국내 스마트폰 가입자 대부분이 사용하는 카카오톡을 통한 신종 금융사기 사건이 발생해 개인정보 누출 우려가 제기되고 있다.

22일 경찰에 따르면 카카오톡의 한 사용자가 친구를 사칭한 인물로부터 “600만원을 보내라”는 메시지를 받고 이를 송금했다가 돈을 떼이는 사건이 발생했다.

카카오톡 측은 보안 우려가 확산되자 “기술적인 해킹이나 피싱이 아니라 프로필 사진과 이름을 사칭한 단순한 사기 사건”이라며 진화에 나섰다.

업계 전문가들은 카카오톡 자체에 대한 기술적인 해킹은 어렵다고 말한다. 이번 사건도 카카오톡의 메신저 서버가 직접 해킹을 당했다기보다 피해자 친구의 이름과 사진을 도용한 범죄일 가능성이 크다는 분석이다.

카카오톡 서버가 아닌 피해자나 피해자 친구의 스마트폰을 해킹해 신상과 관련한 정보를 얻어냈을 가능성도 배제할 수 없다.

안랩 관계자는 “안드로이드 계열의 애플리케이션은 스마트폰 주소록에 접근할 수 있기 때문에 이를 빼내기 위한 바이러스가 있을 수 있다”고 말했다.

중국의 진산네트워크는 지난해 중국에서 안드로이드 운영체제(OS)를 노린 바이러스가 2만3681건에 달했으며 정보를 누출하는 ‘애드웨어’와 스마트폰 시스템에 몰래 접근하기 위한 ‘백도어’ 바이러스 등이 발견되기도 했다고 밝힌 바 있다. 사용자들이 스마트폰 정보를 보관하기 위해 PC와 동기화하는 만큼 PC를 통해 개인정보를 훔쳤을 수도 있다.

카카오톡의 인증 체계와 이용 방식도 문제점으로 지적된다.

카카오톡의 경우 대화명을 마음대로 바꿀 수 있고 송수신자 쌍방간 ‘친구’ 등록이 돼 있지 않아도 문자를 전송할 수 있기 때문에 지인의 사진과 이름만 안다면 이를 도용한 ‘피싱’이 가능하다.

이 때문에 사기범이 사용자가 불분명한 ‘대포폰’을 이용해 범행한 후 휴대전화를 바꾸면 추적하기 쉽지 않다. 또 해외의 가상번호 부여 서비스를 이용해 원래 스마트폰의 번호가 아닌 제3의 번호로 인증을 받은 후 카카오톡을 이용할 수도 있어 이를 악용한 또 다른 범죄가 발생할 가능성도 있다.

경찰은 현재 ‘해킹’과 ‘피싱’ 등 다양한 가능성을 놓고 수사 중이다.
◇개인정보 유출에 대한 사과 공지와 함께 개인정보 유출여부 확인을 할 수 있도록 바뀐 메이플스토리 초기 화면.

네이트·싸이월드 이용자 3500만명의 개인정보가 유출된 지 4개월 만에 넥슨의 온라인 게임 ‘메이플스토리’ 이용자 1320만명의 개인정보가 해킹으로 또 다시 유출되면서 인터넷 사용자들의 불안감이 커지고 있다. 기업들의 인터넷 보안 강화를 위한 투자 확대와 함께 온라인 사업자들의 개인정보 수집 방법을 바꿔야 한다는 목소리도 높아지고 있다.
 
◆개인정보 유출 불안감 확산
 넥슨이 25일 메이플스토리의 백업 서버 해킹으로 전체 회원 1800만명 중 1320만명의 계정 아이디, 이름, 암호화한 주민등록번호와 비밀번호 등이 유출됐다고 밝힌 직후 ‘넥슨 해킹’은 순식간에 포털 인기 검색어로 떠올랐다. 개인정보 유출에 관심을 갖는 이들이 그많큼 많다는 의미다.

 한 IT 관련 사이트 게시판에는 “(개인 정보를) 안 털린 업체를 세는 것이 더 빠르겠다”, “관리능력도 없으면서 개인정보는 왜 수집하느냐” 등 업체들의 보안 능력에 대한 우려과 불만의 목소리가 줄을 잇고 있다.

