메신저를 통해 악성앱 다운로드 페이지 접속을 유도한 경우 사용자의 스마트폰을 장악해 저장된 개인정보를 빼돌릴 수도 있다. SK쉴더스 관계자는 “악성앱을 잘못 다운받을 경우 스마트폰에 설치된 은행 앱이나 저장된 ‘공동확인서’ 등 개인 정보에도 접근할 수 있다”며 “최악의 경우 스마트폰 내 민감한 정보를 탈취해 금전을 요구하는 경우도 발생할 가능성이 있다”고 분석했다.
다만 이번 공격이 텔레그램 자체를 해킹한 건 아닌 만큼 메신저의 보안 안정성이 취약하다고 보기는 어렵다는 지적도 있다. 한 업계 관계자는 “문자메시지나 소셜네트워크서비스(SNS)를 활용한 피싱 사기가 텔레그램에서도 등장한 것”이라며 “텔레그램이 다른 플랫폼에 비해 (피싱 사기에) 특별히 취약하다고 보긴 어렵다”고 했다.
● 전문가 “출처 불분명한 링크 접속 말아야”
보안 전문가들은 출처가 불분명한 인터넷주소 접속이나 파일 설치를 유도하는 메시지를 받을 경우 ‘피싱 범죄’ 가능성을 항상 염두에 둬야 한다고 지적한다. 접속하지 말고 바로 삭제해야 한다는 것이다. SK쉴더스 관계자는 “지인이 보낸 링크도 섣불리 눌러선 안 된다. 다운로드나 업데이트를 할 경우 공식 홈페이지나 정식 앱스토어를 방문하는 등 공식 절차를 밟아야 한다”고 조언했다.
계정 관리를 강화할 필요도 있다. 텔레그램 등 메신저에 접속할 때 ‘2단계 인증’을 활용하는 것이다. 사용자 계정 정보나 휴대전화 번호가 노출되더라도 인증 방식을 강화할 경우 공격자가 쉽게 계정에 접근할 수 없다. 안랩 관계자는 “메시지 수신자의 아이디와 공식 로고 여부 등을 꼭 확인하고, 접속하려는 URL이 정확한지 주의 깊게 확인할 필요가 있다”고 전했다. KISA 측은 “피해가 발생할 경우 국번 없이 118로 즉시 신고해 달라. 필요하면 보안점검 서비스인 ‘내 PC·모바일 돌보미 서비스’를 이용해 필요한 조치를 지원받을 수 있다”고 밝혔다.
김수현 사회부 기자