[워크넷 해킹] 23만 개인정보 어떻게 털렸나…보안관리 '도마위'

기사입력 : 2023년07월07일 15:21

최종수정 : 2023년07월08일 09:35

워크넷, 중국 해커에 개인정보 23만건 유출
신종 '크리덴셜 스터핑' 수법에 속수무책 당해
범죄 악용될 가능성…금전 등 2차 피해 우려

[세종=뉴스핌] 정성훈 기자 = 고용노동부와 한국고용정보원이 운영하는 채용정보사이트 '워크넷'이 중국 해커들에 의해 뚫린 것으로 알려진 가운데, 허술한 보안관리가 '도마위'에 올랐다.

또한 수십만명의 개인 정보가 삽시간 내에 털린 것으로 알려지면서, 이들 해커의 공격방식인 '크리덴셜 스터핑(Credential stuffing)'에 대한 관심도 커지고 있는 상황이다.

◆ 아이디·비번 무작위 대입방식 '크리덴셜 스터핑' 수법은?

7일 고용노동부에 따르면, 고용정보원은 지난 6일 중국 등 해외 인터넷 접속 주소(IP) 28개에서 23만여건의 워크넷 무단 접속을 확인했다고 밝혔다. 이를 통해 23만명의 개인정보 유출이 확인됐다.

이들이 사용한 해킹수법은 '크리덴셜 스터핑'이라고 하는 로그인 정보 무작위 대입 방식이다. 소위 '다크웹'으로 불리는 인터넷 암시장에서 불법으로 취득한 사용자 정보(아이디·암호)를 다른 계정에 무작위 대입해 타인의 개인정보를 빼내는 수법이다.

즉, 취득한 아이디와 비번을 여러 웹사이트나 앱에 대입해 로그인을 시도하고, 접속될 경우 그 안에 있는 타인의 개인정보 등을 유출시키는 식이다. 이는 대다수 인터넷 사용자가 여러 사이트에서 동일한 아이디와 비번을 쓴다는 점을 악용한 것이다.

화이트해커로 활동했던 한 보안전문가는 "크리덴셜 스터핑이라고 하는 해킹수법은 과거에서부터 흔하기는 했는데 수면위로 드러난건 그리 오래되지 않았다"면서 "과거에는 공격자들이 개인 정보를 탈취해 개별 사이트에 가서 일일이 대입해 보는 방식인데 최근에는 자동화된 로봇을 만들어 무작위로 막 집어넣고 확인하는 절차를 거치는 형태로 진화하다 보니까 문제가 더 심각해진 것"이라고 설명했다.

이어 이 보안전문가는 "이번에는 워크넷만 수면위로 드러났지만, 같은 패스워드를 동일하게 쓰는 기업들, 개인들이 많기 때문에 그런 경우에는 어쩔 수 없이 공격을 당할 수 밖에 없는 상황"이라며 "이러한 문제가 추가적으로 발생할 경우 문제가 더욱 심각해질 수 있다"고 우려를 표했다.

김영중 고용정보원장 역시 "크리덴셜 스터핑이라고 부르는 해킹 방식을 이용하면 1초에도 수천 번, 수만 번씩 자동차 툴을 돌려 로그인을 시도할 수 있어 대응이 쉽지 않다"면서 "고용정보원의 경우 하루 평균 접속자가 100만명을 넘는데, 이 많은 트래픽에서 이상 신호를 발견하고 일일 차단하려면 많은 인력이 필요하다"고 고충을 토로했다.

김 원장은 그러면서 "그나마 고용정보원의 경우 별도의 보안인력이 배치돼 있어 나름 신속히 대응할 수 있었지만, 그렇지 못한 기업들은 해킹을 당해도 인지 못 하는 '눈 뜨고 코베이는 상황'이 발생할 수 있다"고 설명했다.

고용정보원이 밝힌 유출 정보는 개인이력 항목에 있는 이름, 성별, 출생년도, 주소, 일반전화, 휴대전화, 이메일, 학력, 경력, 훈련참여이력, 참여프로젝트, 주요활동 및 수상경력, 해외경험, 외국어능력, 보유자격, 증명사진, 운전가능여부, 차량소유여부로 총 18개다.

이 중 이름이나 출생년도, 휴대전화 등 유출된 정부는 보이스 피싱 등 2차 범죄에 이용될 가능성이 높다. 자칫 금전적 피해 등 2차 피해가 우려되는 상황이다.

김 원장은 "지금 가장 걱정되는 건 2차 피해다. 빠져나간 개인정보가 만약 범죄 집단에게 넘어갈 경우 금융사기나 취업 사기 등에 활용될 가능성이 있다"면서 "이런 피해가 발생하지 않도록 피해자들에게 개별 연락을 취해 놓긴 했는데 추가적인 보완책 마련이 필요해 보인다"고 전했다.

◆ 유일한 피해 방어 방법은 아이디·비번 주기적 변경

현시점에서 크리덴셜 스터핑 해킹을 사전에 차단할 방법은 사실상 없다.

