기타
⚠️ 보이스피싱의 5단계 공격 구조
IT 일반상식
2026. 2. 21. 10:49
보이스피싱은 단순히 '전화로 속이는 것'을 넘어, 최근에는 심리 전술과 IT 기술이 결합된 복합적인 범죄 시나리오로 움직입니다. 20년 경력의 개발자이신 만큼, 이 과정을 '공격 프로세스' 관점에서 구조화해 드릴게요.
⚠️ 보이스피싱의 5단계 공격 구조
보이스피싱은 크게 **[타깃 수집 → 접근(Initial Access) → 신뢰 구축 및 압박 → 기술적 장악 → 수익 회수]**의 단계를 거칩니다.
1. 개인정보 수집 (Reconnaissance)
공격자는 불법 유출된 DB나 스크래핑을 통해 타깃의 정보를 미리 확보합니다.
- 데이터: 이름, 전화번호, 직장, 대출 현황 등.
- 목적: "OOO 씨 맞으시죠? XX은행 대출 건으로 연락드렸습니다"와 같이 신뢰도를 높이는 미끼로 사용합니다.
2. 발신번호 조작 및 접근 (Initial Access)
- 070 번호 변작: 해외 콜센터에서 거는 070 번호를 국내 중계기(심박스)를 거쳐 010 일반 휴대전화 번호로 바꿉니다. (사용자가 전화를 받게 만드는 핵심 기술)
- 사칭 전략: 검찰, 경찰, 금감원 같은 **'권력 기관'**이나 저금리 대출을 제안하는 **'금융권'**을 사칭합니다.
3. 심리적 지배 (Social Engineering)
- 공포 유발: "당신 명의의 통장이 대형 범죄에 연루되었다. 협조하지 않으면 구속된다"며 판단력을 흐리게 합니다.
- 욕망 자극: "정부 지원 저금리 상품으로 갈아타게 해주겠다"며 기존 대출 상환을 유도합니다.
4. 기술적 장악 (Technical Compromise)
최근 가장 무서운 단계로, 단순 음성을 넘어 스마트폰을 해킹합니다.
- 악성 앱(APK) 설치 유도: "보안 검사 앱이다", "비대면 대출 신청 앱이다"라며 링크를 보내 설치하게 합니다.
- 전화 가로채기: 이 앱이 설치되면, 사용자가 확인을 위해 112나 은행에 전화를 걸어도 범죄자의 콜센터로 연결됩니다. (좀비 폰 상태)
5. 자금 편취 (Exfiltration)
- 대면 편취: "금융감독원 직원을 보낼 테니 현금을 인출해서 전달하라"고 지시합니다.
- 계좌 이체: 가상화폐나 대포통장을 이용해 자금을 세탁하며 송금을 유도합니다.
📊 보이스피싱 조직도 (Infrastructure)
보이스피싱은 기업형 구조를 가지고 있습니다.
| 역할 | 설명 |
| 총책 | 해외(주로 중국, 동남아)에서 전체 범죄를 기획하고 지휘 |
| 콜센터 | 매뉴얼에 따라 타깃에게 전화를 걸어 속이는 '공격수' |
| 기술팀 | 번호 변작기 관리, 악성 앱 개발 및 C&C 서버 운영 |
| 수거책/인출책 | 국내에서 현금을 직접 전달받거나 ATM에서 인출하는 하부 조직원 |
| 환전팀 | 편취한 금액을 코인 등으로 바꿔 해외로 송금(자금 세탁) |
💡 개발자 관점에서의 방어 포인트
안드로이드 개발자로서 가장 눈여겨보실 부분은 역시 **'악성 APK를 통한 시스템 권한 장악'**입니다. AccessibilityService나 CallLog 관련 권한을 요구하는 앱을 경계하는 것이 핵심이죠.
보이스피싱 예방을 위해 스마트폰에 설치된 앱들의 권한을 한 번 점검해 보시는 건 어떨까요?