![건강도 상속도 챙겨준다…‘보증금 3000만원’ 실버타운 가보니 [고령화 투자대응④]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202404/18/e7b3f20b-7814-49a9-8dca-d6f7cfb4c4c8.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
최근 정부와 기업의 유튜브 채널을 상대로 한 해킹·도용 피해가 잇따르고 있다. 상대적으로 허술한 관리자 계정의 ‘빈틈’을 노렸다. 보안업계 전문가들을 통해 해커의 수법과 예방법을 살펴봤다.
#. 지난 3일 ‘대한민국 정부’ 공식 유튜브 채널이 해킹됐다. 오전 3시쯤 채널명이 ‘스페이스엑스 인베스트(SpaceX Invest)’로 바뀌고 일론 머스크 테슬라 창업자의 가상화폐 관련 영상이 업로드됐다. 앞서 1~2일엔 국립현대미술관 공식 채널과 한국관광공사의 해외 유튜브 채널이 비슷한 해킹 피해를 보았다.
그래픽=김주원 기자 zoom@joongang.co.kr
대형 채널을 노린 해킹은 몇 달째 지속하고 있다. 올해 5월엔 힙합 레이블 AOMG, 6월엔 YTN이 유튜브 계정을 탈취당했다. 7월엔 SBS 산하 7개 채널과 보그코리아·GQ코리아·W코리아 등 국내 잡지사 유튜브 채널이 먹통이 되거나 가상화폐 홍보 채널로 바뀌는 등 사고가 났다.
개인 유튜버도 타깃이 되고 있다. 이달 1일 구독자 56만명의 유명 캠핑 유튜버 채널엔 뜬금없이 포토샵·베가스 등의 크랙(불법) 파일 링크와 다운로드 안내 영상이 줄줄이 올라왔다.
보안 업계에선 해커가 일부러 새 정부 출범 시기를 노린 것이라고 보고 있다. 안랩 시큐리티대응센터 박태환 팀장은 “공격자의 진짜 의도를 단정하긴 어렵지만, 대규모 채널을 해킹해 가상화폐 영상을 올리는 패턴은 사람들의 관심을 끌어 자신의 존재를 드러내려는 것으로 보인다”며 “특히 정부 채널을 노린 건 사회정치적 변화 시기를 노려 주목받으려는 의도였을 것”이라고 분석했다. 이어 “(큰 공격을 위한) 탐색전일 가능성도 있는 만큼 각 조직과 기관들은 보안 대응 체계를 점검해야 한다”고 강조했다.
대형 채널일수록 여러 명이 관리자 계정에 드나드는 탓에 공격 타깃이 되기 쉽다는 지적이다. 비밀번호 관리가 소홀해질 수 있어서다. 이달 해킹된 문화체육관광부 산하 정부 유튜브 채널들도 여러 하청업체를 비롯한 복수의 관리자가 계정을 공유하고 있었다. 김승주 고려대 정보보호대학원 교수는 “유튜브 자체에 대한 공격이었다면 피해 규모가 훨씬 크고 구글의 공식 발표도 나왔을 텐데, 모두 아니었다”며 “개별 채널 관리자들이 더욱 경각심을 가져야 하는 문제”라고 말했다.
해킹 대표적 수법은
해커가 계정을 탈취하는 대표적인 수법은 크게 세 가지다.
그래픽=김주원 기자 zoom@joongang.co.kr
① 인포스틸러(infostealer) 악성코드
먼저 계정 관리자의 PC에 사용자의 다양한 정보(info)를 도둑질(steal)하는 ‘인포스틸러 악성코드’를 심는 방법이다. 주로 사용자가 웹 브라우저에 자동 저장해둔 아이디·비밀번호 등이 탈취 대상이 된다. 안랩의 2022년 악성코드 통계에 따르면 인포스틸러 악성코드가 전체의 66.7%로 가장 많았다.
통상 스팸 메일이나 웹하드 등 자료 공유 사이트의 첨부 파일을 열었다가 감염되는 경우가 많다. ‘MS오피스 정품인증 툴.zip’처럼 유료 프로그램의 불법 무료판으로 위장하는 경우가 많아 이런 파일을 열 때 주의가 필요하다.
② 피싱(phising) 공격
가짜(피싱) 웹사이트를 이용해 계정을 탈취하는 경우도 있다. 소셜 미디어 운영사를 사칭해 ‘곧 계정이 잠긴다’라거나 ‘수상한 시도가 발생했다’는 식의 그럴듯한 e메일을 보내, 본문에 가짜 웹사이트로 연결되는 링크(URL)를 누르게 유도하는 수법이다. 해당 URL로 가면 실제 사이트와 유사하게 제작된 가짜 로그인 페이지가 뜨는데, 사용자가 무심코 로그인 정보를 입력하는 즉시 해커에게 전송된다.
사용자는 로그인 정보를 입력하기 전 URL 주소를 다시 한번 확인하는 것이 좋다. 공식 사이트와 조금이라도 스펠링이 다르면 피싱일 경우가 높다. e메일과 메시지의 발신자가 공식 계정인지 확인하는 절차도 필수다.
③ 크리덴셜 스터핑(credential stuffing)
뚫릴 때까지 해보는 일종의 무작위 대입 방식으로, 해커가 이미 도난당한 사용자의 로그인 정보를 다양한 경로로 수집해 넣어보는 경우다. 다크웹에서 개인정보를 사고팔거나, 특정 기업·서비스의 계정 리스트를 가진 다른 해커 그룹, 또는 기업 내부자에게 해킹 합류를 권하는 사례도 파악되고 있다.
구글·메타·네이버 등 대부분의 IT 서비스는 ‘설정’에서 로그인 기록을 살펴볼 수 있다. 만약 단기간 내 남미·중동·동남아 등을 중심으로 여러 국가에서 로그인을 시도한 기록이 있다면 다크웹에서 내 개인정보가 거래되고 있을 가능성이 크다. 혹은 해커가 IP 변경 도구를 통해 여러 국가에서 접속한 것처럼 눈속임 중인 것일 수도 있다. 이때 2단계 인증을 설정하면 대부분의 무단 접속을 차단할 수 있다.
해킹 예방하려면
보안 전문가들은 해킹 예방법으로 ▶이중인증(2단계 인증) ▶출처가 불분명한 e메일·메시지로 받은 URL이나 첨부 파일 실행 금지 ▶3~6개월 단위 비밀번호 교체 및 권한 관리가 중요하다고 입을 모았다. 특히, 외부의 로그인 시도가 있을 때 관리자에게 승인 요청이 가는 ‘2단계 인증’을 꼭 설정하라고 권고했다.
또 한국인터넷진흥원(KISA)의 ‘털린 내 정보 찾기 서비스(https://kidc.eprivacy.go.kr)’를 통해 유출된 내 계정 정보가 있는지 확인해볼 수 있다. 만약 유출 이력이 있다면 즉시 비밀번호를 변경하고 2단계 인증을 설정하는 게 좋다.
