얼마 전 이상한 CAPTCHA를 본 적이 있습니다. 꽤 많은 사각형을 클릭하거나 꼬불꼬불한 글자를 입력하라고 하는 그런 거 말이죠. 아무 문제 없어 보인다고요? 천만의 말씀입니다. 알고 보니 이런 디지털 문지기 중 일부는 실제로는 여러분의 예상치 못한 휴대폰 요금에 국제 문자 요금을 폭탄처럼 부과하도록 설계된 정교한 함정이었던 겁니다. 그리고 누가 돈을 긁어모으고 있는지 아십니까?
보안 전문가들이 ‘국제 수익 분할 사기(IRSF)’라고 부르는 이 범죄는 적어도 2020년 중반부터 계속되어 왔습니다. Infoblox의 최신 보고서는 단순히 한 번 속이는 수준을 넘어, 사기의 전체 생태계를 구축한 정교한 작전을 보여줍니다. 그들은 ‘상업용 트래픽 분배 시스템(TDS)’이라는 것을 사용하는데, 이걸 수상한 중개업자라고 생각하면 쉽습니다. 전통적으로 TDS 시스템은 별 생각 없이 웹사이트를 방문하는 사용자를 악성코드나 피싱 사이트로 유도하는 데 사용됩니다. 그런데 이 범죄 조직은요? 그들은 이걸 SMS 사기에 재활용했습니다. 기발하죠. 여기서 기발하다는 건, 정말 짜증 나도록 효과적이라는 뜻입니다.
가장 황당한 점은, 가짜 CAPTCHA가 단 한 번의 메시지로 끝나지 않는다는 겁니다. 오, 절대 아니죠. 이건 다단계 고문입니다. 각 단계는 여러분의 휴대폰을 여러 국제 번호로 수십 건의 SMS 메시지를 폭발적으로 보내도록 사전 구성합니다. 그래서 여러분은 단지 자신이 로봇이 아님을 증명한다고 생각하지만, 실제로는 상당한 비용이 드는 문자 메시지 세례를 승인하고 있는 셈입니다. 더 나쁜 것은, 이런 요금이 청구서에 바로 찍히지 않는다는 겁니다. 몇 주 뒤, 그 짜증 나는 CAPTCHA를 잊을 만할 때쯤 나타납니다. 그때쯤이면 여러분은 그저 의문스러운 청구 내역을 보며 통신사나 어떤 무작위 앱을 탓하고 있겠죠.
누가 진짜 돈을 버는 걸까요?
그게 바로 백만 달러짜리 질문이죠, 그렇지 않나요? 바로 국제 통신 요금의 일부를 챙기는 사기꾼들입니다. 이는 통신사가 서로의 네트워크 간 통화나 메시지를 완료하기 위해 지불하는 수수료입니다. 사기꾼들은 아제르바이잔, 카자흐스탄 또는 유럽의 일부 국가처럼 높은 통신 요금 또는 느슨한 규제가 있는 국가에서 프리미엄 요금 번호를 확보하거나 임대합니다. 그런 다음 이 번호로의 트래픽을 인위적으로 부풀립니다. 이를 단속해야 할 통신 제공업체들은 이 사기에 연루되었거나 너무 느려서 따라잡지 못하고 있습니다. 결국 개인은 청구서를 받고, 통신사는 고객 분쟁 및 환불 비용을 떠안게 됩니다. 통신 체인의 양 끝을 모두 사기 치는 아주 깔끔한 작전이죠.
이것이 특히 악랄한 이유는 사용자를 가둬두는 방식입니다. 그들은 쿠키를 사용하여 가짜 인증 과정을 추적합니다. 만약 여러분이 “적합하지 않다”고 판단되면 – 그게 무엇을 의미하든 – 그들은 여러분을 다른 CAPTCHA 페이지로 보낼 것입니다. 아마도 다른 사기의 일부일 겁니다. 하지만 진정한 천재성, 아니면 궁극적인 악은 백 버튼 하이재킹을 사용하는 데 있습니다. 탈출하려고요? 소용없습니다. JavaScript가 여러분을 다시 가짜 CAPTCHA로 되돌려 보낼 것입니다. 브라우저를 강제 종료할 때까지 루프에 갇히게 됩니다. 마치 여러분이 항상 두더지인 디지털 두더지 잡기 게임과 같습니다.
