프루프포인트, 위협 행위자 추적을 통해 '돼지도살(Pig Butchering)' 암호 화폐 사기 수법 분석해

  • 돼지도살 위협행위자, 데이트앱 등을 통해 암호화폐 사용자 유인해 돈 갈취
  • 돼지 도살 수법, 중국에서 시작돼 영어권 국가로 빠르게 확산 중

image-20221117141850-1

 

(서울, 2022년 10월 26일) 글로벌 사이버 보안 기업 프루프포인트(Proofpoint) 위협 연구팀은 최근 암호화폐 기반 사기 수법 돼지도살(Pig Butchering)’ 대한 새로운 연구 결과를 발표했다프루프포인트 연구원들은 사기 피해 금액이 수백만 달러에 달하기도 하는 사기 수법의 매커니즘을 연구하기 위해 지난 3개월 동안 수많은 위협 행위자를 추적했다.

신뢰관계를 이용한 사기

샤주판(Sha Zhu Pan)으로 알려진 '돼지도살'은 중국에서 시작되었다가 동아시아 국가들로 퍼져나갔고, 최근에는 영어권 국가로도 확산되고 있다.

미국 FBI는 2022년 4월 우리 사회에서 횡행하고 있는 암호화폐 기반 사회공학적 사기 행위에 관한 권고사항을 발표했다. 이러한 사기에 휘말려 막대한 금전적 피해를 피해자가 속출하고 있는 것으로 알려졌다. 한 돼지도살 사기 피해자가 설립한 세계反스캠기구(Global Anti Scam Organization, GASO)에 따르면, 피해자의 2/3는 25세~40세 여성으로, 사기 피해액은 평균 12만2천달러에 달한다.

이러한 사기는 소셜미디어에서 처음 만난 사람을 상대로 호감가는 대화로 접근하는 경우가 많다. 잘못 걸린 전화인 척하거나 곧바로 친밀한 언행으로 접근한다. 칭찬일색인 말을 하고 점심식사 사진을 건네면서 음식점이나 미용실, 네일숍 등을 직접 운영하고 있는 행세를 한다. 이런 방식으로 피해자는 신종사기에 휘말리게 된다.

위협 행위자는 목표한 피해자와 며칠간 편안한 대화를 이어가다가 여행 등 인생을 즐기는 법으로 화제를 바꾸고, 친구나 친척 등 자신을 이끌어주는 멘토가 없었다면 애당초 불가능했을 것이라고 첨언한다.

사기 피해자가 트위터(Twitter)나 링크드인(LinkedIn), 틴더(Tinder) 등의 소셜미디어를 사용하고 있는 경우에는 텔레그램(Telegram)이나 왓츠앱(WhatsApp) 이용을 권할 것이다. “비공개 채팅창에서 얘기를 나누자.”라거나 자신을 한껏 뽐내며 찍은 '셀카' 사진을 보내주면서 사기 피해자도 비슷한 행동을 하거나 사진을 보내도록 유도한다.

유인한 앱으로 이동 후 대화를 평소처럼 이어가거나, 로맨스 스캠과 같은 대화로 변질될 것이다. 사기 피해자에게 성적인 사진이나 영상을 요구하기도 한다. 피해자와 친밀한 관계가 형성됐다 싶으면, 피해자에게 미리 말해 둔 '멘토'를 대화창에 초대하여 돈버는 법을 알려주도록 분위기를 조성한다.

희망주고 돈 빼앗아가는 가해자들

그 다음 단계부터는 위협 행위자의 선호도에 따라 수법이 다양해진다. 그들은 '친근한 지인' 행세를 하 피해자에게 암호화폐 초대장을 보내거나 코인베이스(Coinbase)나 크립토(Crypto) 계정 설정을 도와주기도 한다. 계정이 없는 피해자의 암호화폐 지갑을 확보하여 사기 수법을 전개한다. 사기꾼들은 피해자와 1:1로 소통하거나 그룹채팅에 초대한다. 팔로워 수십명을 두고 개인 또는 그룹채팅을 통해 암호화폐 투자를 조언해주는 척하면서 사기 행각을 벌이는 '플랜애널리스트(Plan Analyst)'가 있는 왓츠앱(WhatsApp)이나 디스코드(Discord), 텔레그램(Telegram) 등을 이용하도록 유인한다.

