“친구를 발견하는 새로운 방법”
틴더가 자사 앱을 소개할 때 사용하는 문구다. 틴더는 스마트폰 화면을 왼쪽이나 오른쪽으로 쓸어넘기는 단순한 조작만으로 원하는 상대와 연결해주는 앱이다.
사용자는 틴더를 새 친구를 사귀는 수단으로도, 낯선 이와의 데이트를 꿈꾸는 공간으로도 활용한다.
하지만 즐거운 만남을 꿈꿨던 일부 사용자의 환상은 처참히 깨졌다. 친구나 연인 대신 ‘해커’를 만난 것이다.
18일(현지 시간) IT 전문 매체 폰아레나(PhoneArena)는 신원이 불분명한 해커 그룹이 데이트 앱 ‘틴더’를 통해 탈취 당시 기준 140만 달러(약 16억 6천만 원) 상당의 비트코인을 훔쳤다고 보도했다.
영국 사이버 보안 회사 소포스(Sophos)는 해커의 신원과 공격의 근원지는 밝혀지지 않았으나, 해커가 비트코인을 숨긴 디지털 지갑을 발견했다고 밝혔다.
소포스는 이번 계획을 ‘크립토롬(CryptoRomm)’이라 명명했다. 크립토롬은 외로운 사람의 마음을 훔쳐 돈을 빼앗는 ‘로맨스 스캠(Romance Scam)’ 범죄를 뜻한다.
범죄는 어떻게 진행됐을까. 먼저 해커는 틴더 사용자에게 접근하기 전에 가짜 비트코인 거래 앱을 만들어뒀다.
그리고 틴더와 범블(Bumble)과 같은 데이트 앱에 가짜 온라인 프로필 여러 개를 개설해 사용자와 매칭을 시도했다.
누군가와 매칭돼 대화창이 개설되면, 해커는 상대방과 자연스레 친해지며 비트코인 거래 앱으로 돈을 많이 벌고 있다는 점을 어필했다.
해커의 감언이설에 속은 데이트 앱 이용자는 가짜 비트코인 앱에 일정 금액을 투자했다. 투자 초기에는 수익률이 좋아보이지만, 결국 투자한 돈은 해커의 비트코인 지갑으로 들어가 찾을 수 없게 됐다.
소포스의 연구에 따르면, 해커는 피해자의 돈만 빼낸 것이 아니라 아이폰의 정보까지 접근할 수 있는 것으로 드러났다.
해커는 새 iOS 앱을 사전 테스트하는 데 특화된 엔터프라이즈 시그니쳐 시스템(Enterprise Signature System)을 통해 가짜 비트코인 앱에 서명 기능을 탑재했다. 해킹한 서명을 이용하면 개인 데이터 수집, 계정 추가와 제거, 앱의 설치와 관리까지 가능해진다.
피해자는 수백에서 수천 달러에 달하는 막대한 돈을 잃었을 뿐만 아니라 개인 정보 유출이라는 위기 상황에 놓여있다.
소포스는 지난주 비즈니스 인사이더에서 발표한 성명에서 “해커는 가짜 암호화폐 거래 앱을 통해 피해자 기기에 대한 원격 관리 제어 권한을 얻을 것”이라고 내다봤다.
난감해진 건 애플이다. 크립토롬의 희생자는 모두 아이폰 사용자였다. 애플은 늘 보안을 우선시한다고 강조해왔다.
이어 가짜 암호화폐 앱을 앱스토어에 게시 허용했다는 이유로도 도마 위에 올랐다. 과연 애플은 이번 보안 이슈에 관해 어떻게 해명할 것인가.
테크플러스 에디터 최연우
tech-plus@naver.com
[fv0012]
- 신뢰할 수 있는 정확한 색표현, 벤큐 SW271C
- 2021 맥북프로 공개, 애플이 보여주는 반도체의 마술
- 애플, 중국 요청에 갑자기 ‘종교’ 앱 삭제?
- 스포츠카의 상징 포르쉐, ‘전기차’가 911 꺾었다?
- 러시아, 지하철 요금 ‘얼굴’로 낸다?
