페루의 봉우리들: 디지털 대출의 환상

서론

안데스 산맥을 넘어 페루의 디지털 계곡에 도착했을 때, 우리는 새로운 형태의 대출 사기를 마주하게 되었다. 브라질에서 벌어졌던 사기 수법과 마찬가지로, 이 사기 조직들은 희망과 절박함을 이용해 피해자들에게 경제적 구제를 약속하며 유인했다. 그 수법은 너무나도 설득력 있어 마치 도움이 눈앞에 있는 듯했지만, 결국 도움은 사라지고 피해자들은 착취당하고 무방비 상태에 놓이게 되었다.

2024년 이후, 악성 행위자들은 페루의 주요 은행 중 한 곳을 사칭하는 사기 도메인을 최소 16개 생성했다.

이 피싱 사기는 겉보기에는 합법적인 대출 신청 절차인 것처럼 위장하여 개인을 표적으로 삼으며, 유효한 카드 정보와 해당 비밀번호를 탈취하기 위해 고안되었습니다. 이렇게 탈취된 정보는 암시장에서 판매되거나 추가적인 피싱 활동에 악용됩니다.

주요 발견 사항

• 사기 캠페인을 확산시키기 위해 사이버 범죄자들은 다양한 소셜 미디어 광고를 활용했다.
• 이 피싱 수법은 겉보기에는 합법적인 대출 신청 절차를 통해 유효한 카드 정보와 비밀번호를 탈취합니다.
• 그들은 입력된 신용카드 번호의 유효성을 확인하기 위해 룬 알고리즘을 사용함으로써, 사기꾼들이 오직 신뢰할 수 있는 정보만을 다루도록 보장했다.
• 이번 사기 캠페인에서 약 370개의 고유 도메인이 확인되었습니다.
• 이 캠페인은 대상 범위를 다른 라틴 아메리카 국가의 금융 기관들로 확대했다.

이 블로그가 흥미로울 만한 분들:

• 금융 기관 – 페루 및 라틴 아메리카 전역의 은행과 핀테크 기업 중, 자사 고객을 노리는 새로운 사기 수법을 파악하고자 하는 곳.
• 사이버 보안 전문가 – 피싱 기법, 사기 인프라, 지역별 사기 동향을 분석하는 분석가, 위협 탐지 전문가 및 사기 방지 팀.
• 디지털 리스크 보호 서비스 제공업체 – 브랜드 악용 및 온라인 사기 탐지 및 완화에 주력하는 벤더 및 MSSP.
• 규제 당국 및 정책 입안자 – 라틴 아메리카(LATAM) 지역에서 소비자 보호, 디지털 사기 및 금융 범죄를 담당하는 기관.
• 연구자 및 언론인 – 사이버 범죄, 사기 수법, 피싱 캠페인의 진화 등을 다루는 분들.
• 정보에 밝은 소비자들 – 특히 페루와 주변 국가에서, 정교하게 운영되는 대출 사기 수법에 대한 인식을 높이기 위해.

Group-IB Threat Intelligence :

Group-IB 고객님께서는 본 블로그에 소개된 대출 사기 수법에 대한 자세한 정보를 확인하시려면 당사의 Threat Intelligence 접속하시기 바랍니다.

광고에서 피해자까지: 사기의 전말

2024년부터 2025년 사이에, 당사의 분석 결과 이 사기 캠페인의 핵심 요소로 작용하는 약 35건의 서로 다른 소셜 미디어 광고가 확인되었습니다. 다양한 플랫폼에 전략적으로 배포된 이 광고들은 의심하지 않는 사용자를 사기 수법으로 유인하도록 고안되었습니다. 관찰된 패턴을 볼 때, 이는 도달 범위와 효과를 극대화하기 위해 지속적으로 전술을 조정하는 정교하고 진화하는 사기 조직의 소행으로 보입니다.

입력, 유효성 검사, 유출

그림 2: ID 번호를 입력하도록 요청하는 초기 랜딩 페이지. 영어 번역본이 제공됨.

