회원전용

[팩플] “인도·파키스탄·멕시코서 로그인을?” 다크웹에 팔린 개인정보

중앙일보

입력 2022.09.26 06:00

업데이트 2022.09.26 13:49

이달 3일 대한민국 정부 공식 유튜브 채널이 해킹돼 일론 머스크 영상이 중계되는 사고가 발생했다. 사진 커뮤니티 캡처

이달 3일 대한민국 정부 공식 유튜브 채널이 해킹돼 일론 머스크 영상이 중계되는 사고가 발생했다. 사진 커뮤니티 캡처

최근 정부와 기업의 유튜브 채널을 상대로 한 해킹·도용 피해가 잇따르고 있다. 핵심은 관리자 계정 보안. 보안업계 전문가들을 통해 해커들의 수법과 예방법을 살펴봤다.

무슨 일이야

#1. 지난 3일 ‘대한민국 정부’ 공식 유튜브 채널이 해킹됐다. 오전 3시쯤 채널명이 ‘스페이스엑스 인베스트(SpaceX Invest)’로 바뀌고 일론 머스크 테슬라 창업자의 가상화폐 관련 영상이 업로드됐다. 앞서 1~2일엔 국립현대미술관 공식 채널과 한국관광공사의 해외 유튜브 채널 ‘이매진 유어 코리아’가 비슷한 해킹 피해를 입었다.

대형 채널을 노린 해킹은 몇 달째 지속되고 있다. 올해 5월엔 힙합 레이블 AOMG, 6월엔 YTN이 유튜브 계정을 탈취당했다. 7월엔 SBS 산하 7개 채널과 보그코리아, GQ코리아, W코리아 등 국내 잡지사 유튜브 채널이 갑자기 먹통이 되거나 가상화폐 홍보 채널로 바뀌는 등 사고가 났다.

지난 7월 18일 오전 SBS에서 운영하는 유튜브 채널 중 하나인 ‘애니멀봐’에서 가상화폐 관련 영상이 실시간 중계되고 있는 화면. 사진 유튜브 캡처·온라인 커뮤니티

지난 7월 18일 오전 SBS에서 운영하는 유튜브 채널 중 하나인 ‘애니멀봐’에서 가상화폐 관련 영상이 실시간 중계되고 있는 화면. 사진 유튜브 캡처·온라인 커뮤니티

#2. 개인 유튜버들도 타깃이 되고 있다. 이달 1일 구독자 56만명의 유명 캠핑 유튜버 채널엔 뜬금없이 포토샵·베가스 등의 크랙(불법) 파일 링크와 다운로드 안내 영상이 줄줄이 업로드됐다. 채널이 악성코드 유포에 악용된 것. 빠르게 복구 조치가 이뤄졌지만 유튜버와 구독자 모두 크게 당황했다.

왜 자꾸 이런 일이?

보안업계 일각에선 해커가 일부러 새 정부 출범 시기를 노린 것이라고 보고 있다. 안랩 시큐리티대응센터 대응팀 박태환 팀장은 “공격자의 진짜 의도를 단정하긴 어렵지만, 대규모 채널을 해킹해 가상화폐 영상을 올리는 패턴은 사람들의 관심을 끌어 자신의 존재를 드러내려는 것으로 보인다”며 “특히 정부 채널을 노린 건 사회정치적 변화 시기를 노려 주목받으려는 의도였을 것”이라고 분석했다. 그러면서 “(큰 공격을 위한) 탐색전일 가능성도 있는 만큼 각 조직과 기관들은 보안 대응 체계를 점검해야 한다”고 말했다.

그래픽=김주원 기자 zoom@joongang.co.kr

그래픽=김주원 기자 zoom@joongang.co.kr

대형 채널일수록 여러 명이 관리자 계정에 드나드는 탓에 공격 타깃이 되기 쉽다는 분석도 있다. 비밀번호 관리가 소홀한 한두 명이 해커의 타깃이 된다는 것. 이달 해킹된 문화체육관광부 산하 정부 유튜브 채널들도 여러 하청업체를 비롯한 복수의 관리자들이 계정을 공유하고 있었다. 김승주 고려대 정보보호대학원 교수는 “유튜브 자체에 대한 공격이었다면 피해 규모가 훨씬 크고 구글의 공식 발표도 나왔을 텐데, 모두 아니었다”며 “개별 채널 관리자들이 더욱 경각심을 가져야 하는 문제”라고 말했다.

어떤 수법이야?

해커의 계정 탈취법은 매우 다양하다. 대표적인 수법은 아래 셋.
① 인포스틸러(infostealer) 악성코드
먼저 계정 관리자의 PC에 사용자의 다양한 정보(info)를 도둑질(steal)하는 ‘인포스틸러 악성코드’를 심는 방법이다. 주로 사용자가 웹 브라우저에 자동 저장해둔 아이디·비밀번호 등이 탈취 대상이 된다. 안랩의 2022년 악성코드 통계에 따르면 인포스틸러 악성코드가 전체의 66.7%로 가장 많았다.

