"아무나 걸려라" 성공확률 단 1.25%…그래도 27만명 털린 해킹 수법

"보안대책 미흡" 공공기관 2곳 과태료

임종철 디자이너 /사진=임종철 디자이너

누군가의 개인정보를 탈취하기 위해 성공확률 0.9%짜리, 실패율 99.1%짜리의 방식이 있다면 당신은 이를 시도하겠는가? 1000회를 시도하더라도 채 10회를 성공하지 못하는 수준의 확률이다.

확률이 이처럼 낮더라도 기술이 가세하면 피해자 수는 수십 만명 이상에 이를 수 있다. 1초에 100회~200회 이상의 초고속 공격을 감행해 수천만번의 공격을 감행하면 되는 것이다. 간단한 예방장치만으로도 막을 수 있었던 이같은 공격에 당한 2곳의 공공기관이 당국으로부터 과태료 처분을 받았다.

개인정보보호위원회는 지난 24일 전체회의에서 한국고용정보원, 한국장학재단 등 2곳에 각각 840만원씩 총 1680만원의 과태료를 부과하고 시스템 보안대책 정비를 권고했다고 25일 밝혔다.

개인정보위에 따르면 지난해 6~7월 워크넷을 운영하는 고용정보원에 신원 미상의 공격자가 '크리덴셜 스터핑'(Credential Stuffing) 방식으로 침입해 23만6000여명의 개인정보를 탈취했다. 한국장학재단 역시 크리덴셜 스터핑에 당해 3만2000명의 개인정보가 유출됐다.

크리덴셜 스터핑이란 공격자가 다른 곳에서 이용자의 계정과 비밀번호 정보를 취득한 후 다른 사이트에도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 중 하나다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징이 있다.

고용정보원, 장학재단 모두 24시간 감시·모니터링 체계는 갖추고 있었지만 로그인 시도와 실패율이 급증하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안 대책은 미흡했다. 로그인 시도가 일정 횟수 이상 실패할 때 계정을 잠그거나 비밀번호 외에 문자 및 OTT(일회용 비밀번호) 인증 추가 등 다중인증 보안 시스템이 없었던 것이다.

이같은 시스템이 없는 고용정보원, 장학재단 홈페이지는 해커의 놀이터와도 같았다. 워크넷에 대한 공격의 경우 국내 26개 IP(인터넷주소)를 통해 1초당 최대 166회, 총 4500만회 이상의 로그인 시도가 있었고 그 중 56만회의 로그인이 성공했다. 성공확률은 단 1.25%에 불과했다. 장학재단에서도 국내외 44만여 IP를 통해 1초당 최대 240회, 총 2100만회 이상의 로그인 시도가 있었고 실제 3만6000여회 가량의 로그인이 성공했다. 이들 기관의 시스템에서 로그인이 성공한 횟수의 합계(59만6000회)는 두 기관에 대한 로그인 시도 횟수 합계(6600만회)의 0.9% 정도에 불과했다.

아울러 이들 2곳의 공공기관은 주민등록번호와 같은 개인의 고유식별번호를 암호화하지 않고 평문으로 저장한 위반 사항도 확인됐다. 사고 발생 후 두 기관은 보안대책 설정 재정비 등 위반사항을 시정했고 기존 로그인 방식도 변경했다.

개인정보위는 "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크다"며 "시스템의 특성을 감안해 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다"고 했다.

또 "지난해 9월 개정 개인정보법 시행 이후 발생한 공공기관의 개인정보 유출에 대해서는 제재 수위가 기존 과태료에서 과징금으로 대폭 강화된 만큼 기관 차원의 각별한 주의가 필요하다"고 했다.

황국상 기자 gshwang@mt.co.kr