지난 여름 해외에서 유행한 섹스토션 공격, 한국에서도 발생
[보안뉴스 문가용 기자] 군 훈련소에서는 피아노를 칠 줄 아는 사람을 불러 모아 피아노를 나르게 한다. 축구 할 줄 아는 사람을 모집한 후, 골대를 옮기게 한다. 보안뉴스 국제부에 다닌다는 게 지인들 사이에서 알려지면 어떨까? ‘보안’에 대해 묻는 경우는 거의 없고, 영어 이메일이나 문건을 해석해 달라는 부탁이 자주 들어온다.
[이미지 = iclickart]
오늘 지인 한 명이 ‘이런 메일의 정체는 뭐냐?’라는 식으로 문자를 보냈을 때도, 당연히 영어가 문제일 거라고 생각하고 나중에 보려했다. 그런데 보낸 이도 영어를 잘 하는 사람이었다. 이상해서 열어봤더니 ‘흔치 않은’ 피싱 메일이었다. 거대한 유산을 상속했다느니, 청구하신 영수증이 도착했다느니 하는 유화적인 내용이 아니라, “네가 성인 사이트 들락날락 거리는 거 알고 있고 증거 영상도 있으니까 창피를 당하기 싫으면 돈을 내라”는 협박조였다.
혹시 너...
...가 아니라, “흔한 피싱 메일이니 무시하라”고 답장을 했다. 그래도 그는 찜찜했다. 이메일의 첫 문구에 나온 비밀번호가 정말로 그의 비밀번호였기 때문이다. 심지어 이메일 외 다른 인터넷 서비스에도 그 비밀번호를 사용한 적이 있단다.
혹시 너...
...가 아니라, 얼마 전 해외 사이트에서 발생한 사건이 떠올랐다. 지난 달 해외 텍스트 스토리지 사이트인 페이스트빈(Pastebin)에 한국인들의 이메일 주소와 비밀번호가 다량으로 공개된 바 있다. 당시 ‘9k Korean Mail Access Combo’와 ‘8k Korean Mail Access Combo’라는 제목의 리스트가 올라왔고, 제목 그대로 각각 9천여 개와 8천 여개의 메일주소-비밀번호 조합이 게재됐다.
이 목록에는 국내 유명 포털 사이트들에서 제공하는 이메일 서비스 계정들과 비밀번호가 들어있었다. 확인해본 바 맞는 것도 있고, 아닌 것도 있었으며, 굉장히 오래된 정보도 포함되어 있었다. 당시 본지는 해당 목록의 주소를 한국인터넷진흥원(KISA)에 보내 2차 피해 예방을 위한 후속조치를 요청하기도 했다.
또한 지난 여름, 본지에서는 해외에서 유행하고 있는 ‘섹스토션’ 공격을 소개했다. 공격자가 피해자에게 피해자 자신이 사용하는 비밀번호가 포함된 협박 메일을 보내는 전략이었다. “당신의 비밀번호가 xxxxx 맞죠?”라고 시작하는 이 협박 편지의 비밀번호는 정확히 들어맞는 경우가 많았고, 그래서 이 메일을 받은 피해자들은 첫 문구부터 불안감을 느끼기 시작했다. 그것이 공격자가 노리는 것이었다.
이 섹스토션 기법을 처음으로 보도한 해외 유명 보안 블로그인 크렙스온시큐리티(KrebsOnSecurity)는 “공격자가 일반 사용자들의 이메일 주소와 비밀번호가 조합된 데이터셋을 어디선가 구한 것으로 보이며, 이를 통해 심리적 흔들기를 시도한 것”이라고 결론을 내렸다. 성인 사이트에 들락날락 하는 영상 따위는 적어도 범인에게는 없다는 뜻이었다. 해당 블로그를 다시 찾아가보니 범인의 협박 메일과 지인이 받은 협박 메일이 거의 똑같았다.
▲ 오른쪽이 지난 여름 유행했던 공격 메일, 왼쪽이 오늘 발견된 협박 메일
그래서 일반인인 지인이 알아듣기 쉽게 “요즘 해커들이 드나드는 암시장에는 이메일 정보와 비밀번호 같은 게 넘쳐나는 상황이라, 개나 소나 그걸 사용해서 이렇게 있지도 않은 음란 동영상을 들먹이며 협박하는 게 올 여름에 유행한 적이 있다”고 설명했다. 다만 “그 비밀번호를 사용하는 웹사이트에 가서 비밀번호 변경을 오늘 안에 하라”고 당부했다. 참고로 그 비밀번호는 아주 오래 전에 사용하던 것이었다고 한다. 크렙스온시큐리티에서도 섹스토션 공격에 대한 보도를 통해 “대부분 오래된 정보였다”고 언급한 바 있다.
결국 훈련소에서 피아노를 칠 줄 아는 사람이 피아노를 연주하고, 축구 좀 했던 사람이 공을 차고, 보안을 잘 모르는 일반인이 수상한 메일을 제보하고, 보안뉴스 국제부 기자가 영문 해석이 아니라 2차 보안 피해를 막을 수 있었다는 참으로 아름다운 결론. 보안 사고 예방 및 안전한 디지털 사회로의 첫 걸음은 모두가 보안 전문가가 되는 게 아니라 수상한 걸 신고하고 정보를 공유하는 것이다. 사이버 범죄 신고는 112, 개인정보 침해 신고는 118로 할 수 있다. 보안뉴스로의 제보도 가능하다.
3줄 요약
1. 사이버 범죄 신고는 경찰청 사이버범죄신고센터
2. 개인정보 침해는 KISA의 개인정보침해신고센터
3. 비슷한 사례 제보는 서슴없이 보안뉴스
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>