통상 스팸 메일이나 웹하드 등 자료 공유 사이트의 첨부 파일을 열었다가 감염되는 경우가 많다. ‘MS오피스 정품인증 툴.zip’처럼 유료 프로그램의 불법 무료판으로 위장하는 경우가 많으므로, 이런 파일을 열 때 주의가 필요하다.

그래픽=김주원 기자 zoom@joongang.co.kr

그래픽=김주원 기자 zoom@joongang.co.kr

② 피싱(phising) 공격
가짜(피싱) 웹사이트를 이용해 계정을 탈취하는 경우도 있다. 소셜 미디어 운영사를 사칭해 ‘곧 계정이 잠긴다’거나 ‘수상한 시도가 발생했다’는 식의 그럴 듯한 e메일을 보내, 본문에 가짜 웹사이트로 연결되는 링크(URL)를 누르게 유도하는 수법이다. 해당 URL로 가면 실제 사이트와 유사하게 제작된 가짜 로그인 페이지가 뜨는데, 사용자가 무심코 로그인 정보를 입력하는 즉시 해커에게 전송된다. 만약 특정 기관·기업만을 노린 ‘스피어 피싱’이라면 가짜 사이트는 더 정교해진다.

사용자는 로그인 정보를 입력하기 전 URL 주소를 다시 한 번 확인하는 것이 좋다. 공식 사이트와 조금이라도 스펠링이 다르면 피싱일 경우가 높다. e메일과 메시지의 발신자가 공식 계정인지 확인하는 절차도 필수다.

ENA 드라마 ‘이상한 변호사 우영우’ 15화에서 다뤄진 스피어 피싱 사례. 특정 기업·기관만을 노려 ‘작살(스피어)’을 던지는 것으로, 특수 제작한 악성코드를 유포한다. 사진 드라마 캡처

ENA 드라마 ‘이상한 변호사 우영우’ 15화에서 다뤄진 스피어 피싱 사례. 특정 기업·기관만을 노려 ‘작살(스피어)’을 던지는 것으로, 특수 제작한 악성코드를 유포한다. 사진 드라마 캡처

③ 크리덴셜 스터핑(credential stuffing)
뚫릴 때까지 해보는 일종의 무작위 대입 방식으로, 해커가 이미 도난당한 사용자의 로그인 정보를 다양한 경로로 수집해 넣어보는 경우다. 다크웹에서 개인정보를 사고팔거나, 아예 특정 기업·서비스의 계정 리스트를 갖고 있는 다른 해커그룹이나 기업 내부자에게 해킹 합류를 권하는 사례도 파악되고 있다.

크리덴셜 스터핑의 예. 기자의 에버노트 계정에 인도, 파키스탄, 멕시코, 인도네시아, 이라크 등 다양한 국가에서 접속한 기록이 남아있다. 비밀번호를 바꾸고 2단계 인증을 설정하자 수상한 접속 시도가 즉시 멈췄다. 김정민 기자

크리덴셜 스터핑의 예. 기자의 에버노트 계정에 인도, 파키스탄, 멕시코, 인도네시아, 이라크 등 다양한 국가에서 접속한 기록이 남아있다. 비밀번호를 바꾸고 2단계 인증을 설정하자 수상한 접속 시도가 즉시 멈췄다. 김정민 기자

구글·메타·네이버 등 대부분의 IT 서비스는 ‘설정’에서 로그인 기록을 살펴볼 수 있다. 만약 단기간 내 남미·중동·동남아 등을 중심으로 여러 국가에서 로그인을 시도한 기록이 있다면 다크웹에서 내 개인정보가 거래되고 있을 가능성이 크다. 혹은 해커가 IP 변경 도구를 통해 여러 국가에서 접속한 것처럼 눈속임 중인 것일 수도 있다. 이때 2단계 인증을 설정하면 대부분의 무단 접속을 차단할 수 있다.

예방하려면

안랩, 구글 등의 보안 전문가들은 ▶︎이중인증(2단계 인증) ▶︎출처가 불분명한 e메일·메시지로 받은 URL이나 첨부 파일 실행 금지 ▶︎3~6개월 단위 비밀번호 교체 및 권한 관리가 중요하다고 입을 모았다. 특히, 외부의 로그인 시도가 있을 때 관리자에게 승인 요청이 가는 ‘2단계 인증’을 꼭 설정하라고 권고했다. 유튜브, 인스타그램, 트위터, 네이버, 카카오 등 주요 서비스는 모두 2단계 인증 기능을 제공하고 있다.

다크웹에서 개인정보들이 거래되고 있다. 사진 안랩

다크웹에서 개인정보들이 거래되고 있다. 사진 안랩

개인정보가 유통되는 다크웹 등은 일반인이 접근하기 어렵지만, 한국인터넷진흥원(KISA) ‘털린 내 정보 찾기 서비스(https://kidc.eprivacy.go.kr)’를 통해 유출된 내 계정 정보가 있는지는 확인 가능하다. 만약 유출 이력이 조회된 경우 즉시 비밀번호를 변경하고 2단계 인증을 거는 것이 좋다.

배너 클릭 시 구독페이지로 이동합니다. https://www.joongang.co.kr/factpl

배너 클릭 시 구독페이지로 이동합니다. https://www.joongang.co.kr/factpl

Innovation Lab