프루프포인트 연구진은 왓츠앱이나 텔레그램을 사용하면 비공개 암호화폐 거래 그룹 채팅방 초대장을 받고, 돼지도살 가해자가 연락해오는 경우도 많다는 사실을 알아냈다. 가해자 대부분은 연구진이 기존 그룹창에 들어가있다는 사실도 모르는 듯했다. 가해자의 연락처 목록을 아무런 맥락이나 설명도 없이 공유하는 것처럼 보였다.

결국 사기 피해자는 모두 가짜 암호화폐 웹사이트나 모바일 앱으로 유인된다. 위협 행위자는 피해자에게 Coinbase.com이나Crypto.com에서 테더(Tether, 미국 달러 가격과 연동되는 암호화폐 코인) 등 암호화폐 소액을 구매하라고 할 것이다. 또, 가해자들은 피해자가 시키는대로 하고 있는지 확인하기 위해 계정 스크린샷을 보내라고 요구해서 이후 사기 행각을 준비할 것이다. 이 때 피해자들이 일정 시간 동안만 창이 열리는 가짜 암호화폐 사이트를 이용해 1000달러(USD) 미만의 암호화폐를 구입하게 만든다.

피해자 동의만 얻어내면 가해자는 바로 피해자 계정 잔액의 10%~20%만큼의 수익을 챙긴다. 해당 수익금은 플랫폼에서 즉시 사라지고 가해자의 손에 들어간다. 가해자는 잠시 매우 기뻐하겠지만, 그러면서도 변동성이 큰 투자자산인 암호화폐의 특성을 알려주며 주의를 당부할 것이다. 그런데 만약 '플랜'을 고수하는 사람들이 있다면 가해자는 더 많은 돈을 벌어들일 것이다. 1000달러(USD) 미만 구매는 피해자가 가해자를 완전히 신뢰하게 되기까지 반복될 것이므로, 피해자 사이트 계정의 잔액은 계속 쌓이게 된다. 피해자의 신뢰를 얻어낸 가해자는 점점 더 큰 액수의 투자를 권할 것이다. 가해자들은 보상 조건에 반응하는 인간행동에 관한 '고전적 조건화(classical conditioning)' 이론을 악용한다. 다시 말해, 피해자가 가짜 플랫폼 소액 투자로 몇 배의 이익을 누리게 해서 더 큰 액수의 투자도 해볼만하다고 느끼게 만드는 것이다. 

악의 굴레에 빠지는 피해자 계정(This Little Piggy Went to Market)

피해자가 플랫폼 이용에 익숙해져서 계정 잔액을 늘려 '몸집이 커지면', 가해자는 더 과감한 투자를 유도할 것이다. 가해자는 피해자에게 대출이나 피해자가 보유 중인 부동산·주식 처분하도록 강권할 수도 있다.

피해자가 걱정하거나 계정 잔액을 인출하려는 단계에 이르면 가해자는 일부 소액만 인출하게 하고, 나머지는 세금, 국제법 문제 등을 이유로 남겨두어야 한다고 회유할 것이다. 

이러한 작업이 실패하면 가해자는 좀 더 강압적인 수법을 동원할 것이다. 일부 피해자는 가해자로부터 이전에 공유한 사진이나 동영상을 유포하거나 세금 사기로 고발하겠다는 협박을 받은 것으로 알려졌다. 또, 계정 탈퇴 조건으로 수수료 납부를 강요하는 사례도 있었다고 한다. 결국 피해자는 잔액 중 극히 일부만 돌려받고, 가해자는 웹사이트와 도메인을 폐쇄해버릴 것이다. 다음 피해자를 노려 또 다시 새로운 도메인을 생성하는 과정이 반복되고, 피해자가 속출한다.

피해자의 파국(On The Killing Floor)

돼지도살 사기는 영어권 국가에서는 신종 사기에 속하지만, 중국을 비롯한 동아시아 지역에서는 수년간 지속되어 온 범죄다. 암호화폐 기반 사기 외에도 수많은 대규모 범죄집단이 금·환율·주식 등 다양한 매개체를 범죄에 활용해왔다. 피해자를 '파국(slaughter)'에 이르게 하는 이러한 사기 수법이 성공하는 이유는 친밀한 대화 때문이다. 감정 조종, 친밀한 어조, 치밀한 준비기간 등을 통해 마치 진정한 소통관계가 구축된 것처럼 착각하게 하고, 피해가 발생해도 신고하지 못하는 상황에 이르게 된다. 믿었던 사람에게 배신을 당하면 수치심을 느껴서 가족이나 친구에게 말하지 못하고 법적 대응도 포기하게 되는 사람의 심리를 이용한 것이다. 자살충동을 느꼈다는 피해자도 있다. 가해자들이 노리는 심리가 바로 피해자의 수치심과 당황이며, 로맨스 스캠과 유사한 방식으로 피해자를 양산한다. 피해자가 다른 사람에게 피해 사실을 알리지 못하기 때문에 사기 수법이 반복되고 있는 것이다.