이 과정은 피해자가 DNI(Documento nacional de identidad, 주민등록증)와 같은 주민등록번호를 입력하는 것으로 무해하게 시작됩니다. 이상하게도 어떤 값을 입력해도 받아들여지는데, 이는 마치 진행 중인 것처럼 보이게 하여 피해자의 신뢰를 얻게 만듭니다.

이 피싱 페이지에는 데이터를 처리하는 스크립트가 있습니다.

이 스크립트는 API 엔드포인트 /api/post/gsdhb를 통해 DNI(식별 번호)를 서버로 전송합니다. 전송 전에 해당 번호는 다음 단계를 거칩니다:

• 정리 (숫자만 남김).
• 유효성 검사 (길이는 정확히 8자여야 합니다).

모든 검사가 통과되면, DNI 및 세션 식별자 _kidwyvw와 같은 매개변수와 함께 /api/post/gsdhb로 POST 요청이 서버로 전송됩니다.

그림 3: “_kidwyvw” 변수가 포함된 HTML 코드 일부.

맞춤형 제안 – 신뢰를 쌓기 위한 속임수

다음으로, 피해자들에게는 대출 금액과 상환 조건이 각기 다른 다양한 대출 상품이 제시되며, 이를 통해 자신에게 딱 맞는 맞춤형 금융 상품인 것처럼 느껴지도록 유도합니다.

그림 4: 대출 금액을 선택한 후, 피해자들은 이메일 주소와 전화번호를 입력해야 합니다. 영어 번역본이 제공됩니다.

다음 단계는 기본적인 연락처 정보를 수집하는 것입니다. 피해자들에게 이메일 주소와 전화번호를 입력하도록 요청합니다. 이메일 입력란에는 엄격한 검증 절차가 없지만, 전화번호는 특정 숫자로 시작해야 하며, 이는 피싱 사기에 미묘한 신뢰성을 더해줍니다.

신원 확인 단계에서 함정이 더욱 조여오며, 이때얼굴 인식과 은행 카드 정보 입력 중 두 가지 옵션이 제시됩니다. 얼굴 인식 기능은 의도적으로 고장 나도록 설계되어 항상 오류 메시지를 표시함으로써, 피해자가 대신 카드 정보를 입력하도록 유도합니다.

여기서 피싱 수법은 더욱 정교해집니다. 시스템은 입력된 카드 정보를 루른(Luhn) 알고리즘으로 확인하는데, 이는 다양한 식별 번호를 검증하는 데 사용되는 간단한 체크섬 공식입니다. 이 알고리즘은 신용카드 번호 확인에 널리 사용됩니다. 카드가 인식되지 않으면 피해자에게 오류 메시지가 표시되어 진행이 중단됩니다. 이를 통해 사기꾼들은 자신이 노리는 특정 브랜드에서 발급한 진짜 유효한 카드만을 대상으로 삼을 수 있게 됩니다.

카드 정보가 확인되면 피해자들은 온라인 뱅킹 비밀번호나 6자리 PIN 번호와 같은 추가적인 민감한 정보를 입력하라는 안내를 받게 됩니다. 이렇게 수집된 새로운 정보는 유출된 카드 정보와 연결되어, 암시장에서 해당 인증 정보의 가치를 크게 높여줍니다.

절차가 완료되면 피해자들은 대출 신청이 검토 중이며 은행 담당자가 곧 연락을 드릴 것이라는 허위 안내를 받게 됩니다. 피싱 사기의 신뢰도를 높이기 위해 피해자들은 은행의 공식 웹사이트로 연결되는데, 이로 인해 피해자들은 방금 사기를 당했다는 사실을 전혀 눈치채지 못하게 됩니다.

국경을 넘어: 사기 조직의 라틴 아메리카 진출

Group-IB 조사관들은 이번 사기 수법과 관련해 금융 기관을 사칭하기 위해 특별히 제작된 약 370개의 고유 도메인을 확인했습니다. 이 정교한 작전의 주된 표적은 페루로 보이며, 해당 국가 내 금융 기관을 겨냥한 악성 활동이 집중되고 있지만, 이러한 위협은 특정 한 국가에만 국한되지 않습니다.

