임종철 디자이너 /사진=임종철 디자이너확률이 이처럼 낮더라도 기술이 가세하면 피해자 수는 수십 만명 이상에 이를 수 있다. 1초에 100회~200회 이상의 초고속 공격을 감행해 수천만번의 공격을 감행하면 되는 것이다. 간단한 예방장치만으로도 막을 수 있었던 이같은 공격에 당한 2곳의 공공기관이 당국으로부터 과태료 처분을 받았다.
개인정보위에 따르면 지난해 6~7월 워크넷을 운영하는 고용정보원에 신원 미상의 공격자가 '크리덴셜 스터핑'(Credential Stuffing) 방식으로 침입해 23만6000여명의 개인정보를 탈취했다. 한국장학재단 역시 크리덴셜 스터핑에 당해 3만2000명의 개인정보가 유출됐다.
고용정보원, 장학재단 모두 24시간 감시·모니터링 체계는 갖추고 있었지만 로그인 시도와 실패율이 급증하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안 대책은 미흡했다. 로그인 시도가 일정 횟수 이상 실패할 때 계정을 잠그거나 비밀번호 외에 문자 및 OTT(일회용 비밀번호) 인증 추가 등 다중인증 보안 시스템이 없었던 것이다.
이같은 시스템이 없는 고용정보원, 장학재단 홈페이지는 해커의 놀이터와도 같았다. 워크넷에 대한 공격의 경우 국내 26개 IP(인터넷주소)를 통해 1초당 최대 166회, 총 4500만회 이상의 로그인 시도가 있었고 그 중 56만회의 로그인이 성공했다. 성공확률은 단 1.25%에 불과했다. 장학재단에서도 국내외 44만여 IP를 통해 1초당 최대 240회, 총 2100만회 이상의 로그인 시도가 있었고 실제 3만6000여회 가량의 로그인이 성공했다. 이들 기관의 시스템에서 로그인이 성공한 횟수의 합계(59만6000회)는 두 기관에 대한 로그인 시도 횟수 합계(6600만회)의 0.9% 정도에 불과했다.
이 시각 인기 뉴스
아울러 이들 2곳의 공공기관은 주민등록번호와 같은 개인의 고유식별번호를 암호화하지 않고 평문으로 저장한 위반 사항도 확인됐다. 사고 발생 후 두 기관은 보안대책 설정 재정비 등 위반사항을 시정했고 기존 로그인 방식도 변경했다.
개인정보위는 "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크다"며 "시스템의 특성을 감안해 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다"고 했다.
또 "지난해 9월 개정 개인정보법 시행 이후 발생한 공공기관의 개인정보 유출에 대해서는 제재 수위가 기존 과태료에서 과징금으로 대폭 강화된 만큼 기관 차원의 각별한 주의가 필요하다"고 했다.
