태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
해커 (3)
최근 발생한 개인 정보 유출, 어떻게 일어났을까? 겁난다면 반드시 알아 할 기본 수칙은?

최근 발생한 개인 정보 유출, 어떻게 일어났을까? 겁난다면 반드시 알아 할 기본 수칙은?

최근 유명 연예인의 개인정보를 해킹 당한 사건이 발생했다. 동료 연예인과 주고받은 문자 및 사진 등이 유출되면서 컴퓨터 및 핸드폰 보안에 대한 중요성이 더더욱 커지고 있다. 하지만 그 관심이 '보안의 중요성'으로 이어지기 보다는 '유출된 내용'에 집중되고 있기에 재미는 없지만 어떻게 유출되게 됐는지 또, 이를 막기 위해서는 어떤 것들을 해야하는지 정리해봤다.

어쩌다 유출된거야?

처음 사건이 터졌을 때, 이들이 사용하고 있는 스마트폰 클라우드 시스템(삼성클라우드)이 해킹 당한 것으로 알려졌다. 참고로 클라우드 서비스는 사진과 영상, 문서 등의 파일을 스마트폰 내장 메모리 등 별도의 저장 장치가 아닌 기업이 제공하는 공용 서버에 저장해 이용하는 서비스로 스마트폰은 물론 PC, 태블릿 등 다양한 기기에서 내 계정만 알고 있다면 언제 어디서든 필요할 때 접근할 수 있어 이용하기 편리하다. 다만, 반대로 이렇게 편리하다는 장점이 있는 반면 공용 서버이기 때문에 해커들의 표적이 되어 쉽게 노출되고 있다.

그러나, 이에 대해 삼성은삼성 클라우드 서버가 해킹을 당한 것이 아니며, 일부 사용자의 계정이 외부에서 유출된 후 도용되어 발생한 것으로 추정된다고 설명했다. 전문가들의 진단 역시 클라우드 자체를 해킹했다면 더 많은 피해자가 발생했을 것이며 몇 명의 유명 연예인에 그칠 리 없다는 것이다. 이러한 이유로 전문가들은 클라우드의 해킹보다는 계정 정보를 탈취한 후 개인 정보를 빼내는크리덴셜 스터핑 (Credential Stuffing)’이 더 유력할 것으로 추정하고 있다.

크리덴셜 스터핑?

크리덴셜 스터핑 (Credential Stuffing)은 해커가 다크앱을 통해 구입하는 등 다양한 경로로 불특정 다수 사용자들의 개인 인증 정보를 취득하는 것을 말한다. 이렇게 불법적으로 취득한 정보를 가지고 무작위적으로 수많은 사이트에 대입, 연쇄적으로 계정을 탈취하는 방식이다. 결론은 필자를 포함 많은 사용자가 한/두가지의 로그인 정보로 여러 사이트를 가입했기 때문에 발생한 악질적인 범죄다.

막을 수 있는 방법은? 기본 지키기!

당연히 사전에 막을 수 있는 방법이 있다. 심지어 어렵지도 않다. 바로 비밀번호 관리를 잘하는 것이 필요하다. 비밀번호 관리는 보안관리 중 간단하고 쉬운 일이지만 의외로 대다수의 사람들이 그 중요성을 간과하고 있는 작업이기도 하다.

작년에도 개인정보 74억 건을 수집한 뒤 이를 이용해 이익을 챙긴 해커가 구속된 사건이 있었다. 이들은 윈도우 정품인증 프로그램이나 엑셀 파일로 위장한 악성 코드를 유포해, 약 사년간좀비 PC’ 1 2천여 대를 운영하면서 제어 서버를 통해 원격으로 파일을 여닫거나 키보드 입력값을 파악, 개인정보를 수집해 왔다.

중요한 점은 이들이 언급한 내용중 대부분의 컴퓨터 사용자들은 비밀번호 변경을 자주 하지 않을 뿐만 아니라, 변경시에도 문자열은 변경하지 않고 문자 하나 정도만 주기적으로 돌려쓰기 때문에 자주 사용되는 특수문자 몇 가지만 대입해보면 손쉽게 사용자 계정을 훔칠 수 있었다라는 점이다.

일반적으로 IT 기기 사용자들은 여러 사이트의 로그인 계정 (ID)과 비밀번호 (Password)를 돌려쓰는 경향이 있다. 누구도 사이트마다 새로운 개인 계정과 비밀번호를 생성하지는 않는다는 것이다. 또한 조사에 따르면 컴퓨터 사용자중 10명 중 1명은 비밀번호로 ‘123456’를 사용한다고 답변했을 만큼 많은 사용자들이 ‘1111’, ‘abcd’등 유추하기 쉬운 비밀번호를 쓰는 경우도 많다. 이런 쉬운 비밀번호가 해킹의 표적이 되는 것은 당연하다. 전문가들은 비밀번호 설정에 대해 몇가지 조언을 한다. 생일, 주민등록번호 등과 같이 개인정보와 관련된 숫자는 배제해야 하며, 영문대문자, 특수기호 등을 포함시키며, 같은 글자 또는 숫자의 반복은 넣지 않는 것이 좋다고 한다.

