아이브·몬스타엑스·유퀴즈도 당했다…구독자 수백만 채널 꿀꺽한 해커들 [더 인플루언서]

계정탈취 노린 해킹 주의보
유튜브·인스타·틱톡 조언은

20일 tvN 드라마 유튜브 채널이 해킹되며 ‘리플’ 로고와 콘텐츠들로 바뀌어 있는 모습. tvN 유튜브 홈페이지 캡쳐. 매경DB

최근 유튜브와 틱톡을 비롯해 인스타그램 등 사회관계망서비스(SNS)을 계정을 노리는 해커들이 늘고 있어 보안에 각별히 유의할 필요가 있습니다.

지난 20일 tvN 드라마와 티빙의 공식 유튜브 계정이 해킹됐습니다. 이날 오전 한때 tvN 드라마와 티빙 공식 유튜브 채널로 접속하면 리플(ripple)의 로고와 콘텐츠들이 떠 있고, 기존 영상들이 사라졌습니다. 채널 아이디도 변경됐고요.

구독자 수와 재생목록에 유퀴즈온더블럭 등 영상 카테고리가 남아있는 점에서 원래 이 채널이 tvN이라는 단서만을 확인할 수 있었죠.

20일 해킹 피해를 당한 tvN 드라마 유튜브 채널. 기존 컨텐츠들 대신 리플 관련 영상들로 바뀌어 있고, 채널명도 XRP로 변경된 모습. tvN 드라마 유튜브 캡쳐, 매경DB

채널 복구에는 꼬박 하루가 걸렸습니다.

tvN은 이날 오후 6시께 홈페이지에 공지를 올려 “20일 새벽 유튜브 채널이 외부 해킹 공격으로 인해 채널명이 변경되고, 관련 없는 콘텐츠가 업로드되는 사건이 발생했다”면서 “유튜브 측 협조를 통해 현재는 기존 영상 복구를 비롯해 채널 리스트가 모두 정상화됐다”고 밝혔습니다.

tvN 드라마 유튜브 구독자는 711만명, 티빙은 98만 6000명에 달합니다. 하마터면 800만명에 달하는 대형 채널이 한순간에 사라질 뻔 했습니다.

이와 같은 계정 탈취는 대형 채널이나 유명인이 아니더라도 타깃이 될 수 있습니다. 그 누구도 SNS 해킹을 통한 정보 유출 위협에서 안전하지 않은 상황입니다.

그래서 이번주 <더테크웨이브>에서는 계정 해킹을 방지하고 이에 대응하는 방법에 대해 유튜브, 인스타그램, 틱톡의 보안 전문가들의 입장과 대책을 정리해 전해드립니다.

계정 탈취 해킹, 일반인도 타깃된다

최근 계정 탈취를 목적으로 한 해킹 사례는 차고 넘칩니다. 특히 파급력이 대형 유튜브 계정들이 타깃이 되고 있습니다. 민간 기업과 공공기관의 공식 유튜브 채널이 대표적이죠.

2022년 9월에는 정부 유튜브 채널이 해킹을 당했습니다. 문화체육관광부가 운영하는 유튜브 ‘대한민국 정부’와 한국관광공사까지 채널명이 바뀌었습니다. 같은 해 6월 한 보도전문채널 유튜브도 약 2시간30분간 해킹됐고요. 기존 동영상은 비공개 처리되고, 암호화폐를 홍보하는 불건전 동영상만 노출되는 방식의 피해가 이어졌습니다.

해외 해커들의 잇따른 해킹은 K팝 스타들의 계정도 위협하고 있습니다.

지난 3월 구독자 337만 명을 보유한 걸그룹 아이브 등 아티스트들의 유튜브 계정이 연쇄적으로 해킹되는 일이 있었습니다. 당시 아이브, 몬스타엑스, 크래비티 유튜브 공식 채널이 전부 해킹 피해를 당했습니다. 각 채널 이름은 ‘SpaceX’로 변경됐고 영상들도 모두 비공개 처리됐어요.