특히 이번 유출은 네이트·싸이월드 해킹 사건 후 인터넷 보안에 대한 중요성이 부각된 지 수개월 만에 발생했다는 점, 상대적으로 보안에 많은 투자를 하고 있다고 알려진 대형 게임사에서 발생했다는 점에서 우려를 더하고 있다.

넥슨은 주민등록번호와 비밀번호가 암호화되어 있어 2차 피해는 크지 않을 것으로 보고 있지만 개인정보 유출에 대한 불안감은 쉽게 수그러들지 않을 것으로 보인다. 계정 아이디와 이름 등만 알아도 비밀번호를 유추할 수 있는 경우가 많기 때문이다.
 
넥슨뿐 아니라 다른 기업들도 대부분 주민번호와 비밀번호를 제외한 개인 정보는 암호화하지 않은 채로 보관하고 있다. 주민등록번호와 비밀번호 등 암호화한 정보가 해독될 가능성도 배제할 수 없다.

 ◆개인정보 수집 방식 개선 시급

국내 온라인 기업들에 대한 해커들의 공격이 끊이지 않는 것은 이용자들의 많은 개인정보가 저장돼 있기 때문이다. 한 게임업계 관계자는 “셧다운제, 결제 정보 보관 규정, 실명제 등 규제가 많기 때문에 정보를 많이 보관할 수밖에 없다”고 설명했다.
 
방송통신위원회는 싸이월드·네이트 해킹 이후 연말까지 주민번호 수집을 원칙적으로 금지하는 개인정보 보호 강화방안을 내놓겠다고 밝힌 바 있다. 국회에서도 지난 9월 전자상거래 시 5년 동안 보관하도록 되어 있는 개인정보 내용 중 주민번호를 제외하는 법률안이 발의됐지만 아직 위원회 심사단계에 머물고, 여야 대립으로 언제 처리될지 불투명한 상태다.
 
이 법률안이 통과돼도 청소년 확인, 가입 시 실명 인증 방식 등 풀어야 할 숙제가 많다. 해외 사이트들은 이메일 외에 정보를 수집하지 않는 경우가 많다.
 
해킹으로 정보를 유출시킨 기업에 대한 처벌 수위를 강화해야 한다는 지적도 거세다. 옥션, 현대캐피탈, 신세계백화점 등 개인정보를 유출했던 기업들은 어떠한 처벌도 받지 않았다.

보안 기업인 안철수연구소가 12일 ‘2011년 상반기 10대 보안 위협 트렌드’를 발표했다. 안 연구소는 올해 상반기 주요 위협으로 ▲기업 대상 악의적 해킹 시도 증가 ▲더욱 대담해진 온라인 뱅킹 해킹 ▲모바일 악성코드 기승 ▲SNS로 유포되는 악성코드 급증 진짜 백신으로 위장한 가짜 백신 등장 윈도우 시스템 파일을 패치하는 악성코드 증가 ▲악성코드 첨부 메일 증가 ▲웹 애플리케이션 취약점 악용한 악성코드 증가 ▲맥 OS를 겨냥한 악성코드 본격화 ▲온라인 게임 해킹 툴 기법 지능화를 꼽았다.

(1) 기업 대상 악의적 해킹 시도 증가
올해 상반기에는 기업 대상 해킹 시도가 증가했다. 글로벌 에너지 업체의 기밀 정보를 탈취하려는 나이트드래곤(Night Dragon) 위협, EMC/RSA에서 발생한 OTP(One Time Password) 관련 기밀 탈취 위협, 해킹 그룹 룰즈섹(LulzSec)이 소니(Sony)의 고객 정보를 대량 유출한 사고가 대표적이다. 국내에서도 대형 금융기관 대상의 악의적 해킹이 일어났다.

이러한 해킹 시도는 그 피해의 여파가 과거에 비해 더 크며, 금전 탈취는 물론 자신들의 주장을 관철하려는 핵티비즘(Hacktivism) 성격으로까지 다양해지고 있는 것이 특징이다.