또한 개인정보를 활용한 범행 수법이 갈수록 지능적으로 변해가는 만큼, 사용 중인 인터넷 사이트 계정의 비밀번호를 주기적으로 바꾸고 평소 자주 사용하던 문자열과 문자 조합을 정기적 변경해 주는 등 비밀 번호 관리의 세밀한 주의가 필요하다.

하지만 개인이 이용하는 사이트나 플랫폼이 한 두개가 아니기 때문에 모든 곳의 계정정보를 다 다르게 사용하는 것은 현실적으로 어렵다. 매번 잊어버리고 아이디/비밀번호 찾기를 해야하는 번거로움 때문에 결국 다시 제자리로 돌아가는 경우가 허다하다. , 이러한 경우 어려움을 덜어줄 수 있는 소프트웨어를 사용하는 것이 좋다.

이러한 소프트웨어에 대한 궁금한 점 있다면 이런 소프트웨어를 직접 사용하여 본 전문가들의 후기나 설명 등을 제공해 주는 사이트를 참고하는 것도 프로그램을 선택하는 데 도움이 된다. 이 사이트에서는 업체가 제공하는 제품에 대한 후기가 아니라, 비밀번호 관리를 위한 Dashlane 소프트웨어를 직접 구입한 작성한 객관적이고 솔직한 후기가 있어 프로그램을 선택하는데 좋은 참고가 된다.

전문가들은 이 소프트웨어를 설치하면 사용자가 현재 사용하는 모든 비밀번호를 한 곳에 모두 저장이 가능하다고 한다. 물론 다른 프로그램도 이러한 기능을 가지고 있지만 다른 프로그램은 모두 수동으로 엑셀에 저장하는 방식이지만 이 소프트웨어는 클릭 한번으로 이 기능이 수행된다고 하니 번거롭게 다운로드 받고 할 필요가 없다. 또한 모든 비밀번호를 한 저장소에 모아 놓는 것이 아니라 중요도 또는 기능에 따라 비밀번호를 저장하는 곳이 다르다.

예를 들어 결제용 비밀번호, ID 또는 여권번호, 그리고 WIFI 등 일반 번호 등이 저장되는 장소가 다르기 때문에 개인정보를 관리하는데 더욱 용이하다. 또 다른 중요한 기능은 비밀번호 자동 변경 기능이다. 이 기능은 현재 내가 저장한 모든 비밀번호의 목록에서 안전하지 않은 비밀번호를 구별하여, 이러한 비밀번호를 선택하여 클릭 한번만 하면 비밀번호가 변경되는 기능이다. 이 기능은 비밀번호를 안전성을 확인할 수 있는 기능과 함께 정기적으로 비밀번호를 변경하여 안전성을 높일 수 있는 기능까지 포함하고 있는 것이다. 또한 이번 유명 연예인의 해킹 사건처럼 다크웹의 위험성을 인지하여 다크웹 모니터링 기능까지 장착되어 있다.

마지막으로 보안을 더욱 강화하기 위해 요즘 대부분의 사이트에서 제공하는이중인증또는다중인증을 활성화해두는 게 좋다. 비밀 번호 이외에 생체인식이나 SMS 문자로 개인 인증을 확인하는 등 이중인증 또는 다중인증 기능이 있다면 활성화시켜 놓는 것이 보안을 높이는 방법 중 하나이다. 전문가들은 해커들이 해킹하기 가장 힘든 요소 중 하나가 이러한 이중 또는 다중인증방식을 이야기한다. 지문인증 후 패스워드 입력을 하거나, 홍채인증 후 OTP (One Time Password) 사용하는 방식이 1차 정보가 탈취되더라도 2차 인증이 불가능하기 때문에 정보는 안전하게 보호될 수 있다.

네이버의 경우도 패스워드 입력 후 2단계 인증방식으로 SMS, 전화통화, 인증 메시지 입력방식, 보안키 등 네 가지 방법 중 선택할 수 있기에 꼭 설정하는 것이 필요하다. 실제 필자의 경우 네이버 포스트를 운영하고 있는데 해킹으로 인해 도박사이트 관련 포스팅이 올라와서 차단된 적이 있다. 이러한 피해를 최소화 하기 위해서는 번거롭더라도 다양한 인증 방식을 추가하는 것이 필요하다.

뒤늦게 후회 말고!

이는 극히 일부의 대응 방법이다. 하지만 이것만으로도 해킹의 위협에서 어느정도 벗어날 수 있기에 꼭 실천해보기를 권해본다. 탈탈 털리고 후회하느니 조금 번거로운 것이 백번 천번 나으니 말이다.