피해 기관이나 기업이 해킹 사실을 인지한 후 빠르게 접속을 차단하거나, 사이트 이용자가 아이디와 비번을 주기적으로 변경해 피해 가능성을 줄이는 것이 유일한 방법이다.

보안전문가는 "하나의 IP에서 여러 계정들이 로그인을 시도한다거나 하는 패턴들은 다 동일하기에 그런 것들을 좀 더 보완할 수 있는 방법론에 발맞춰 가야 한다"면서 "해당 해킹 피해를 막을 수 없다면 피해 사실 인지 후 빠르게 접속을 끊어내는 방법이 추가로 개발돼야 할 것"이라고 설명했다.

[출처=워크넷 홈페이지 캡처] 2023.07.07 swimming@newspim.com

고용정보원 워크넷 담당자는 피해 사실 확인 즉시 전체 이용자 비밀번호를 초기화해 추가 피해는 없다는 입장이다.

이 담당자는 "피해 예방을 위해 주기적인 암호변경과 사이트별 다른 암호를 사용할 것을 당부드린다"며 "혹시 모를 피해를 최소화하기 위해 워크넷은 로그인 시 기존 비밀번호(PW)를 새롭게 변경해야만 로그인될 수 있도록 조치를 완료했다"고 밝혔다.

jsh@newspim.com

[관련기사]

GAM - 해외주식 투자 도우미

"록히드마틴 '5년 난기류' 벗어난다, 주가 '출력 강화' 준비"②

[홍콩 대장주] 메이퇀 ③ 신성장 동력의 '폭발적 성장'

라씨로 - 국내주식 투자 도우미

아바코 "2차전지 '롤프레스 장비' 성능 테스트 완료, 납품 협의 중"

비투엔, 반려동물 시장 진출 본격화..."소변진단키트 개발 중, 내달 출시"

[뉴스핌 베스트 기사]

사진

尹 지지율 35.2% 제자리걸음…'동해 석유' 발표 별무신통 [서울=뉴스핌] 박성준 기자 = 윤석열 대통령의 지지율이 소폭 상승해 30%대 중반을 기록했다는 여론조사 결과가 13일 발표됐다. 종합뉴스통신 뉴스핌 의뢰로 여론조사 전문업체 미디어리서치가 지난 10~11일 전국 만 18세 이상 남녀 1001명에게 물은 결과 윤 대통령의 국정운영에 대한 긍정평가는 35.2%로 집계됐다. 부정평가는 62.2%로 나타났다. '잘 모름'에 답한 비율은 2.6%다. 지난 조사 대비 긍정평가는 0.1%포인트(p) 상승했고 부정평가는 0.6%p 하락했다. 긍정평가와 부정평가 간 격차는 27.0%p다. 연령별로 보면 40대에서 긍·부정 평가 격차가 극명하게 드러났다. 만 18세~29세에서 '잘함'은 26.5% '잘 못함' 72.1%였고, 30대에서는 '잘함' 32.3% '잘 못함' 64.4%였다. 40대는 '잘함' 22.5% '잘 못함' 75.3%, 50대는 '잘함' 32.3% '잘 못함' 66.5%로 집계됐다. 60대는 '잘함' 45.5% '잘 못함' 51.4%였고, 70대 이상에서는 '잘함'이 55.0%로 '잘 못함'(40.1%)보다 높게 나타났다. 지역별로는 서울 '잘함' 37.0%, '잘 못함'은 60.1%로 집계됐다. 경기·인천 '잘함' 32.6% '잘 못함' 66.2%, 대전·충청·세종 '잘함' 34.8% '잘 못함' 63.6%, 부산·울산·경남 '잘함' 35.7% '잘 못함' 59.9%로 나타났다. 대구·경북은 '잘함' 51.9% '잘 못함' 45.6%, 전남·광주·전북 '잘함' 21.9% '잘 못함' 75.1%로 나타났다. 강원·제주는 '잘함' 38.0% '잘 못함' 54.6%로 집계됐다. 성별로도 남녀 모두 부정평가가 우세했다. 남성은 '잘함' 32.4% '잘 못함' 65.7%, 여성은 '잘함' 38.0% '잘 못함' 58.8%였다. 김대은 미디어리서치 대표는 윤 대통령 지지율 결과에 대해 "포항 영일만 앞바다의 석유, 천연가스 매장 가능성 국정브리핑과 북한의 오물풍선 살포로 인한 9·19 군사합의 파기 등의 이슈를 거치면서 지지율 반등을 노릴 수 있었다"며 "그러나 액트지오사에 탐사 분석을 맡긴 배경에 대한 의혹이 증폭되고 있고, 육군 훈련병 영결식에 참석하는 대신 여당 워크숍에 가는 모습 등 때문에 민심이 움직이지 않았다"고 평가했다. 차재권 부경대 정치외교학과 교수는 "앞으로 큰 이슈가 발생하지 않는다면 지지율은 떨어지지도, 올라가지도 않을 것 같다"며 "많은 국민이 기대도 하지 않고 그렇다고 아예 버리지도 못하고 있는 상황으로 보인다. 지지율이 올라가려면 획기적 변화가 있어야 한다"고 분석했다. 이번 여론조사는 성·연령·지역별 인구비례 할당 추출 방식으로 추출된 표본을 구조화된 설문지를 이용한 무선(100%) ARS 전화조사 방식으로 실시했으며 응답률은 3.4%, 표본오차는 95% 신뢰수준에 ±3.1%p다. 통계보정은 2024년 1월말 행정안전부 주민등록 인구통계를 기준으로 성별 연령별 지역별 가중 값을 부여(셀가중)했다. 자세한 내용은 중앙선거여론조사심의위원회 홈페이지를 참조하면 된다. parksj@newspim.com 2024-06-13 06:00

