가짜 코인 거래소 피싱, 삭제된 카카오톡 복구로 수사 단서 확보

 

사건 개요: "유망 코인 상장" 미끼로 유도된 피싱

사건의 시작은 지인을 사칭한 카카오톡 메시지였습니다. 피해자 A씨는 평소 알고 지내던 지인의 이름과 사진을 도용한 계정으로부터 다음과 같은 메시지를 받았습니다.

“곧 유망한 코인이 상장되는데, 지금 선점하면 수익이 큽니다. 이 거래소를 통해 바로 참여할 수 있어요.”

이 메시지에는 가짜 가상자산 거래소 사이트로 연결되는 링크가 포함되어 있었고, A씨는 해당 사이트에 가입하고 금액을 송금했습니다. 하지만 얼마 지나지 않아 출금이 막히고, 사이트 접속 자체가 차단되면서 사기임을 인지하게 됩니다.

 

삭제된 대화, 결정적 단서가 되다

문제는 피싱 조직이 카카오톡 대화를 모두 삭제하고 피해자를 차단했다는 점입니다. 보통의 경우, 이런 상황에서는 대화 내용을 복구하기 어려워 수사가 난항을 겪기 마련입니다.

하지만 디지털 포렌식 기술이 이 상황을 돌파했습니다.

SQLite 기반 DB 복구

카카오톡의 메시지는 사용자의 스마트폰 내 로컬 데이터베이스에 저장되며, 일반적으로 SQLite 형식의 데이터베이스 파일(.db)로 관리됩니다. 이번 사건에서 수사기관은 피해자의 스마트폰을 확보한 뒤 다음 절차를 통해 분석을 진행했습니다:

1. 논리적 이미지 획득(Logical Imaging)
   → 스마트폰 내 저장된 앱 데이터(특히 카카오톡 폴더) 백업
2. SQLite 데이터베이스 분석
   → 삭제된 메시지는 메타데이터와 함께 남아있는 경우가 많아, 전용 툴(예: DB Browser for SQLite, UFED Physical Analyzer 등)로 복구 시도
3. 삭제된 대화 복원 및 링크 추출
   → 가짜 거래소 사이트 URL, 송금 계좌 정보, 사칭된 대화 내용 확보

이 과정을 통해 중요 증거들이 복구되었고, 이를 바탕으로 피싱 조직의 네트워크와 범행 수법에 대한 수사가 진행 중입니다.

보이스피싱의 진화: 단순 전화 → 정교한 투자 사기

이번 사건은 단순한 음성 기반 피싱에서 벗어나, '투자 사기' 형태로 진화한 최신 보이스피싱 수법을 보여줍니다. 실제로, 피싱 조직은 웹사이트 개발 능력, 도메인 위장, 피싱용 계좌 개설 등 고도로 조직화된 방식으로 범행을 저지르고 있었습니다.

서울경찰청 관계자는 이에 대해 다음과 같이 설명했습니다:

“최근 보이스피싱은 단순한 전화 사기를 넘어, 정교한 가짜 투자 플랫폼을 통해 대규모 피해를 유도하고 있습니다. 이때 삭제된 메시지를 복구하는 디지털 증거 확보 과정이 매우 중요한 수사 단서가 됩니다.”

 

피해 방지 요령: 꼭 기억하세요!

금융감독원 통계에 따르면, 2024년 한 해 동안 국내 보이스피싱 피해액은 7천억 원을 돌파했으며, 그중 상당수가 메신저 피싱 및 가짜 투자사이트로 인한 것이었습니다.

다음은 경찰과 전문가들이 강조하는 예방 수칙입니다:

투자 권유 메시지 받았을 때 이렇게 하세요:

1. 보낸 사람이 지인이라도 반드시 본인 확인
   • 전화 통화 또는 영상통화로 직접 확인하세요.
2. 링크 클릭 금지
   • 메시지에 포함된 링크는 절대 클릭하지 말고, 공식 홈페이지 주소를 검색해 접속하세요.
3. 가상화폐 거래소는 공식 등록 여부 확인
   • 금융위원회 또는 FIU(금융정보분석원)에 등록된 거래소인지 반드시 확인하세요.

 

마무리하며: 디지털 포렌식의 역할

이번 사건은 디지털 포렌식 기술이 단순한 분석 도구를 넘어, 피해 회복과 범죄 수사의 핵심 수단이 될 수 있다는 것을 보여줍니다. 스마트폰의 메시지 복구, 데이터베이스 분석, 로그 추적 등은 앞으로도 사이버 범죄 대응의 최전선에서 중요한 역할을 할 것입니다.

이처럼 보이스피싱 수법이 계속 진화하는 만큼, 우리도 보안 의식을 꾸준히 업그레이드해야 할 때입니다.

과학수사저널 기사보기

https://www.kfj.co.kr/news/articleView.html?idxno=568

가짜 코인 거래소 피싱, 삭제된 카카오톡 복구로 수사 단서 확보 - 과학수사저널