/사진=온라인커뮤니티탈취한 계정을 여러 웹사이트에 무작위 대입해 개인정보를 빼가는 '크리덴셜 스터핑' 피해사례가 온라인 쇼핑몰에서 잇따라 벌어지고 있다. 최근 인터파크 이어 지난 18일부터 지마켓에서 상품권을 구매한 소비자들의 개인정보 도용 사례가 잇따라 올라왔다. 보안업계에선 크리덴셜 스터핑이 흔하고 오래된 수법인 만큼 기업 차원에서 로그인 이상 징후를 탐지하는 보안 시스템을 강화해야 한다는 지적이 나온다.
"상품권 100만원 털렸다"…개인정보위, 지마켓·인터파크 조사
/사진=머니투데이DB개인정보위는 현재 지마켓에 대해서도 조사를 진행 중이다. 지마켓 관계자는 "개인정보위와 KISA 등 관계기관에 신고했고 관련 조사가 이뤄지고 있다"며 "지마켓은 24시간 해킹 방어 시스템을 가동 중인데 전혀 이슈가 없었다. 피해 고객의 계정을 폐쇄하는 블록(Block) 처리하는 등 후속 조치 중이며, 조사가 끝나는대로 적극적인 피해 보상을 실시할 예정"이라고 말했다.
연이은 쇼핑몰 '크리덴셜 스터핑'…'비번 돌려쓰기' 허점 노렸다이번 공격 방식은 '크리덴셜 스터핑'으로 추정된다. 크리덴셜 스터핑이란 이미 유출돼 있거나 사전에 탈취한 사용자 계정을 다른 웹사이트에 무작위 대입해 정보를 빼내는 수법이다. 편의상 여러 웹사이트에서 동일한 로그인 계정을 쓰는 경우가 많아, 하나의 웹사이트 계정만 유출돼도 피해가 커진다.
해커들은 이미 하나의 암호를 여러 사이트에 자동 대입해 로그인을 시도하는 프로그램을 보유하고 있다. 이 같은 악성 프로그램은 해커 개인이 갖고 있어 외부로 노출되지 않는다. 해커들은 자신의 개인 PC를 이용하지 않고 보안이 약한 서버를 해킹한 뒤 이 서버에 악성 프로그램을 올려 활용한다.
이 시각 인기 뉴스
보안업계에선 대량의 고객 데이터를 관리하는 기업들이 보안 시스템을 강화해야 한다고 말한다. 문종현 이스트시큐리티대응센터(ESRC) 센터장(이사)은 "해외 IP주소로 접속하거나 IP주소가 뒷자리만 하나씩 바뀌는 등 평소와 다른 시도들이 발견될 경우 이를 식별하고 차단할 수 있는 보안 시스템을 갖춰야 한다"며 "로그인 이상 징후를 탐지하는 보안 정책이나 기술, 이를 관제할 수 있는 인력이 필수"라고 말했다.
이번 사안은 △해커가 두 쇼핑몰 사이트의 고객 정보를 해킹해 로그인한 뒤 부수적인 활동을 했을 경우 △제3의 웹사이트 또는 암거래 시장에서 구매한 개인정보를 두 사이트에 입력해 접속했을 경우 등 2가지 가능성이 있다. 문 센터장은 "사이트 DB 정보가 해킹됐거나 내부 관리 소홀 문제로 유출됐다면 (인터파크·지마켓) 직접적 책임이 있겠지만, 제3의 사이트 등에서 계정이 유출됐을 수도 있다"며 "조사 과정에서 얼마나 내부 보안을 잘 관리하고 있었는지를 설명할 명확한 근거가 필요할 것"이라고 말했다.
개인정보위 관계자는 "조사 초기 단계이기 때문에 구체적으로 밝힐 부분은 없다"며 "공격 방식도 아직 명확하지 않아 좀 더 조사해야 할 부분"이라고 설명했다.