추가 분석 결과, 이 사기 행각의 범위가 다른 라틴 아메리카 국가들로까지 확대된 것으로 드러났다. 콜롬비아, 엘살바도르, 칠레, 에콰도르 등의 국가에 있는 기업과 금융 기관들도 표적이 되었다.

구체적으로, 확인된 사칭 시도에는 다음이 포함됩니다:

• 페루: 페루 내에서 세 개의 서로 다른 금융 브랜드가 모방되었다.
• 콜롬비아: 콜롬비아의 한 금융 브랜드가 표적이 되었습니다.
• 엘살바도르: 엘살바도르의 한 금융 브랜드가 표적이 되었습니다.
• 칠레: 칠레의 한 금융 브랜드가 표적이 되었습니다.
• 에콰도르: 에콰도르의 한 금융 브랜드가 표적이 되었습니다.

이는 범인들이 라틴 아메리카(LATAM) 지역 내 여러 시장의 취약점을 악용하려는, 보다 광범위한 지역적 전략을 구사하고 있음을 시사합니다. 이처럼 많은 수의 고유 도메인이 발견된 것은 이번 사기 행위의 규모와 정교함을 여실히 보여줍니다.

그림 9: Group-IB의 연구에 따르면, 이 사기 캠페인이 라틴 아메리카 전역으로 확산된 것으로 나타났습니다.

무대 뒤: 자바스크립트 페이로드에 대한 기술적 분석

피싱 인프라를 자세히 살펴보면, /temp/js/ 디렉터리에서 제공되는 librarypools.js라는 이름의 자바스크립트 파일이 발견됩니다. 이 스크립트는 데이터 수집 및 유출 과정에서 핵심적인 역할을 하며, 악의적인 의도를 암시하는 여러 가지 위험 신호를 포함하고 있습니다:

• 난독화된 함수 이름: Librarypools 클래스는 uyidshjdbvsd, fghdgnfdddv, sdfgsdfgsf와 같이 무작위로 생성되거나 의미 없는 이름을 가진 함수들로 구성되어 있습니다. 이러한 의도적인 난독화는 분석을 어렵게 만들며, 피싱 키트의 대표적인 특징입니다.
• 포괄적인 양식 데이터 수집: 이 스크립트의 serialize() 함수는 이름, 비밀번호, 이메일, 결제 정보 등 모든 표준 양식 필드의 사용자 입력 데이터를 수집하여, 동적으로 생성된 fetch 또는 XMLHttpRequest 호출을 통해 데이터를 유출할 수 있도록 준비합니다. 제출 경로는 세션별 경로 세그먼트를 사용하여 구성되므로, 정적 필터를 통한 탐지가 더욱 어려워집니다.
• 루른 알고리즘을 통한 카드 번호 유효성 검증: sdfgsdfgsf()라는 함수는 제출된 카드 번호가 유효한지 확인하기 위해 루른 검증을 구현합니다. 이를 통해 사기꾼들의 활동을 억제하고, 오타가 있거나 허위인 데이터를 걸러낼 수 있습니다.
• 맞춤형 경로 매핑과 주제적 일관성: gegsdfgsh() 메서드는 숫자 입력값을 ‘mi-prestamo-nacion’, ‘dineroalinstante’, ‘reconocimiento-facial’과 같은 스페인어 피싱 테마로 매핑합니다. 이러한 엔드포인트는 합법적인 사이트라는 착각을 강화하며, 여러 대출 브랜드나 서비스를 시뮬레이션할 수 있는 모듈식 백엔드를 암시합니다.
• 조건부 유효성 검사 로직: 입력 유효성 검사기는 전화번호나 이메일 주소와 같은 필드가 예상된 형식에 부합하는지 확인합니다. 이는 피해자의 신뢰를 높일 뿐만 아니라 수집된 데이터의 품질도 향상시킵니다.