(2) 더욱 대담해진 온라인 뱅킹 해킹
온라인 뱅킹 중에 전송되는 금융 정보를 탈취하는 악성코드는 올해도 지속적으로 국내외에서 발견되고 있다. 국내에서는 온라인 뱅킹을 지원하는 국내 대부분의 은행 사이트를 대상으로 한 악성코드 뱅커(Banker)가 발견됐으며, 해외에서는 2010년에 심각한 금융 보안 사고를 유발한 악성코드 제우스(Zeus)의 변형을 제작할 수 있는 소스코드가 유출되기도 했다.

안 연구소는 “사용자가 더욱 세밀한 보안 설정과 관리를 해야 한다”며 “온라인 뱅킹 암호를 주기적으로 변경하고 공인인증서 관리에도 특별한 주의를 기울여야 할 것”이라고 조언했다.

(3) 모바일 악성코드 기승
올해 상반기 안드로이드(Android)용 악성코드가 크게 증가했다.

사용자 모르게 루트(Root) 권한을 획득하는 루팅(Rooting)을 수행하는 ‘Zft’, 사용자의 통화 목록과 문자 내역 그리고 웹사이트 방문 기록 등을 탈취하는 ‘키드로거’(KidLogger), 안드로이드 스마트폰을 원격으로 제어할 수 있는 ‘드로이트쿵후’(DroidKungFu)가 대표적이다. 이 밖에 탈옥(JailBreak)된 아이폰과 아이패드에 설치되어 키보드 입력값을 가로채는 상용 키로거(Keylogger)도 발견됐다. 모바일 악성코드는 감염 기법과 동작 방식이 점차 PC용 악성코드와 유사해져 향후 더 심각한 보안 위협이 될 것으로 예측된다.

(4) SNS로 유포되는 악성코드 급증
올해부터 본격적으로 SNS(소셜 네트워크 서비스)가 악성코드 유포 경로로 악용되기 시작했다. 많은 사람의 주목을 끌어야 하는 만큼 사회적 이슈를 이용한 사례가 많았다. 일례로 일본 대지진 관련 기사나, 빈 라덴 사망 관련 동영상으로 위장한 가짜 백신들이 유포됐다. SNS는 그 특성상 악성코드와 피싱(Phishing) 등에 쉽게 노출된다.

(5) 진짜 백신으로 위장한 가짜 백신 등장
가짜 백신이 이제는 버젓이 진짜 백신으로 위장하는 사례까지 등장했다. 해외 백신인 ‘AVG’, ‘비트디펜더’(BitDefender)와 동일한 UI(사용자 인터페이스)와 아이콘을 도용한 가짜 백신이 발견됐다. 이는 사용자로 하여금 허위 진단 결과를 신뢰하게 하여 금전 획득의 가능성을 높이려는 의도이다.

또한 더 많은 PC를 감염시키기 위해 유포 방식도 지능화했다. 검색 엔진에서 검색한 이미지 파일을 클릭하면 가짜 백신 유포 웹사이트로 연결되게 한 것이다. 안 연구소는 일종의 ‘블랙햇 검색엔진최적화’(BlackHat Search Engine Optimization) 기법으로, 검색 결과를 조작해 가짜 백신 유포 사이트로 연결하는 종전 방식에서 변형된 형태라고 설명했다. 

(6) 윈도우 시스템 파일을 패치하는 악성코드 증가
2011년 상반기에 유포된 악성코드 중 윈도우 운영체제에 존재하는 정상 시스템 파일을 악의적 목적으로 패치(Patch)하거나 변경하는 악성코드가 급증했다. 윈도우 시스템 파일(imm32.dll, ksuser.dll, midimap.dll, comres.dll 등)을 패치하여 다른 악성코드를 감염시키거나 특정 온라인 게임의 사용자 정보를 탈취하는 악성코드가 다수 발견됐다.

