사회공학적 해킹에 당하는 순간

시작하면서

원숭이도 나무에 떨어지듯이 IT현장에 있는 사람들도 사회공학적 해킹에 속수무책으로 개인정보를 헌납할 수 있습니다.  웹피싱에 자연스럽게 네이버 계정을 털린 필자가 직접 경험하고 수습했던 과정을 이곳에 남깁니다.

사이트와의 만남

특정 강좌를 듣고 싶어 검색하는 도중 하나의 사이트를 만났습니다. 로그인이 아닌 연령 확인을 요청하면서 친절하게 네이버 사이트가 맞이합니다.  “아하 네이버 계정 연동 서비스를 사용하는구나”  필자는 아무런 의심없이 네이버 아이디와 비밀번호를 입력합니다.

그런데 반응이 없군요. 순간 머리를 스쳐가는 싸늘한 기운. 네이버의 연령확인?? 이런 페이지는 한번도 본적이 없는데…

naver.해킹

급히 소스보기를 통해 웹페이지를 체크합니다.  계정정보를 입력하는 순간 해당 아이피로 고스란히 계정정보가 날라갑니다. 아이피를 검색해보니 해당 아이피를 검색해보니 타이완이군요. 역시 중국.

source

이때 해야할 일은 무엇일까요? 당연히 네이버의 계정정보를 변경해야합니다. 나는 네이버와 구글과 페이스북의 비밀번호를 알지 못합니다. 14자리의 복잡도를 기본으로 시스템이 생성한 패스워드를 사용하기 때문입니다.  인터넷의 계정정보 관리에는 1Password가 가장 유명합니다. 저 또한 이 도구를 유료로 구매해서 사용합니다.  아래 그림처럼 시스템이 생성한 패스워드를 이용해서 네이버 계정 비밀번호를 업데이트 합니다. (당연히 아래 생성한 패스워드는 아니에요. ㅎㅎ)

passwd

자 이제 계정정보를 보호했다면 신고를 해야 합니다. 이러한 사이트가 나뿐만 아니라 다른이들에게 독버섯처럼 피해를 줄수 있기 때문에 국가에서 운영하는 인터넷 침해 대응센터에 신고해주세요.

kisa

요즘 사이트 로그인은 포털사이트를 중심으로 한 인증이 보편화되고 있습니다.  익숙함속에 개인정보를 탈취하는 특히나 정보가치가 높은 네이버 계정을 노리는 독버섯이 자연스럽스럽게 유혹합니다.  일반적인 포털사이트에 기반한 계정 인증은 아래와 같이 서비스합니다.  이러한 서비스에 익숙하다보니 위의 해킹사이트에 자연스럽게 나의 계정정보를 입력하게 된 것이지요.

login
정상적인 경로의 통합인증 로그인 화면

사회공학적 해킹

사회공학적 해킹은 요즘 가장 이슈화 되고 피해가 걷잡을수 없을 만큼 커져버린 보이스피싱, 이메일을 통한 스피어피싱, 웹페이지를  통해 개인정보입력을 유도하는 웹피싱이 대표적입니다.

사회공학이란 정리하면 “A라는 사람이 신뢰할수 있는  대상으로 가장해서  다른사람이 A라는 사람이 원하는 목적에 따라 행동하도록 만드는 기술” 입니다.  이를 바탕으로 무차별적으로 개인정보를 탈취하는 기술이 점점더 진화하고 발전하고 있습니다. 웹피싱에 IT경력만 10년을 훌쩍 넘긴 필자도 간단히 속아넘어간 것이지요.

패스워드의 관리는 그래서 더욱 중요합니다. 사회공학적 해킹은 시스템에 설치되는 백신이나 보안프로그램으로 막을수 있는 한계가 분명히 존재합니다. 개인의 의심없이 입력하는 순간 모든 백신과 보안솔루션을 무력화시키고 자신의 정보는 유출됩니다.

인터넷 사용시 특히 계정정보를 입력하는 것은 항상 조심하고 한번더 생각하는 것이 결코 과하지 않습니다.

Print Friendly, PDF & Email

댓글 남기기

This site uses Akismet to reduce spam. Learn how your comment data is processed.