당시 기준 아이브 채널은 약 337만 명, 몬스타엑스는 257만 명, 크래비티는 약 79만 명의 구독자를 보유하고 있었는데요. 이들의 소속사인 스타쉽엔터테인먼트는 “최대한 전체 콘텐츠 빠른 복구를 위해 힘쓰겠다. 갑작스러운 채널 이용에 불편을 드린 점 양해 부탁드린다”고 밝혔습니다.

이뿐 아닙니다. 지난달엔 해외 K-pop 팬들의 구독이 많은 글로벌 채널인 어썸트레인 엔터테인먼트 유튜브 계정이 해킹을 당하기도 했죠.

이밖에도 수많은 연예인들이 계정을 해킹 피해를 호소하는 사례가 계속해서 이어지고 있습니다. 일반인의 계정 탈취 사례는 이보다 훨씬 더 많을 것으로 추정됩니다.

공격 배후는 암호화폐 세력?

전문가들은 계정 탈취 해킹 배후에 금전을 노린 암호화폐 관련 세력이 관여하고 있는 것으로 분석합니다.

이 때문에 해킹된 유튜브 계정 등엔 원래 콘텐츠는 사라지고 암호화폐를 홍보하는 영상이 올라오는 경우가 많습니다. 관련 동영상을 여기저기 노출시켜 사기를 칠 대상을 끌어모으는 수법이죠.

계정을 탈취한 해커 조직은 해킹한 유튜브 등에 CEO 녹화본 영상을 올려놓고 에어드랍 이벤트로 사기 사이트로 유도하고 코인을 입금받는 방식의 사기를 펼치기도 합니다.

SNS 계정 관리자 정보를 탈취한 후 이를 빌미로 협박을 하는 경우도 있습니다. 해커들이 유튜브 계정의 비밀번호를 바꾼 후, 채널 영상을 삭제하고 복구시켜주는 대가로 암호화폐나 금품을 요구하는 식입니다.

인스타그램과 같이 사생활이 정보가 담긴 개인 계정이 탈취됐을 경우, 이를 빌미로 돈을 요구할 수도 있습니다. 해커가 탈취한 정보를 재판매하는 일이 벌어지기도 합니다.

강력한 비밀번호는 기본

계정 탈취와 개인정보 유출을 방지하기 위해선 무엇보다 강력한 비밀번호를 사용하는 것이 최우선입니다.

구글 측은 “온라인 계정에 안전하고 고유한 비밀번호를 사용하는 것은 개인 정보를 안전하게 보호하기 위한 중요한 단계이지만 대부분의 사람들은 보안 수준이 낮은 비밀번호 1개를 여러 사이트에서 똑같이 사용하기 때문에 계정이 더 취약해진다”고 지적했습니다.

우선 영문 대·소문자, 숫자, 특수문자를 조합해 복잡한 비밀번호를 설정하고 서비스마다 각각 다른 비밀번호를 사용해야 합니다.

만약 패스워드를 기억하기 힘들다면 평소 사용하는 패스워드 맨 앞자리에, 대문자로 한 번 더 적는 것을 전문가들은 추천하고 있어요.

예를 들어 패스워드가 ‘maekyung’이라면 ‘Mmaekyung’으로 변경하는 식입니다.

의심스러운 로그인 감지 기능. 구글

구글에는 의심스러운 로그인 등 이용자가 알아야 한다고 판단되는 문제가 감지되면 선제적으로 이용자에게 알리는 기능이 있습니다. 이를 사용하는 것을 추천합니다.

예를 들어 지메일에서는 누군가가 이용자와 관련 없는 기기에서 계정에 로그인하면 경고 메시지를 표시합니다. 계정에서 의심스러운 활동이 감지되면 받은편지함 또는 휴대전화로 알림이 바로 전송되죠.

구글의 ‘비밀번호 진단’ 기능을 통해 비밀번호의 안전성을 확인하고, 같은 비밀번호를 여러 번 사용했는지 알아보고, 유출된 비밀번호가 있는지 살펴볼 수 있습니다.