악순환이 반복되는 범죄집단 구조도 돼지도살 위협 행위자들이 성공을 거두는 또다른 이유라고 할 수 있다. GASO에 따르면, 사기 스크립트 작성 인력으로 여러 명이 고용되고, 피해자가 늘수록 수정을 거듭하면서 내용이 집요해진다. 스크립트 외 상황에서 어떻게 반응해야할지 신입 위협 행위자를 교육시키기도 한다. 다음은 프루프포인트 연구진이 중국어로 작성된 스크립트 원본을 받아 실수로 채팅창에 붙여넣은 사례다.

일부 사기 수법 교육 문서가 범죄집단에 소속된 내부자라고 주장하는 이들에 의해 인터넷에 유출되기도 했다

, 수준급 IT 인력을 고용해서 속도가 빠른 그럴듯한 웹사이트와 앱을 꾸밀 가능성도 있다.  사기 피해자들은 링크를 클릭하지 말라고 교육받는 것 같기도 하다. 프루프포인트 연구진이 IP 및 위치 데이터 확보가 가능한 URL을 피해자들에게 전송하자, 가해자들은 피해자 탓을 하면서 전송자를 차단했다. 

이러한 사기 범죄에 자발적으로 참여하려는 가해자들 중 다수는 피해 당사자인 것으로 알려졌다. 최근 북미 잡지 Vice에 따르면, 캄보디아에서 돼지도살 사기 행각을 벌이는 가해자 다수는 인신매매 피해자로, 불법행위를 강요하는 이들에게 속박되어 있다고 한다. 캄보디아 당국은 인신매매와 노예노동에 따른 불법고용 단속 계획을 최근 발표했다.

침입탐지라는 한 줄기 희망(This Little Light of Mine)

돼지도살 사기 증가세가 우려할만한 수준이다. 사기 수법 노출이 많아지면서 가해자들이 영어권 국가 등 신규 지역으로 이동해 범죄가 증가하고 있고, 소셜미디어 플랫폼에서도 돼지도살 메시지가 증가하는 추세다. 암암리에 벌어지는 이러한 범죄는 들춰내야만 근절될 수 있다.

교육이 소셜엔지니어링 기반 사기를 방지하는 기본수단이 될 수는 있지만, 안타깝게도 100% 안전을 보장할 수는 없다. 프루프포인트 연구진은 이번 돼지도살 사기 체험을 통해 악성 암호화폐 사이트·이메일 검증 도메인을 작성하고 해당 리스트를 차단했다. 또, 프루프포인트 사기 감지 규칙을 도출했다. 악성 암호화폐 사이트 감지율을 향상시키기 위해 신종 사기 네트워크 침입탐지기술(Emerging Threats network IDS)도 개발 중이다.

###

프루프포인트 소개

프루프포인트는 기업의 가장 자산과 가장 위험인 사람 보호하는 선도적인 사이버 보안 기업이다. 프루프포인트는 클라우드 기반 솔루션의 통합 제품 라인업을 통해 세계 기업이 표적 위협을 차단하고 데이터를 보호하며 사용자가 사이버 공격에 대해 보다 탄력적으로 대처할 있도록 지원한다. 포춘(Fortune) 100 기업의 75% 포함한 모든 규모의 선도기업은 프루프포인트의 보안 솔루션을 사용한다. 프루프포인트는 이메일, 클라우드, 소셜 미디어 전반에 걸쳐 있는 위험을 완화하는 사람 중심의 보안 솔루션을 제공하고 있다. 자세한 내용은 프루프포인트 공식 홈페이지(www.proofpoint.com)에서 확인할 있다.

프루프포인트 소셜 미디어Twitter | LinkedIn | Facebook | YouTube