마스크 속 숨겨진 검은 의도: 코로나19(COVID-19) 관련 온라인 사기어떻게 막을 수 있나?
도노반 탄, 사이버보안 연구원
싱가포르와 한국을 기반으로 2018년 1월에 설립된 웁살라시큐리티(Uppsala Security)는 블록체인 기술로 구동되는 최초의 크라우드소싱 보안 위협 플랫폼인 ‘센티넬프로토콜’ (Sentinel Protocol)을 구축했다. 우리의 미션은 사이버 범죄 행위가 발생하는 것을 사전에 막고, 발생한 사건에 대해서는 합리적이고 효과적인 보안 솔루션을 통해 피해를 최대로 경감시키는 것이다.
최근 코로나19가 발생하면서 수술용 마스크에 대한 수요가 급증하고, 일반인들도 수술용 마스크를 대량 구매하게 되면서 전세계적으로 마스크 품귀현상이 나타나게 되었다. 싱가포르의 상황도 크게 다르지 않다. 오프라인 상점이나 약국 등에서도 의료용 마스크를 구매하기 어렵게 된 소비자들은 결국 마스크를 살 수 있는 모든 수단과 방법을 강구하며 온라인 마켓으로 몰리게 됐다.
현재로서는 치료법이 존재하지 않는 신종 코로나 바이러스에 대한 불확실성과 마스크의 희소성은 일부 사람들 사이에서 심각한 공포를 유발하였으며, 급기야 상황은 공황상태의 마스크 구매로 이어지게 되었다. 두려움은 종종 인간이 논리적으로 사고하기 보다, 감정에 입각한 비합리적행동을 하게 한다. 사이버 범죄자들은 이런 혼란한 상황을 파악하고 이용하여 사기를 저지르고 사이버 공격을 하는데 능숙하다. 인간의 심리와 감정을 이용한 이러한 공격은 사회공학적 공격(Social Engineering Hacking)으로 널리 알려져 있으며 피싱이나 탈취 등 다양한 형태로서 흔히 일어난다.
현 상황에서 사이버 공격의 예는 수술용 마스크 판매를 광고하는 사기성 온라인 상점들의 설립이라 할 수 있다. 사이버 범죄자들은 고객들에게 마스크를 판매하는 척하며 금전적 이득을 취하지만 어떤 제품도 고객에게 발송하지 않고 결국 ‘먹튀’를 하는 것이다. 자포자기와 두려움 때문에 일반 소비자들의 판단력이 흐려지는 때에 이런 사기성 온라인 마켓의 피해자가 될 가능성은 더욱 커진다. 사우스차이나모닝포스트[1]에서 보도한 바와 같이 이미 이런 사건이 일어나고 있다. 2월 13일 현재, 홍콩 경찰은 마스크를 제공하는 사기성 온라인 상점들에 관한 300건 이상의 보고를 받았고 관련된 12명을 체포하였다. 관련자금은 HKD$1.1M (한화 약 1.7억원)에 이른다. 특히 해당 사건은 사이버 범죄자가 1주일이라는 짧은 기간 동안 천 명 이상의 사람들을 속였다는 점에서 주목할 만하다.
시간이 지날수록, 잠재적으로 유사한 사건이 수면으로 드러났다. 지난 며칠 동안, Mothership [2]과 Goodyfeed[3]와 같은 다양한 지역 콘텐츠 사이트들이 MedicalLex라는 온라인 마스크샵의 합법성에 대한 기사를 조사하여 발표했다. 웁살라시큐리티 팀은 지난 2월 9일(일) 페이스북 광고를 통해 처음 접수한 MedicalLex.에 대해 인지하고 있었으며 우리 나름대로의 조사를 진행해 왔다. MedicalLex를 사기 사이트로 확실하게 분류할 수는 없지만, 우리는 하기와 같은 점들을 발견했다.
1) 진술의 불일치
2) 의심스러운 도메인 및 회사 주소 정보
3) 웹사이트의 허위, 오해의 소지가 있는 정보의 증거
이러한 부분은 MedicalLex를 의심스러운 사이트로 분류하기에 충분한 적기(赤旗)로 판단되기 때문에, 해당 사이트에서 수술용 마스크를 구매하지 않을것을 강력하게 조언한다. MedicalLex에 대한 기사들이 게시될 당시 MedicalLex는 페이스북을 삭제했다. 이들의 홈페이지(www.medicallex[dot]com)는 여전히 운영 중이지만 온라인 샵을 통한 주문은 중단한 것으로 보인다. 하지만 이들은 마스크 구매에 관심 있는 사용자들이 다른 경로로 연락해 올 수 있도록 유도하였다.
의심스러운 증거 1: 문장의 불일치
첫째로, 우리는 현재는 사라진 MedicalLex Facebook 페이지에서 제공하는 정보의 불일치를 발견했다.
지난 2월 9일 동시에 촬영된 2장의 스크린샷에서 보듯, MedicalLex 페이스북 페이지에 포스팅된 문장에서 불일치를 발견하였다. 두 내용 모두 스크린샷을 하기 15시간 전에 이루어졌다. 그러나 한 포스팅에서는 그들이 5개의 다른 나라에 창고를 소유하고 있다고 주장하는 반면, 다른 한 포스팅에서는 2개의 나라(미국과 홍콩)에만 창고를 가지고 있다고 적혀있다.
의심스러운 증거 2: 의심스러운 도메인 및 회사 주소 정보
둘째로, MedicalLex가 제공하는 주소와 도메인이 의심스럽다. 그들의 도메인인 medicallex[dot]com은 불과 며칠 전인 2020년 2월 4일에 등록되었으며, 1년 동안 사용하는 것으로 되어있다. 그들이 제공한 회사 주소인 ‘1155 S Power Rd #114, Mesa, AZ 85206, 미국’에 대한 구글 검색 결과 전혀 다른 회사인 ‘Box-N-Mail로 반환되어 보여진다. 허위 주소와 함께 최근에 생성된, 단기 계약의 도메인은 사기 사이트의 일반적인 특징이다.
