[아이뉴스24 김혜경 기자] "공격자에게 중요한 것은 정보일 뿐 피해 대상과 공격 시나리오는 중요하지 않다. 여러 공간에 존재하는 정보를 어떻게 잘 관리하고 통제하는지가 핵심이다. 특히 개인정보 위탁과 제3자 제공 관련 보안 문제를 함께 고려해야 한다. 사회 전반의 정보보호 수준을 높이는 방법으로 대응 전략을 수립해야 하는 이유다"
2일 서울 코엑스에서 열린 '제11회 개인정보보호 페어(PIS 2022)'에서 신동휘 스틸리언 최고기술책임자(CTO)는 개인정보 탈취가 국‧내외에서 지속 발생하고 있다며 이 같이 강조했다.
앞서 지난해 '제로쿨888(zerocool888)'이라는 해커(공격자)는 국내 대부업체 사이트를 해킹한 후 다크웹에 한국인 개인정보를 판매한다는 글을 게시한 바 있다. 이들은 일회성이 아닌 일정 시간을 두고 지속적으로 게시글을 올리고 있으며, 과거에 이미 유출된 데이터와 새로운 데이터를 함께 공개하고 있는 것으로 알려졌다.
최근 개인정보를 겨냥한 공격 유형은 사용 중인 계정을 탈취하거나 개인정보 유출로 끝내지 않고 판매로 이어지고 있다는 점이 특징이다. 공격자는 크리덴셜(Credential)과 아이덴티티(identity) 모두 탈취한다. 크리덴셜은 특정 시스템에 접근하거나 물리적 공간에 입장하기 위한 코드 혹은 출입증을 뜻하며, 아이덴티티는 이름과 주소, 전화번호, 직장 등 모든 개인정보를 포괄하는 개념이다.
신 CTO는 "현재 주요 서비스는 이메일 생성 단계에서 SMS 인증을 요구하고 있는데 SIM 발급 단계에서 신분 확인이 강화되면서 SMS 인증 우회가 어려워졌다"며 "공격자가 신분 위장을 위해 새로운 계정을 만들지 않고 사용 중인 계정을 탈취하는 방향으로 전환한 이유"라고 설명했다.
개인정보 거래는 그 자체로도 가치가 있지만 '아이텐티티'를 이용해 정제한다면 더 높은 수익 창출이 가능하다. 단순 개인정보는 건당 몇백원대에 불과하지만 세부적인 내용이 추가된다면 가격이 몇 배로 뛴다는 것이 신 CTO의 설명이다. 신 CTO는 "기존 노출된 정보를 조합하거나 지속적인 정보 수집을 통해 크리덴셜을 확보한 후 사회공학적 기법을 이용한 공격으로 이어진다"고 말했다.
특히 공격자는 '크리덴셜 스터핑(stuffing)' 기법을 이용해 추가 정보 탈취를 시도한다. 크리덴셜 스터핑은 다크웹 등에서 이미 유출된 정보를 바탕으로 다른 웹사이트에 무작위로 대입해 계정을 훔치는 기법이다. 하나의 계정만 노출돼도 여러 서비스가 공격받을 수 있다는 것. 서비스별 비밀번호를 다르게 설정해야 하는 이유다.
신 CTO는 "공격자는 개인정보를 수집하기 위해 'SQL 인젝션(injection)' 등 고전적인 기법도 사용하지만 최근에는 공격으로 식별할 수 없는 정상적인 요청으로도 정보를 탈취하고 있다"고 강조했다.
이어 "개인정보를 지키기 위해 개인은 비밀번호를 주기적으로 변경하고, 기업은 계정을 안전하게 지키기 위해 접근 제어 등 네트워크 환경을 강화해야 한다"고 덧붙였다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기