이 스크립트를 임시 하위 디렉터리(/temp/js/)에 전략적으로 배치한 점과 모듈식 아키텍처는, 최소한의 재구성만으로 여러 캠페인을 지원하도록 설계된 확장 가능한 인프라를 보여줍니다.

결론

페루에서 벌어지는 피싱 사기, 특히 가짜 대출 제안을 이용한 사기 사례들은 기술적 정교함이 점점 더 높아지고 있음을 보여준다. 사기꾼들은 효과적인 사회공학 기법을 동적 스크립팅, 데이터베이스 조회, 난독화된 코드와 결합함으로써 캠페인의 신뢰도를 극대화하는 동시에 고품질의 인증 정보만을 수집하고 있다.

이러한 심리적 조작과 기술적 정밀성의 결합은 지역별 사기 수법을 파악하고 효과적인 대응책을 마련하는 데 있어 위협 인텔리전스의 중요성을 여실히 보여준다.

권장 사항

금융 기관을 위한:

• 사용자들이 사기성 대출 제안의 위험 신호를 알아차릴 수 있도록 사전 예방적 고객 교육에 투자하십시오.
• Group-IB의 Digital Risk Protection 같은 서비스를 통해 디지털 리스크 모니터링을 강화하십시오. 이 Digital Risk Protection 귀사의 브랜드를 사칭하는 피싱 도메인을 신속하게 차단할 수 있도록 지원합니다.
• 다단계 인증 및 거래 알림과 같은 다층 방어 체계를 활용하여, 인증 정보가 유출되더라도 고객을 보호하십시오.
• 동종 업계 관계자 및 규제 당국과 정보와 모범 사례를 공유하여 새롭게 등장하는 사기 수법에 선제적으로 대응하십시오.

소비자 여러분께:

• 기억하세요: 대출 제안이 너무 좋아서 믿기 어려울 정도라면, 아마 그럴 가능성이 높습니다.
• 금융 서비스는 반드시 공식 은행 채널(웹사이트, 앱 또는 인증된 고객센터 전화번호)을 통해서만 이용하십시오.
• 개인 정보나 금융 정보를 입력하기 전에 항상 URL을 다시 한 번 확인하세요.
• 정식 플랫폼임을 확실히 확인할 수 없는 한, 주민등록번호, 비밀번호 또는 인터넷 뱅킹 로그인 정보와 같은 민감한 정보를 절대로 공유하지 마십시오.

규제 당국 및 정책 입안자들을 위해:

• 라틴 아메리카 내 지역 간 협력을 강화하여 국경을 넘는 사기 행위에 더 효과적으로 대응한다.
• 시민들이 사기를 식별하고 피할 수 있도록 돕는 인식 제고 활동을 지원하십시오.
• 디지털 플랫폼과 협력하여 광고주에게 책임을 묻고, 허위 광고 캠페인이 신속하게 삭제되도록 해야 합니다.

Group-IB 사기 매트릭스

면책 조항: 본 자료에 포함된 악성코드 분석, 침해 지표(IoC) 및 인프라 세부 정보를 포함한 모든 기술 정보는 오로지 방어적 사이버 보안 및 연구 목적으로만 공유됩니다. Group-IB는 본 자료에 포함된 정보의 무단 사용이나 악의적인 사용을 지지하거나 허용하지 않습니다. 본 자료의 데이터와 결론은 확보된 증거를 바탕으로 한 Group-IB의 분석적 평가를 반영한 것이며, 조직이 사이버 위협을 탐지, 예방 및 대응하는 데 도움을 주기 위한 것입니다.

Group-IB는 제공된 정보의 오용에 대해 어떠한 책임도 지지 않음을 명시적으로 밝힙니다. 각 기관 및 독자 여러분께서는 이 정보를 책임감 있게 활용하고, 모든 관련 법규를 준수해 주시기를 당부드립니다.

이 블로그는 소셜 미디어 플랫폼 등 합법적인 제3자 서비스를 언급할 수 있으나, 이는 오로지 위협 행위자들이 이러한 플랫폼을 악용하거나 오용한 사례를 설명하기 위한 목적으로만 이루어집니다.