이미 노출된 정보로 해킹, 동행복권 책임 비율은?
로또 등 복권사업 운영자인 동행복권에 해킹 공격으로 인한 피해가 발생했다. 개인정보 유출 가능성이 확인됐지만 동행복권 측의 책임이 크진 않을 전망이다. 동행복권은 정부에서 제시한 보안 시스템과 인증을 구축하고 있으며, 이번 해킹은 사전에 유출된 외부 정보를 이용한 것으로 예상되기 때문이다 7일 복권위원회 측에 따르면 한국인터넷진흥원(KISA), 국가정보원 등과 함께 자세한 사건 경위를 조사하고 있다. 동행복권은 지난 6일 외부 해킹 공격으로 인한 개인정보 유출 가능성을 확인했다고 공식홈페이지를 통해 밝혔다. 현재 조사 결과에 따르면 이번 공격은 크리덴셜 스터핑 공격과 웹취약점 공격으로 2가지 공격방식이 사용된 것으로 나타났다. 크리덴셜 스터핑은 이용자가 여러 앱에서 동일 아이디와 비밀번호를 사용하는 것을 노린 방식이다. 다른 사이트 등에서 노출된 대량의 아이디와 비밀번호를 무작위로 입력하는 방식이다. 사용자의 아이디와 비밀번호를 그대로 입력해 접속하는 만큼 로그인을 시도하는 주체가 누구인지 확인이 어려우며, 로그인 후 활동을 제재하기 어려운 것이 특징이다. 또한 이 공격은 개인 및 기업 데이터와 해킹툴을 판매하는 초기 침투 전문 브로커'(IAB, 일명, 인포스틸러)의 등장 이후 더욱 활성화되고 있다. 복권위원회 측은 이번 공격 경우 약 700만 건의 접근 시도를 확인할 수 있었다고 밝혔다. 웹취약점 공격은 웹사이트 개발 및 운영 과정에서 발생한 버그 등 시스템적인 취약점을 악용해 보안 시스템을 우회하는 방식이다. 현재 사건 경위를 파악하고 있는 한국인터넷진흥원(KISA), 국가정보원 등은 실제 두 공격의 비중이 어떻게 되는 지, 동행복권의 책임 여부 등에 대해 분석하고 있는 것으로 확인됐다. 동행복권은 주요 보안인증을 취득하고 꾸준히 보안 취약점을 진단해왔으며, 이번 공격 역시 상황을 파악한 후 바로 한국인터넷진흥원(KISA) 등 유관조직에 신고하고 보안 조치를 완료했다고 밝혔다. 복권위원회 측은 “현재 정확한 상황 파악을 위해 KISA, 국가정보원 등에서 검토하고 있는 중으로 정확한 분석을 위해 시간이 예상보다 많이 소요될 수 있다”고 밝혔다. KISA 측 관계자는 “상황을 확인하고 있는 만큼 책임 여부 등을 확정하기 어려운 상황”이라며 “동행복권 측에서 이야기한 것처럼 보안수준이 잘 갖춰져 있었는지, 해커의 침투 경로는 어떻게 되는 지 등에 따라 의견이 갈릴 것 같다”고 밝혔다. 보안기업들은 최근 급증하는 크리덴셜 스터핑 공격으로부터 기업을 보호하기 위해 다중요소인증(MFA)을 사용할 것을 권장했다. MFA는 비밀번호와 함께 추가적인 사용자 인증 시스템을 더해 보안을 강화하는 기술로 스마트폰 인증, 보안인증서, 생체인증 등이 주로 쓰인다. 구글 역시 최근 비밀번호 없이 스마트폰 인증이나 안면, 지문인식 등 생체정보를 이용해 로그인할 수 있는 패스키를 기본 옵션으로 지정했다. 한 보안기업 대표는 “최근 워낙 다양한 경로를 통해 사이버공격이 발생하는 만큼 개인과 조직 모두 보안에 대한 중요성을 더욱 인지해야 할 시기”라며 “특히 자주 노려지는 비밀번호는 연관성 없는 단어들을 조합해 복잡성을 높이고 계정을 공유하는 행위 등은 금지해야 한다”고 말했다. 이어서 “기업의 경우 한번 보안 시스템에 결함이 발생하더라도 더 이상 문제가 확산되지 않도록 제로트러스트 기반 보안 시스템을 구축하고 다중 보안 시스템을 도입할 필요가 있다”고 조언했다.