또 정보 유출을 방지하기 위해 유튜브 채널용 이메일은 다른 계정에 사용하는 이메일과 구별해서 사용하는 것이 좋다는 것이 유튜브 측의 조언입니다.

구글 패스키 작동 과정. 구글

그래도 불안하다면, 패스키를 사용하는 것도 방법입니다.

패스키는 휴대전화를 쳐다보거나 지문을 스캔하는 것만으로 간편하게 로그인할 수 있는 기능입니다. 실물 보안 키와 동일한 공개 키 암호화 프로토콜을 사용해 피싱, 이용자 인증 정보 스터핑, 기타 원격 공격을 막아내는 높은 수준의 보안성이 특징입니다.

또 한가지, 중요한 계정 정보는 ID와 암호를 자동 저장하지 않는 것이 좋습니다.

이중 인증(2FA)은 필수

이중(2단계) 인증은 이제 필수가 됐습니다. 이중 인증이란 비밀번호 외에 이메일 또는 문자메시지로 한 번 더 인증하는 것을 의미합니다.

보안업계에서는 인증을 3가지 요소로 구분하고 있습니다.

1. 자신이 알고 있는 것(what you know =패스워드, PIN 등)

2. 자신이 소유한 것(what you have=스마트 카드, 토큰, 키 등)

3. 자신 그 자체(what you are=지문 등 생체 정보)

이들 중 하나의 요소만 이용하는 단일 인증은 보안에 매우 취약하다는 지적입니다. 패스워드 등 자신이 아는 정보만을 사용할 경우 분실 여부를 인지하기 어렵습니다. 또 토큰, 키 등 자신이 소유한 것만을 사용할 경우 분실 혹은 해킹을 당했을 때 다른 사람의 즉각적인 사용이 가능하죠.

이러한 단일 인증의 보안 취약성을 보강하기 위하여 이들 중 서로 다른 2개의 인증을 조합하여 채택한 방식이 이중 인증입니다.

유튜브, 인스타그램, 틱톡 모두 2단계 인증 사용을 강력하게 권고하고 있습니다.

구글은 “유튜브 크리에이터 200만명을 포함해 총 1억 5000만 명 이상의 이용자들을 대상으로 2단계 인증을 자동화했고 결과적으로 이용자들의 계정 정보 노출 사례가 50%가 감소되는 것을 확인했다”고 밝혔습니다.

인스타그램에서 2단계 인증을 설정하면 확인되지 않은 기기나 웹 브라우저에서 해당 계정에 로그인하려는 시도가 있을 때마다 알림이 발송됩니다.

알림을 통해 로그인을 시도한 기기와 해당 기기의 위치를 알 수 있죠. ‘설정’, ‘보안’, ‘로그인 활동’에서 최근 인스타그램 계정에 로그인한 기기의 리스트를 조회할 수도 있습니다. 이를 활용해서 최근 로그인 중 알 수 없는 로그인이 있는지 확인해볼 필요가 있습니다.

인스타그램의 이중인증 예시. 인스타그램

인스타그램에는 ‘계정 보안 확인’이라는 도구가 있습니다.

자신의 계정이 해킹을 당했을 가능성이 있는 사람들에게 계정 보안에 필요한 조치를 안내하는 기능입니다. 여기엔 로그인 활동을 확인하고, 프로필 정보를 검토하고, 로그인 정보를 공유하는 계정을 확인하고, 계정 복구 연락처 정보(전화번호 또는 이메일 주소)를 업데이트하는 등의 조치가 포함되죠. 이를 활용하는 것도 내 인스타그램 계정 보안을 높이는 방법으로 추천됩니다.

인스타그램 측은 “인스타그램은 절대 이용자에게 DM을 보내지 않는다”고 강조했습니다. 특히 최근 몇 개월 동안 계정 비밀번호와 같은 민감한 정보에 액세스하기 위해 사람들에게 DM을 보내는 악의적인 계정이 증가하고 있다는 게 회사 측 설명입니다.