 

  Comments,   0  Trackbacks
댓글 쓰기
휴대전화도 해킹이 된다면? 아비규환?
요즘 개인 정보 유출등을 통해 해킹에 대한 문제점이 심각하게 제기되면서 휴대폰 역시 해킹의 그림자에서 벗어날수 없다는 경고의 의견이 제시되었습니다. 단순히 전화 통화 목적 이상의 용도로 생활의 필수품이 되어버린 휴대폰이 이제는 해커들의 새로운 목표물이 될수 있다는 것입니다.

AP통신을 통해 미국 조지아공대 연구팀이 발표한 내용을 살펴보면 '휴대전화가 컴퓨터 수준으로 진화하면서 멀지 않아 바이러스등의 공격을 받을수 있을것이다' 그리고 그 시나리오를 살펴보면 '휴대전화에 원격통제가 가능한 악성코드를 침투시킨 후 이 악성코드에 감염된 휴대폰을 원격으로 제어 한꺼번에 1900통에 이르는 스팸전화를 걸어 휴대전화 실제 사용자에게 막대한 청구금액을 물수 있다.' 라는 것입니다.


사용자 삽입 이미지
아이폰 해킹으로 유명해진 조지 호츠(Hotz)


이미 PC에서도 이와 같은 바이러스가 존재하여 원격조정 악성코드에 감염된 PC가 자신이 바이러스를 돕는 숙주인지도 모른체 스팸 메일을 발송하게 되고 특정 PC나 서버를 공격하게 되는 것입니다. PC뿐만 아닙니다. 이미 아이폰은 해킹을 통해 무료, 유료 어플을 맘껏 설치할수도 있습니다. 이미 해킹이 시작되었다고 할수 있습니다.

이처럼 휴대폰 역시 스팸전화를 받는 단순한 행위를 통해 자동으로 휴대폰내에 악성코드가 설치되며 자신도 모르는 사이 피해자가 될수도 있는 동시에 또 하나의 바이러스 유포자가 되어 그 피해 규모를 쉽게 확대시킬수 있다는 것입니다.

스팸전화를 통한 금전적인 피해 이상으로 무서운 것은 휴대폰내에 저장되어 있는 개인 정보들이 그대로 노출되어 더큰 범죄로도 활용될수 있다는 점입니다. 원격으로 조정하는 마당에 휴대폰내에 있는 정보쯤이야 너마나도 손쉽게 가져올수 있는 것은 당연한 부분이기 때문입니다.


사용자 삽입 이미지


3G로 전환되면서 쉽게 휴대폰을 통한 인터넷 사용이 가능해 지고 있습니다. 즉, 바이러스, 해킹등에 노출될수 있는 여건은 무궁무진하다는 의미이기도 합니다. 또한 PC와는 다르게 항시 켜져있는 특성상 그 노출의 수준은 PC를 넘어설수 있다는 것입니다. 하지만 아직 휴대전화만을 위한 백신이 개발되지 않은 상태이며 개발된다 하더라도 백신을 설치 사용코자 할 경우 배터리 용량등의 문제로 인해 수월하지 않을것이란 의견도 나오고 있습니다.

점차 고도화와 되어가는 휴대폰을 바라봤을때 먼이야기만은 분명 아닐것이며 하루빨리 이를 대처할수 있는 백신 혹은 예방책을 만들어야 하지 않을까 합니다. 차후 휴대폰 백신 관련 업종이 각광을 받는 날도 그리 멀지 않은듯 합니다. 사업한번 해봐? ^^;
  Comments,   0  Trackbacks
댓글 쓰기
아이폰 독립기념일? 아이폰 벌써 해킹
사용자 삽입 이미지


아이폰 출시 전부터 일부 전문가들이 ' 아이폰은 해커들의 집중 공격대상이 될것'이라는

기사가 나온지도 얼마 지나지 않은 시점에서 유명 해커인 존 요한슨이 '아이폰의 독립

기념일'이란 제목으로 자신의 블로그에(http://nanocr.eu) 아이폰을 해킹했다는 글을

올렸습니다.


아이폰의 경우 AT&T의 자체 네트워크 망을 통해서만 기기를 사용할수 있습니다. 단순히

전화 뿐만이 아니라 무선랜과 PDA기능, 아이팟 기능까지도 AT&T 망을 사용하지 않을

경우 사용이 어려워 진다고 합니다.



하지만 존 요한슨은 아이폰을 등록하지 않고도 네트워크 망을 우회해서 활성화 할수 있는

즉, 휴대폰의 기능은 쓰질 못하지만 그 외 기능을 모두 사용할수 있는 방법을 찾아 냈다고

합니다. 이 외에도 많은 해커들이 아이폰을 1~2주안에 완벽하게 활성화 할수 있도록

해킹할 것이라고 자신감을 보이고 있어 애플의 보안 업데이트 관련 부서는 무척이나

힘들것이라 예상됩니다. ^^

  Comments,   0  Trackbacks
  • Roven
    빠르군요..아이폰은 고난이네요..깨지고 뜯겨서 내장까지 찢어 발겨지지않나..벌써 세뇌까지..ㄷㄷ
댓글 쓰기