[보안 따라잡기]포털 고객센터까지 사칭해 노리는 내 아이디 무사할까
by이후섭 기자
2020.09.12 17:51:39
실제 포털사 공지 이메일과 같은 디자인…계정정보 탈취시도 계속돼
"中 조직에 아이디 팔린다는 소문 돌아…로그인 IP주소 확인해 봐야"
정부 원격 보안점검 서비스도 활용…무료로 공휴일에도 받을 수 있어
| 포털사 이메일 공지 사칭 화면과 가짜 로그인 화면.(자료=이스트시큐리티 제공) |
|
[이데일리 이후섭 기자] 언택트(비대면) 시대 각종 지능적인 수법을 통한 사이버 공격이 끊이지 않고 있다. 재택근무를 노리고 업무를 가장한 악성메일이 유포될 뿐만 아니라 국내 유명 포털사의 고객센터를 사칭해 사용자의 계정정보를 탈취하려는 시도가 이어지고 있다. 내 PC 혹은 내가 쓰고 있는 포털 등의 계정은 무사한 걸까.
12일 보안 전문기업 이스트시큐리티에 따르면 국내 유명 포털사의 고객센터가 보낸 것처럼 위장한 이메일 피싱 공격 징후를 포착했다. 이번 공격은 국내 유명 포털의 보안 서비스 중 하나인 `새로운 기기 로그인 알림 기능`이 해제됐다는 이메일 공지를 사칭하고 있다. 메일 내용에는 새로운 기기 로그인 알림 기능이 해제돼 다시 설정이 필요하다는 안내와 함께 `새로운 기기 로그인 알림 설정 바로가기` 버튼을 클릭하도록 유도하고 있다.
해당 버튼을 클릭하면 안전한 사용을 위해 사용자 계정의 비밀번호를 다시 한번 입력하도록 요구하는 창이 나타나며, 이때 사용자가 스스로 계정 정보를 입력하게 되면 그 정보는 고스란히 해커에게 넘어가는 전형적인 피싱 공격이다. 이번 공격에 사용된 메일 화면은 실제 포털사에서 사용하는 고객센터 공지 이메일과 디자인이 동일해 메일 수신자가 해킹 이메일로 판단하기에 어려움이 있을 것으로 예상된다. 이스트시큐리티는 이번 공격의 배후로 특정 정부가 연계된 것으로 알려진 해킹 조직인 `탈륨(Thallium)`을 지목했다.
앞서 안랩(053800)도 견적 의뢰 메일로 위장해 사용자의 계정 정보를 노리는 악성코드 유포 사례를 발견하는 등 사용자 PC 메일·메신저, 웹 브라우저 등에 저장된 계정정보를 탈취하려는 위협에 계속 노출되고 있다. 한 보안업계 관계자는 “국내 대형 포털의 아이디, 비밀번호 뿐만 아니라 사용자 이름, 주민등록번호까지 털린 정보가 중국 보이스피싱 조직 등에 건당 2000원에 팔리고 있다는 얘기가 돌고 있을 정도”라고 말했다.
그렇다면 내 아이디와 비밀번호도 이미 해킹 조직에 노출된 걸까. 사용자의 PC 혹은 스마트폰이 악성코드에 감염된 적이 없었다 해도 안심할 수 없는 상황이다. 포털 등의 로그인 목록에서 IP주소 확인을 통해 외부에서 접속했는지 여부를 간단하게 확인할 수 있다.
국내 보안업체에 근무하는 한 화이트해커는 “사용자가 주로 사용하는 노트북 혹은 PC, 스마트폰으로 접속한 IP주소는 동일하게 표시되므로 이외에 새로운 IP주소가 로그인 목록에 남아있다면 의심해 볼 필요가 있다”며 “특히 IP주소에 국적도 표시되므로 중국 IP주소가 나와있다면 계정정보가 탈취됐을 확률이 높다”고 설명했다. 실제 네이버의 경우 `내정보`→`보안설정`→`로그인 관리` 탭으로 들어가 로그인 목록을 보면 로그인 기기와 로그인 IP주소를 확인할 수 있다.
개인PC의 경우 과학기술정보통신부에서 무료로 원격 보안점검해주는 `내PC 돌보미` 서비스를 이용할 수 있다. 내PC 돌보미는 63명의 보안전문가가 1대 1 맞춤형으로 보안컨설팅과 다양한 보안점검 서비스를 제공해 주는 것으로, 지난 10일부터 본격 서비스가 실시됐다.
△PC 운영체제(현재는 윈도우만 가능) 및 소프트웨어 보안업데이트 △백신설치 및 치료 방법 안내 △해킹 프로그램 유무 점검 및 조치 △미사용 액티브-X 제거 △안전한 암호설정 방법 안내 △백신 미탐지 악성코드(바이러스) 제거 △일반 국민이 가정에서 인터넷과 연결해 이용하는 정보통신기기(IoT 기기) 취약점 점검·조치 등의 서비스를 제공받을 수 있다.
평일(8시~22시) 뿐만 아니라 토·공휴일(9시~18시)까지 점검받을 수 있으므로 보호나라 홈페이지에 접속해 원하는 날짜와 시간을 선택해 신청하면 된다.