최근 유명인을 사칭하거나 공모주를 저렴한 가격으로 배정이 가능하다며 허위 주식거래 앱(MTS, Mobile Trading System) 설치를 유도하는 금융투자 사기가 성행하고 있다. 이들은 금융투자업체를 사칭한 사이트를 만들고 임명장이나 증명서 등을 위조하여 사용자들의 신뢰를 얻는다. 허위 MTS 앱은 조작된 정보를 보여주며 투자 및 거래를 유도하지만 실제로 거래가 이루어지진 않는다. 또한 증거금 명목이나 출금 수수료 등 추가 요금을 요구하기도 한다. 이들은 SMS뿐만 아니라 카카오톡 오픈 채팅방, 네이버 밴드, 텔레그램과 같은 SNS를 활용해 사용자를 모집한다. 이에 본 리포트에서는 조작된 정보를 제공하여 투자금을 편취하는 허위MTS 앱 ‘울림’과 이러한 앱이 유포되는 금융투자업체 사칭 사이트의 특징을 분석한다.

금융투자업체 사칭 사이트 특징

이들은 금융투자업체를 사칭한 피싱 사이트로 사용자들을 유인하고 해당 사이트에서 MTS 앱을 다운로드 하도록 유도하여 사용자들의 경계심을 낮춘다. 하지만 이러한 사이트들은 회사 위치, 사업자 등록번호와 같은 회사 정보를 제공하지 않는 경우가 많다.

또한, 회원가입 과정에서 반드시 고지해야 할 가입약관, 개인정보처리방침 등의 내용이 비어있거나 오타가 존재하는 경우도 있다. 회원가입의 경우 반드시 추천인이 필요하거나 사전에 문자 메시지를 받은 번호만 가입이 가능하며 최종적으로 운영자의 승인이 필요한 폐쇄적인 회원가입 과정을 가지고 있다.

마지막으로 우리나라의 금융투자업체는 반드시 금융위원회에 등록해야 하지만 사칭 사이트에서 보여지는 업체는 등록을 하지 않아 금융감독원 소비자정보 포털 파인에서 조회되지 않는다.

[그림 1] 입력되지 않은 개인정보처리방침 및 회원가입약관

[그림 2] 개인정보 수집 및 이용 동의서의 잘못된 띄어쓰기

허위 MTS 앱

허위 MTS 앱의 목적은 조작된 정보를 제공하여 투자를 유도한 뒤 투자금을 편취하는 것이다. 따라서 사용자가 거래를 시도하면 화면에 표시되는 수치만 바뀔 뿐 실제로 체결되진 않으며 조작된 정보는 별도의 서버를 통해서 받아온다. 분석 대상 앱의 경우 아래 그림과 같은 과정을 통해 블로그 게시물의 암호화된 문자열을 복호화 하여 통신할 서버 정보를 얻는다.

[그림 3] 허위 MTS 앱 통신 흐름

[그림 4] 블로그에 암호화되어 게시된 허위 MTS 앱의 통신 주소

블로그 게시물의 암호화된 문자열은 base64 및 DES알고리즘(CBC 모드)을 사용하여 복호화 된다. 암호화된 문자열을 복호화 한 결과의 일부로 MTS앱 명, 업체 명, 서버 주소, 포트 순으로 70여 개의 허위 MTS 앱 및 업체 정보가 나열되어 있다.

[그림 5] 암호화된 문자열의 복호화 처리 코드

[그림 6] 암호화된 블로그 게시물의 복호화 결과 예시

분석 대상 앱 ‘울림’이 해당하는 메인 서버(dhehdals[.]cfuser-40289.kr – 172[.]65.178.250)와 통신한 패킷이며 암호화 프로토콜인 TLS가 적용되어 있다.

[그림 7] 메인 서버(dhehdals.cfuser-40289.kr - 172.65.178.250) 통신 패킷

[그림 8] Transport Layer Security(TLS) 적용 코드

로그인 시 발생하는 TLS 패킷을 해독한 것으로 입력 값인 testid, testpw123가 전송되었음을 확인할 수 있다. 다만, 가입 승인이 되지 않아 로그인 이후의 패킷 확인은 불가능하다. 이러한 통신 패킷을 암호화하는 행위는 악성 앱이 안티 바이러스 제품의 탐지를 회피하기 위해 사용하는 방법이기도 하지만 전자금융거래 시 암호화 통신이 필수사항이기에 규정을 준수한다고 판단하여 분석 대상에서 제외될 가능성도 존재한다.

[그림 9] 로그인 및 TLS 패킷 해독 내용

분석을 계속하기 위해서는 회원가입 및 승인이 필요했다. 관련 절차를 따라 가입을 시도하였지만 결과적으로 게정을 생성하지 못하여 분석을 더 진행할 수 없었다.

결론

최근 허위 MTS앱을 이용해 투자를 유도하고 투자금을 편취하는 금융 투자 사기가 성행하고 있다. 이들은 사용자의 경계심을 낮추기 위해 금융투자업체를 사칭한 사이트를 운영하지만 금융위원회에 등록되지 않았다. 이러한 사이트들은 개인정보처리방침, 회원가입약관의 내용이 누락되어 있거나 오탈자가 포함되어 있기도 하며 폐쇄적인 가입 경로를 가지고 있다.

허위 MTS 앱의 경우 조작된 정보를 제공하는 서버와 통신을 하며 거래를 유도하지만 실제로 거래가 이루어지진 않는다. 리포트에서 분석한 앱의 경우 Wordpress와 같은 블로그에서 암호화된 문자열을 파싱하고 복호화 하여 통신할 서버의 주소를 획득한다.

이와 같이 허위 MTS 앱들은 탐지 및 추적을 회피하기 위해 메인 서버 주소를 은닉하고 정교한 금융투자업체 사칭 사이트를 만드는 등 지속적으로 사기 행위를 고도화시켜 나가고 있다.따라서 이를 예방하기 위해 지속적인 모니터링과 추적이 필요하며, 사용자는 금융감독원 소비자정보 포털 파인에 등록된 업체인지 확인하고 투자하여야 한다.