진화하는 해킹범죄…"탈취 계정정보 로그인 시도 0.3% 성공"

(그래픽=픽사베이)

[이데일리 한광범 기자] 다른 사이트에서 수집한 사용자의 계정정보를 무작위로 대입해 로그인을 시도하는 공격 방식이 이어지고 있어 이용자들의 주의가 요구된다. 로그인 시도의 약 0.3%가 실제 공격에 성공한 것으로 나타났다.

17일 과학기술정보통신부과 한국인터넷진흥원(KISA)은 국내외 보안업체들이 참여하는 ‘사이버 위협 인텔리전스 네트워크’와 함께 사이버 보안 위협 관련 올해 분석과 내년도 전망을 발표했다.

사이버 보안 위협 인텔리전스 네트워크는 정보공유 및 침해사고 공동 대응을 위해 KISA와 국내외 보안업체가 운영하는 협력 네트워크다. 국내에선 안랩, S2W 등이, 해외에선 마이크로소프트와 카스퍼스키 등의 기업이 참여하고 있다.

과기정통부와 민간 보안기업들은 올해 “국내 기업과 기관들을 대상으로 하는 크리덴셜 스터핑 공격이 연이어 발생했다”고 전했다. 크리덴셜 스터핑은 다른 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 주요 사이트에서 로그인을 시도하는 공격 방식이다.

실제 올해 인터파크에서 78만건, 한국고용정보원(워크넷)에서 23만건의 개인정보가 유출됐으며, 이를 통해 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산됐다. 특히 최근 침해사고 조사 결과, 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 가까이 되는 경우도 나타나기도 했다.

과기정통부와 KISA는 “각 기업·기관들은 로그인 시도 횟수 제한, 2차 인증 기능 제공 등 이용자 인증 관련 보안성을 더욱 높여야 한다”고 강조했다.

이밖에도 진화를 거듭하는 사회공학적 기법의 피싱(Phishing)은 포털이나 메신저 등 이용자가 많은 서비스를 정교하게 사칭해 이용자 개인정보를 노리는 피싱(Phishing) 공격도 이어지고 있다. 실제 올해 피싱사이트 탐지·차단 건수는 7534건으로 전년(4026건) 대비 약 1.8배 늘었다. 소셜미디어의 특성상 개인정보가 유출되면 거기서 끝나는 것이 아니라, 이를 이용해 또 다른 피해로 연결되기도 한다.

실제 지난 7월 텔레그램 공식 계정인 것처럼 위장한 피싱사이트를 통해 개인정보와 인증번호 입력을 요구해 계정을 탈취하고, 탈취한 계정에 등록된 지인들에게 마치 본인이 보낸 것처럼 피싱사이트 주소를 전달하는 새로운 해킹 수법이 나타났다. 5월엔 메타를 사칭해 기업 페이스북 계정을 노리는 피싱 메일이 유포됐고, 이번달엔 부고 사칭 스미싱 문자가 급증해 주의보가 내려지기도 했다.

택배 배송이나 교통범칙금, 지인부고 등을 사칭하는 문자메시지에 링크 주소(URL) 클릭을 유도해 악성파일을 설치하려는 스미싱 문자도 올해 대량 유포돼 문자나 메신저 채팅을 이용한 해커들의 공격도 끊임없이 확산되고 있는 중이다.