예컨대 인스타그램을 사칭해 계정이 차단될 위험에 처했다거나, 인스타그램 정책을 위반했다거나, 사진이 다른 곳에 공유되고 있다는 내용의 DM을 보내는 이들이 있다는 것이죠.

이러한 메시지는 사기가 다반사이니 각별한 주의가 요구됩니다. 인스타그램 측에서 계정과 관련해 연락을 취해야 할 경우가 생기면 설정의 ‘Instagram에서 보낸 이메일’ 탭을 사용한다고 하니 이것만 확인하면 됩니다.

틱톡의 계정 보안 조언 Q&A

-계정 해킹을 방지하는 법은?

1. 전화번호와 이메일 주소를 계정에 연결한다.

전화번호와 이메일 등 두 가지 연락 방법을 계정에 추가하면, 한 가지가 손상돼도 다른 방법으로 대체 로그인이 가능하다.

2. 강력하고 고유한 비밀번호를 만든다.

12~15자 길이의 영문 대문자 및 소문자, 숫자, 기호를 혼합한 비밀번호를 사용할 것을 권장하며 비밀번호는 30일마다 업데이트하는 것이 좋다.

3. 계정에 패스 키를 추가한다.

패스키는 비밀번호를 기억할 필요 없이 계정에 로그인하는 데 사용할 수 있는 모바일 디바이스에 저장된 암호화 키다. 페이스 아이디(Apple)이나 지문 인식 잠금 해제(안드로이드) 등 디바이스에서 이미 허용된 보안 기능을 활용하므로 기존 비밀번호보다 더 안전한 로그인 방법을 제공한다.

4. 2단계 인증을 켠다.

사용자가 인식되지 않은 다른 디바이스에서 로그인 하는 경우 틱톡이 사용자를 인증하는 데 도움이 되는 보호 조치를 추가하는 일반적인 계정 보안 기능이다. 또한, 2단계 인증을 사용한다면 비밀번호가 유출될 경우에도 사용자의 휴대폰 또는 이메일 주소에 접근해야만 계정에 로그인 할 수 있다.

5. 신뢰할 수 있는 디바이스를 관리한다.

인식되지 않은 디바이스를 사용하거나 타사 애플리케이션에서 틱톡에 로그인할 때마다 비밀번호 및 일회용 인증코드를 입력하라는 메시지가 표시된다. 이 일회용 인증 코드는 문자메시지나 이메일을 통해 전송된다.

-계정이 해킹 당했을 때 조치해야 할 사항은 무엇이 있나?

=계정 비밀번호, 전화번호, 틱톡 ID, 닉네임이 변경되거나, 동영상이 사용자의 허락 없이 삭제되거나 게시된 경우, 사용자가 작성하지 않은 메시지가 전송된 경우 해킹된 계정의 징후로 볼 수 있으며 △비밀번호 재설정 △전화번호 연결 △의심스러운 디바이스 삭제 등의 방법으로 계정을 보호할 수 있다.

-이 밖에 유저들이 알아야 할 사항이 있다면?

=틱톡 팀을 사칭해 연락을 시도하는 사람을 항상 유의하고, 틱톡 팀에서 보내는 공식 이메일은 절대로 비밀번호를 묻지 않는다는 점을 기억하기 바란다.

또한 틱톡에서 스팸 또는 피싱이라고 생각되는 동영상을 찾거나 그러한 메시지를 받은 경우, 해당 콘텐츠를 길게 눌러 ‘신고’를 누르면 틱톡 팀이 틱톡 커뮤니티를 안전하게 보호하는 데 도움이 된다.

<황순민 기자의 더 인플루언서> 연재를 시작합니다. 바야흐로 누구나 인플루언서가 될 수 있는 기회가 열렸습니다. 자신만의 오리지널리티(Originality)를 구축하고 신선한 콘텐츠를 만들어내는 인플루언서 생태계를 소개하겠습니다. 네이버 기자페이지를 구독하시면 다음 기사를 쉽게 받아보실 수 있습니다.