[2019-11-10] 두서없이 쓰는 구글 크롬 설문조사 관련 사기

1. 사건의 발단

 

리눅스를 설치하고 이것저것 실험했던 필자의 안드로이드 폰이, 무슨 이유에서인지 갑자기 와이파이가 되지 않았다. 공유기에 집안에 있는 모든 전자제품의 정보가 올라옴에도 불구하고, 공기계인 안드로이드 폰만 연결 목록에 뜨지 않아, 원인을 찾고 있던 중이었다. 혹시나 해서, 실 사용중인 스마트폰으로 핫스팟을 켠 다음, 연결을 시도했지만, 공기계는 아무런 연결도 진행하지 못한다. 아무래도 공유기나 신호 문제는 아닌 듯 했고, 스마트폰 내의 무선AP가 맛이 가버린듯 했다.

 

기기 내부에 무슨 문제가 있는지 케이스를 열어보려고 하니, 케이스를 열 수 있는 적당한 크기의 드라이버도 없다... 별 수 없이, 안드로이드 폰은 잠시 전원을 꺼놓고, VMware 가상머신으로 리눅스를 돌리기 위해, 프로그램을 실행시켰다. 그런데, VMware도 잠깐 안 쓰는 사이에, 업데이트가 되어버려, 프로그램 자체를 다시 설치해야하는 과정을 거쳐야했다. 

 

컴퓨터가 매우 느린 탓에, VMware 삭제/재설치 및 Linux 설치를 진행하고 나서, 초기 설정 상태 그대로 VMware에 저장하려고 하니... 이번에는 스냅샷 잡는 메뉴가 보이지 않는다. 하...젠장. 어쩐지 요즘 너무 별 탈 없이 일이 수월하게 풀린다 했다. 

 

별 수 없이 VMware를 종료시키고(필자의 컴퓨터에서 VMware와 크롬을 동시에 진행하면, 무진장 느려진다...), 업데이트 버전에서 스냅샷을 잡을 수 있는 방법을 찾아보기 위해, 크롬을 띄웠는데

 

필자가 당시의 스크린 샷을 찍지 못해, 인터넷 이미지를 빌렸다

 

이런 화면이 떡 하니 나타난다. 안 그래도, 실 사용중인 스마트폰이 완충이 되지 않아, "하나 구매를 해야하나"라는 고민을 하고 있던 시점이어서, 상당히 혹했던 것은 사실이다. 하지만 정말 다행히도, 필자는 아이폰을 좋아하지 않아서, 조금 더 객관적인 시점에서 이 페이지를 바라볼 수 있었다.

 

 

 

2. 피싱 사기임을 알 수 있었던 이유.

 

(1) 설문조사 진행 기관이 구글이라고?

 

구글에서 미쳤다고 이런 정신나간 설문조사를 벌일까? 왜냐하면, 현재 인터넷 브라우저 점유율이 가장 높은 제품 중에 하나가 바로 구글 크롬이니까. 자신들의 브라우저가 타사 경쟁 제품보다 우위에 있어야 한다면, 성능 개선을 목적으로라도 설문 조사를 진행할 수 있겠지만... 구글인데 굳이 그럴 필요가.

 

 

(2) 설문 조사의 내용

 

설령, 설문 조사를 진행한다고 하면, 설문 내용은 조금 더 충실하게 만들 필요가 있다. 꼴랑 네 문항밖에 안되는 설문조사에, 질문 내용도 뭔가 빈약하다.

 

1. 크롬을 얼마나 자주 사용하십니까

2. 크롬 외의 브라우저를 사용하십니까?

3. 인터넷을 하루에 얼마나 많이 합니까?

...하나는 생각이 안난다.

 

뭐... 하여간 이런 류의 질문이 전부다. 구글에서 일하는 사람들이 이런 되도 않는 설문 조사를 진행하기 위해, 자신들의 귀중한 업무시간을 소비했을리는 없지 않은가...

 

 

 

(3) 설문 조사 페이지 및 결제 페이지의 URL 주소

 

그럼에도 불구하고, 정말 구글 직원들이 필요에 의해 설문조사를 "이딴 식"으로 진행했다고 가정해보자. 그럼 적어도, 설문조사 홈페이지 URL은 google과 관련된 내용이 포함되어 있어야 어느 정도의 신빙성이 있을 것이다. 하지만, 대부분의 사람들은, 이 창을 닫아버리는 순간, 아이폰을 싸게 살 수 있는 기회가 날아가버리니 창을 닫지 못하고 설문 조사를 진행하게 되는 것이고...

 

네 개의 문항에 대한 설문 조사가 끝나면, 아이폰을 수령할 주소와 수령자 이름을 적는 홈페이지가 나타나는데, 이 페이지 역시 구글이나 아이폰과는 거리가 먼 URL 주소를 가지고 있다. 필자는 수령 정보를 작성하는 홈페이지 주소가 아래와 같은 주소였는데, 이 페이지를 닫은 뒤, 다시 해당 주소로 접속을 시도하니 빈 페이지만 나타난다. 아마도 정상적인 httpd 서버를 통해 동작하는 페이지인 듯 하지는 않다.