의심스러운 증거 3: 웹사이트속 허위, 오해의 소지가 있는 정보의 증거
마지막으로, 일견 그들의 웹사이트가 전문적이고 합법적으로 보이지만, 추가 조사를 통해 위조되고 오해의 소지가 있는 정보를 확인할 수 있었다. Mothership의 기사에서 자세히 설명했듯이, 허위 정보의 첫 번째 징후는 MedicalLex가 고객 리뷰를 위해 상품 이미지와 표절된 텍스트를 사용하는 것이다. 이 이미지들은 지적을 받은 후 제거되었다. 그러나 아마존의 Face Mask를 도용한 리뷰들은 여전히 해당 사이트에 존재한다.
잠재적으로 위조되고 오해의 소지가 있는 또 다른 정보는 서비스에 만족한 7만 명의 고객을 보유하고 있다는 MedicalLex의 주장일 것이다. 이는 메디컬렉스의 도메인이 약 2주 전(2월 4일) 등록돼 있어 더욱 믿기 어렵다. 심지어, MedicalLex는 구글의 Trusted Store 프로그램에서 2017년 이후 오랫동안 중단되었던 Trusted Store 마크를 표시했다.
우리는 MedicalLex가 홈페이지에서 수술용 마스크의 재고를 묘사하는 말로 ‘매우 제한적’, ‘높은 수요’, ‘주문 할당량 부족’과 같은 자극적인 단어들을 자주 사용하고 상품판매가 ‘선착순’이라는 점을 강조했다는 것을 알 수 있었다. 마케팅이나 판매 전술일 수도 있지만, 이는 구매를 유도하기 위해 공황 상태를 조장함으로써 소비자들의 두려운 심리 상태를 적극적으로 이용하려는 의도로 보여질 수 있다.
사이버 범죄자들이 혼란한 상황을 이용해 사기행각을 벌이고, 인간의 감정을 이용하는 데 더욱 능숙해짐에 따라, 일반인들은 점점 더 ‘무엇이 진짜이고 가짜인지’ 구별하기가 어려워지고 있다. 제2의 MedicalLex 와 같은 사기를 막고, 의심스러운 사이트로부터 보호하기 위해서는 신뢰할 수 있는 보안회사에서 제공하는 솔루션을 사용하는 것이 해결책이 될 수 있다. 그 중 하나는 Uppsala Security에 의해 개발된 브라우저 익스텐션인 웁워드(UPPward)이다. 웁워드는 웁살라시큐리티의 개인용 사이버보안 블랙리스트 검색기로서 크롬 브라우저 등의 앱설치(익스텐션)를 통해 사용 가능하다. 웁워드의 사용자는 의심스럽거나 블랙리스트로 판명된 사이트에 방문할 시 아래 스크린샷과 같은 알림 및 경고를 받음으로써 사기의 가능성을 사전에 차단할 수 있다.
이처럼 UPPWard가 사기성 사이트를 판별해 내는 원리는 웁살라시큐리티의 핵심기술인 위협평판 데이터베이스, 즉 TRDB(Threat Reputation Database)에 있다. TRDB는 해킹, 피싱 사기 등과 관련된 암호화폐 주소뿐 아니라, 불법 URL, 도메인, 이메일 등 전세계의 모든 위협 정보를 크라우드 소싱 형태로 수집하고, 보안 전문가들을 통해 검증된 위협 데이터들을 블록체인 상에 저장하는데 현재(2020년 2월 20일 기준)까지 약 900만개 이상의 지표와 카운트를 보유하고 있다.
TRDB의 위협 데이터들은 실시간으로 웁워드에 업데이트되는데, 때문에 웁워드는 사용자가 블랙리스트에 있는 정보와 접촉할 경우 그 위협을 감지하여 즉시 경고해 줄 수 있는 것이다.
이번 코로나19 사태를 통해, 국가 비상상황에서 정부와 지역사회 그리고 전국민이 하나로 뭉쳐, 신속하게 대처하고 예방수칙을 지키는 것이 얼마나 중요한 일인지 우리는 확실히 경험하고 있다. 이는 비단 코로나19에만 해당되는 일이 아니라, 사이버 보안 문제에도 마찬가지이다. 웁살라시큐리티는 집단지성을 통해 모인 위협데이터와 사법기관의 공조가 사이버 위협을 막는데 있어 가장 강력하고 효과적인 방법이라고 믿는다.
잠재적으로 사기성 있는 마스크 온라인샵을 포함하여 악의적인 것으로 의심되는 사이트를 발견하면 센티넬포털 사이트 https://portal.sentinelprotocol.io/create/case 혹은 웁워드의 신고하기 기능을 통해서 신고할 수 있다.
UPPward는 Chrome, Brave 및 Firefox 브라우저에서 현재 무료로 다운받아 사용할 수 있다.
Chrome & Brave Extension: https://chrome.google.com/webstore/detail/uppward/okchiedmnincflodifnojcnhnncldcbk
Firefox Extension:https://addons.mozilla.org/en-US/firefox/addon/uppward-by-sentinel-protocol/
Uppsala Security: https://uppsalasecurity.com/
UPPward: https://uppward.sentinelprotocol.io/
Forum: https://forum.sentinelprotocol.io/
[1] https://www.scmp.com/news/hong-kong/law-and-crime/article/3050449/coronavirus-spreads-scammers-cash-hongkongers
