포털 사이트 사용자 계정이 해킹으로 공격자에게 탈취되었을 경우 공격자가 탈취한 사용자 계정을 이용해 지인들에게 스피어 피싱 메일 발송이나 인터넷 사기 등 범죄에 악용되어 추가 피해가 발생할 수 있다. 다크웹 등에서 실제로 국내 포털사 사용자 계정을 판매하는 경우도 심심치 않게 확인되고 있어 각별한 주의가 요구된다.
포털 계정이 유출되는 원인으로 사용자 PC가 악성코드에 감염되거나 포털사이트를 사칭한 피싱으로 유출되는 경우가 가장 크다.
한국인터넷진흥원(이하 KISA)에서는 지난해 말부터 동일한 수법을 이용한 피싱 공격 그룹을 확인한 후 지금까지 관련 공격자들 분석과 대응에 집중하고 있다.
KISA 사고분석팀은 29일 ‘포털 사칭 팝업형 피싱 분석 기술보고서’를 발표하고 “공격자들은 네이버를 사칭으로 하는 특징을 보이며 기존의 피싱 공격조직보다 복잡한 인프라와 소셜 로그인에 익숙한 이용자들의 부주의를 노리고 있다”며 기존 피싱 공격과 팝업형 피싱 공격의 차이, 팝업형 피싱 공격을 이용한 침해사고 사례를 바탕으로 이용자와 웹사이트 관리자가 피싱 공격을 예방하고 피해를 줄일 수 있는 방안 등을 상세히 안내하고 있다.
일반적으로 피싱 공격은 사칭하고자 하는 사이트와 동일한 디자인의 사이트를 제작하면서 시작된다. 보통 피싱에 이용되는 문구는 '보안 경고'나 '로그인 실패' 등 피해자들의 심리적 불안을 유도해 계정을 입력하게 끔 유도하며 피싱 도메인을 숨기기 위해 단축 URL을 사용하기도 한다.
사용자들이 유심히 관찰하지 않으면 차이를 알 수 없을 정도로 정교하게 제작되어 피해가 발생하기 쉽다.
일반적으로 피싱 메일, 타이포스쿼팅, 파밍 등을 통해 피싱 사이트에 접속한 이용자가 계정정보를 입력 시 공격자가 설정한 사이트로 정보가 저장된다.
이번에 발견된 피싱 공격 조직은 네이버를 사칭했으며 기존 피싱과 같이 로그인 입력창을 포함한 모든 컨텐트를 제작하는 것이 아닌 로그인 페이지만 동일하게 제작한 특징을 보였다.
또한 공격자는 이용자 접속이 많은 사이트를 대상으로 해킹한 후 자신이 제작한 네이버 로그인 사칭 피싱 페이지가 이용자가 접속할 때 팝업으로 보이도록 웹 소스코드를 수정했다.
◆포털 이용자 주의사항
이런 공격에 대응하기 위해 포털 사이트 이용자는 로그인 요구시, 한 번 더 주의 기울여야 한다.
특히 사이트의 바탕 배경이 흐리게 보이고 로그인 창이 팝업되면 피싱으로 의심할 수 있다. 이때 네이버 로그인 창의 인터넷 주소(nid.naver.com)를 꼭 확인해야 한다. 만약 로그인 화면 상단에 주소가 표시되지 않거나 다른 주소로 표시되면 피싱이니 주의해야 한다.
또 자신이 의도하지 않았으나 네이버 계정을 입력하는 로그인 창이 확인될 경우 피싱으로 의심할 수 있다.
특히 로그인 창은 사용자가 로그아웃하거나 인터넷 브라우저를 종료하고 다시 실행하기 전까지는 재 요청을 하지 않으므로 만약 네이버에서 로그인하고 다른 사이트를 클릭했을 때 다시 네이버 로그인 창이 뜨는 피싱으로 의심할 수 있다.
기타 피싱 사이트를 판단하기 어려운 경우, 로그인 창에 임의의 아이디와 패스워드를 넣어보는 것도 하나의 방법이며 로그인 실패 창이 나오지 않는 경우 피싱으로 의심해야 한다.
이외 패스워드를 영문자(대소문자), 숫자, 특수문자들을 혼합하여 구성하고 사이트별로 상이한 패스워드를 설정한다. 그리고 주기적으로 패스워드를 변경하고, 이전 사용한 패스워드를 재사용하지 않는다.
또 해외로그인을 차단하여, 공격자가 계정을 악용하지 않도록 예방하는 것도 중요하다. 더불어 다중인증(MFA, Multi-Factor Authentication)은 계정 로그인 시, 아이디와 패스워드 외에 추가적인 인증 수단을 사용하는 방법을 가리킨다. 사전에 설정한 인증 수단을 거쳐야지만 로그인이 가능하기 때문에 아이디와 패스워드가 탈취되더라도 공격자가 포털사이트에 로그인 하여 악용하는 추가피해를 방지할 수 있다. 네이버는 모바일 앱을 통해서 OTP(One-Time Password, 일회성 패스워드) 기능을 제공한다.
◆웹 사이트 운영자 주의 사항
한편 웹 사이트 운영자는 자신의 웹 사이트가 피싱 공격에 악용되지 않도록 보안을 강화할 필요가 있다. 한국인터넷진흥원에 따르면, 정상 사이트에서 피싱 관련 스크립트가 삽입된 침해사고를 분석한 결과, 다수의 사이트가 취약한 웹 에디터의 파일 업로드 취약점이 악용되었다고 전했다.
오픈소스 게시판(웹 에디터)은 설치와 사용이 용이하나, 많은 사이트 운영자가 처음 설치 이후 업데이트를 수행하지 않는 경우가 많아 KISA에서 안내하는 ‘웹 에디터보안 가이드’를 참고해 자신이 운영하는 웹 데이터를 최신 버전으로 유지하여, 웹셸 업로드를 예방해야 한다.
또 웹 사이트 이용자가 업로드하는 정상 파일은 주로 이미지나 문서와 같이 웹 서버를 통해 실행될 필요가 없는 경우가 대부분이다. 공격자는 취약한 게시판 에디터를 통해 웹셸을 업로드한다. 웹셸 업로드에 성공하더라도, 업로드 파일의 실행 권한이 없으면 웹셸은 작동하지 않는다.
그리고 운영 중인 사이트에 피싱 관련 페이지 등이 삽입되면 관련 페이지에 대한 비정상 접속 질의가 증가하는데, 웹 사이트 운영자는 웹 로그 분석 툴 등을 통해 이상 증상을 주기적으로 점검하는 것이 좋다.
또 공격자는 자신의 공격을 지속하기 위해 다양한 권한상승 취약점을 사용하고 있기 때문에 최신의 운영체제 버전을 사용하고 KISA 보호나라 홈페이지를 참고하여 자신이 사용 중인 프로그램에 대한 보안 업데이트를 적용하여 사고를 예방해야 한다.
이외 보다 상세한 내용은 보고서를 참고해 대응해야 한다. 보고서는 KISA와 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!