 

https://iphnxmax.chingforblingz.com/ 

https://iphnxmax.chingforblingz.com/

 

해당 도메인에 대한 정보를 cmd창에서 조회해보았다.

 

 

 

서비스 제공을 위해, DNS 서버 구축 시 작성하는 SOA이 검색이 안된다. IP에 대한 정보를 제공하는 사이트에서, 조금 더 상세 정보를 찾아보기로 했다.

 

 

실제 이 아이피를 사용하는 회사의 DNS 서버 주소를 통해, 해당 도메인의 SOA를 조회하면, SOA가 뜨긴 뜬다. 하지만, 이 회사가 사용하는 도메인은 cloudflare.com이라, 주소창에서 보았던 chingforblingz.com과 일치하지 않는다. 물론, 이들 도메인 역시, 구글이나 아이폰과도 전혀 관련성이 없다. 결정적으로, 해당 IP의 서버에서 개방한 서비스 포트의 번호 역시, 뭔가 의심쩍다. 인터넷 브라우저를 통해 정보를 전달하기 위해 사용하는 80번과 443번 포트가 개방된 상태가 아니다. 즉, 해당 IP를 가지는 서버 컴퓨터가 브라우저를 통해 무언가의 정보를 제공하는 기능은 전혀 진행하고 있지 않는다는 이야기다.(그럼에도 불구하고, 처음에는 인터넷 창으로 정보를 받을 수 있었으니 사기가 의심될 수 밖에 없다)

 

 

 

해당 홈페이지까지, 연결되는 과정을 알아본 결과는 더욱 충격적이다. 미국에 소재하고 있는 회사라고 나와 있음에도, 마지막 라우팅 주소인 61.120.144.46의 위치는 일본이라고 나온다...

 

심지어 그 전에 보이는 경로인 112.174 주소는 중국에 위치하고 있다...

 

추적을 어렵게 하기 위해 이리저리 손을 쓴 것이 보인다.

 

 

 

 

결제 페이지는, 수령 정보 입력 페이지와 달리, 무슨 이유에서인지 계속 살아 있는 것이 확인된다. 주소는 아래와 같다.

 

https://cogilium.com/kr/gateway.html

Secure payment form

 

그런데, 미국 회사가 진행하는 결제 페이지임에도 불구하고, URL이 paypal이나 그 외에 필자가 알고 있는 결제 회사 이름과는 영 거리가 멀다. cogilium(코길리움이라고 읽나??)이라는 명칭이 도메인에 있는데, 이런 사명으로 결제 운영을 하는 회사에 대해 전혀 들어본 적이 없다. 호기심이 일어서, 해당 주소의 com 도메인까지만 입력하고 접속해보았다.

 

 

역시나... 결제와 관련된 회사가 전혀 아니다. 이를 통해, 사기꾼들이 결재 페이지를 제작하고, cogilium의 도메인만 사용하여, 네트워크 상의 특정 지점에서 자신들이 만든 페이지로 유도하도록 손을 쓴 듯 했다. 

 

 

(4)  결제 페이지의 문의 전화 국가 코드

 

구글은 미국 회사다. 그렇다면, 결제 페이지에 올라온 문의 전화 역시, 국가 코드가 미국의 그것(+1)과 동일하게 작성되어 있어야 앞뒤가 맞다. 하지만, 결제 페이지에서 해당 내용은 다음과 같이 표기되어 있다.

 

 

우측 하단에, 국가 코드가 +44, 영국으로 되어있다.(그런데 도메인 주소 뒤의 폴더명에는 KR이 포함되어 있다...사중 국적자인가...?) 지금까지 찾은 정보를 통해, 해당 서버의 주소가 미국에 위치함을 알 수 있었음에도 영국 번호가 표시된다. 누군지는 몰라도 사기치는 법을 모른다는 생각밖에 들지 않는다.

 

 

 

3. 사기꾼들의 수가 뻔히 보임에도 불구하고...

 

이 수법이 무려 2016년도에 나타난, IT 분야의 입장에서 보자면 상당히 오래된 사기 수법이라는 것이다. 물론, 결제 금액 자체가 1달러 내외로 매우 푼 돈이기 때문에, 결제 후에도 큰 금액을 사기당하지 않았다는 안일한 생각을 가지는 분들도 있을 듯 한데, 결재를 위해 입력하는 모든 정보가, 사기꾼들에 의해 데이터화 된다면...? 그리고 그 정보를 토대로 카드가 복제된다면? 어느날 갑자기, 통장에서 돈이 인출되었다는 청천벽력같은 소식을 듣게 될지도 모른다.

 

막을 수 있는 방법은 없는 것일까??

 

FIN.