“이 작전은 개인과 통신사 모두를 동시에 사기 칩니다. 개인 피해자는 청구서에 예상치 못한 프리미엄 SMS 요금이 부과되며, 그러한 예상치 못한 출처에서 발생하는 사기를 식별하고 신고하는 데 어려움을 겪을 것입니다.” - Infoblox
이 전체 설정은 구식 전화 사기와 현대적인 웹 트릭이 완벽하게 결합된 것입니다. 합법적인 광고 추적에 자주 사용되지만 쉽게 악용될 수 있는 Keitaro TDS에 의존하는 것은 기존 인프라가 얼마나 쉽게 악의적인 목적으로 사용될 수 있는지를 보여줍니다. 이는 근본적인 문제를 강조합니다. 바로 악의적인 행위자들이 기존 기술을 얼마나 빠르게 적응하고 사용할 수 있는지 하는 것입니다. 우리는 항상 따라잡는 입장이지만, 그동안 여러분과 저 같은 사람들은 그들의 디지털 독창성에 대한 대가를 치르고 있습니다.
이것이 SMS 사기의 미래일까요?
TDS 시스템을 설정하는 데 진입 장벽이 낮고 수동 소득 잠재력이 있다는 점을 고려할 때, 이런 일이 더 많이 발생해도 놀라지 않을 것입니다. 이는 데이터 절도나 랜섬웨어와 같은 전면적인 수법에 의존하지 않고 악성 트래픽을 수익화하는 비교적 간단한 방법입니다. 전자는 종종 더 많은 기술 전문 지식이 필요하고 탐지 위험이 더 높습니다. 이것이 대규모 데이터 유출이나 국가 차원의 공격에만 집중되는 광범위한 사이버 보안 대화에서 종종 간과되는 개인을 직접적으로 표적으로 삼는다는 사실은 특히 대담하게 느껴집니다. 이것은 개인 재정의 분산되고 저수준의 고갈이며, 이는 종종 거대한 데이터 유출이나 국가 차원의 공격에만 집중되는 광범위한 사이버 보안 대화에서 간과됩니다.
하지만 제 생각은 이렇습니다. 이건 단순히 사람들이 몇 푼을 뜯기는 문제만은 아닙니다. 기본적인 온라인 상호 작용에 대한 신뢰의 침식에 관한 것입니다. 단순한 보안 조치여야 했던 CAPTCHA가 또 다른 잠재적 함정이 되었습니다. 모든 편리함에도 불구하고 디지털 세계가 여전히 무법천지이며, 여러분 스스로 디지털 보안을 책임져야 한다는 끊임없는 상기입니다.
🧬 관련 인사이트
- 더 읽기: Fed Frets Over Anthropic’s Mythos AI as Mac Stealers and Zero-Days Ignite Cyber Firestorm
- 더 읽기: Your AI Assistant: The New, Silent Reconnaissance Squad for Hackers
자주 묻는 질문
IRSF는 무엇의 약자인가요?
IRSF는 International Revenue Share Fraud(국제 수익 분할 사기)의 약자입니다. 이는 범죄자들이 불법적으로 프리미엄 요금 국제 전화번호를 확보하고 사용자를 속여 해당 번호로 전화하거나 문자 메시지를 보내게 하여, 이 통화/메시지에서 발생하는 수익의 일부를 챙기는 통신 사기의 한 유형입니다.
이러한 SMS 사기를 어떻게 피할 수 있나요?
이상하게 보이거나 메시지를 보내도록 요구하는 CAPTCHA 페이지에 주의하세요. 항상 휴대폰 요금 청구서를 확인하여 예상치 못한 요금, 특히 국제 SMS 요금이 있는지 확인하세요. 의심스러운 활동을 발견하면 즉시 휴대폰 통신사에 신고하세요.
가짜 CAPTCHA를 보면 제 휴대폰이 위험한가요?
가짜 CAPTCHA를 보는 것만으로 휴대폰이 자동으로 악성코드에 감염되는 것은 아닙니다. 하지만 SMS 메시지를 보내도록 유도하는 것은 휴대폰 요금에 무단 요금이 부과될 수 있습니다. 주요 위험은 금융적인 것이지, 추가적인 악성 링크를 클릭하지 않는 한 일반적으로 직접적인 악성코드 감염은 아닙니다.