사진

공매도 금지 내년 3월까지 연장...기관 상환기간 제한키로 [서울=뉴스핌] 송기욱 기자 = 당정이 기관 공매도의 대차 상환기간을 90일 단위로 최대 4번까지 연장할 수 있도록 제한하기로 했다. 아울러 불법 공매도 벌금이 현행 부당이득액의 3~5배에서 4~6배로 상향되는 등 제재도 강화된다. 공매도 금지조치는 '불법 공매도 중앙차단시스템'이 구축되는 내년 3월까지 연장된다. 정점식 국민의힘 정책위의장은 13일 오전 국회에서 '공매도 제도개선' 민당정협의회를 가진 뒤 브리핑을 통해 이같이 말했다. [서울=뉴스핌] 이형석 기자 = 추경호 국민의힘 원내대표가 13일 오전 서울 여의도 국회에서 열린 시장질서 확립을 위한 공매도 제도개선 민당정협의회에서 모두발언을 하고 있다. 2024.06.13 leehs@newspim.com 당정은 우선 공매도 전산시스템을 구축해 무차입 공매도를 차단하겠다고 밝혔다. 정 정책위의장은 "전체 공매도 거래의 92% 이상을 차지하는 기관투자자에게 무차입 공매도를 실시간 사전 차단하는 자체적인 기관내 잔고관리 시스템의 구축을 의무화하겠다"고 설명했다. 이와 함께 한국거래소에 중앙점검시스템(NSDS)을 추가 구축해 기관투자자의 불법 공매도를 3일 내 전수점검하고 기관 내 잔고관리 시스템 유효성도 검증하겠다는 방침이다. 정 정책위의장은 또 "기관투자자 뿐만 아니라 모든 법인투자자는 무차입 공매도를 예방하기 위한 내부 통제기준을 마련해 운영해야 한다"면서 "증권사도 기관투자자의 공매도 전산시스템과 모든 기관, 법인투자자의 내부통제기준을 확인해야 하고, 확인된 투자자만 공매도 주문을 낼 수 있도록 할 것"이라고 강조했다. 당정은 또 공매도를 위한 대차의 상환기간을 제한하고 개인투자자의 공매도 접근성을 개선하겠다고 설명했다. 공매도를 목적으로 빌린 주식은 90일 단위로 연장하되, 12개월 이내 상환하도록 제한하고 개인 대주의 현금 담보비율을 대차 수준인 10%로 인하, 코스피200 주식의 경우 기관보다 낮은 120%를 적용하기로 했다. [서울=뉴스핌] 이형석 기자 = 이복현 금융감독원장이 13일 오전 서울 여의도 국회에서 열린 시장질서 확립을 위한 공매도 제도개선 민당정협의회에서 모두발언을 하고 있다. 2024.06.13 leehs@newspim.com 불법 공매도에 대한 처벌과 제재는 강화하기로 했다. 불법 공매도 벌금을 현행 부당이득액 3~5배에서 4~6배로 상향하고, 부당이득액 규모에 따라 징역을 가중할 수 있도록 했다. 아울러 불법 공매도 거래자에 대한 금융투자상품 거래 제한과 임원선임 제한, 계좌 지급정지도 도입할 예정이다. 정 정책위의장은 "오늘 민당정협의는 공매도 문제를 근본적으로 개선해 시장 질서를 확립해나가는 시작점이 될 것"이라며 "민당정은 협력체계를 지속해나가면서 오는 2025년 3월말까지 철저한 공매도 전산시스템을 구축하고 제도개선을 위한 법률 개정도 연내 처리될 수 있도록 적극 추진하겠다"고 말했다. 국민의힘은 전산시스템이 완비되는 내년 3월 말까지 현재의 공매도 금지조치를 연장해줄 것을 요청했다. 이날 협의회에는 추경호 국민의힘 원내대표와 정점식 정책위의장, 김주현 금융위원장, 이복현 금융감독원장, 정은보 한국거래소 이사장 등이 참석했다. oneway@newspim.com 2024-06-13 12:06