일부 악성코드는 윈도우 시스템 파일뿐 아니라 백신이 사용하는 파일을 삭제 또는 변조하거나 윈도우 서비스를 강제 종료하는 등 보안 제품의 작동을 방해하기도 한다. 이런 유형은 악성코드를 삭제할 경우 시스템 자체를 손상시키므로, 백신의 진단/치료를 어렵게 하려는 목적으로 제작되었다고 볼 수 있다.

(7) 악성코드 첨부 메일 증가
안 연구소에 따르면 악성코드를 첨부한 메일의 유포가 올해 2분기를 기점으로 다시 증가했다. 페이스북에서 발송하는 메일로 위장한 사례, UPS나 페덱스(FedEx)와 같은 택배 운송 업체의 메일로 위장한 사례가 대표적이다. 인터넷 쇼핑몰 주문 확인, 신용카드 한도 초과 안내 메일로 위장한 사례도 발견됐다. 이런 악성코드 대부분이 해외에서 제작된 가짜 백신을 설치하려는 목적으로 유포됐으며, 사용자가 많은 온라인 서비스로 위장한 점이 특징이다.

(8) 웹 애플리케이션 취약점 악용한 악성코드 증가
올해 상반기 악성코드에 악용된 취약점 대부분이 웹 애플리케이션과 관련되어 있다. 이로 인해 단기간에 많은 PC가 악성코드에 감염됐다. 특히 2분기에는 보안 패치가 제공되기 전에 발견된 제로 데이(Zero Day) 취약점 모두가 어도비 플래쉬 플레이어에서 발견됐다. 취약점을 악용하는 악성코드는 주로 온라인 게임 사용자의 정보를 탈취하거나 윈도우 시스템 파일을 패치한다. 그러므로 MS뿐 아니라 어도비가 제공하는 보안 패치도 빠짐없이 설치해야 악성코드 감염을 예방할 수 있다.

(9) 맥 OS 겨냥한 악성코드 본격화
아이폰과 아이패드 사용자가 늘어남에 따라 애플 운영체제(OS)인 ‘맥’용 악성코드도 동반해서 증가하는 추세이다. 맥 OS에 가짜 백신을 설치하는 맥디펜더(MacDefender) 종류가 대표적이다. 이 악성코드들은 트위터로 유포됐으며, 시스템 전체를 검사하는 것처럼 위장하고 허위 감염 결과를 보여준다. 사용자는 애플사가 제공하는 보안 패치를 설치하고 악성코드 감염을 주의할 필요가 있다.

(10) 온라인 게임 해킹 툴 기법 지능화
비정상적인 방법으로 메모리, 게임 파일, 서버 등에 접근하여 데이터 등을 변조함으로써 게임 플레이를 불공정하게 이끄는 온라인 게임 해킹 툴은 보안 솔루션을 회피하기 위해 새로운 방식이 많이 적용되는 추세다. 메모리 조작은 코드 조작에서 데이터 메모리 조작으로, 오토플레이는 키보드/마우스 관련 함수를 이용하는 방식에서 게임의 특정 기능을 수행하는 함수를 직접 호출해 오토플레이를 구현하는 방식으로 변화했다.

한편, 온라인 게임 해킹 툴은 작년 상반기에 1068개가 발견된 데 비해 올해 상반기에는 총 4050개로 약 300% 늘어났다. 해킹 유형 별로는 메모리 조작이 2575개로 비중이 가장 높고 오토플레이는 1274개로 집계됐다.

  1. Favicon of http://lovebear.tistory.com BlogIcon 곰사랑 2011.07.12 15:05 신고

    잘봤습니다 ^^

    하루빨리 보안업종이 많이 발달해야되는데

    참 안타까운 현실이에요 ...

    • Favicon of http://www.mauhouse.net BlogIcon mau 2011.07.13 15:24 신고

      한국은 개은은 보안이 '공짜'라는 인식이 강하고 기업들은 소홀히 하는 상황이라. 조금씩 좋아지고 있다고 생각됩니다.

  2. Favicon of http://sonic.jogosloucos.com.br/ BlogIcon jogos de sonic 2011.09.11 18:12 신고

    좋은 블로그 ^^

+ Recent posts