1단계 실명 확인 후 2단계 본인인증 과정상 파라미터 변조로 탈취된 정보 악용해 발생
보이스피싱 범죄조직의 대포폰 확보 목적으로 악용, 현재 보안조치 마무리 단계
[보안뉴스 김영명 기자] 최근 알뜰폰 개통 사이트 내 본인인증 시스템에서의 보안 이슈가 불거진 바 있다. 알뜰폰은 단말기와 알뜰폰 통신사 유심(USIM)을 소유하고 있으면 온라인을 통해 언제 어디서나 손쉽게 셀프로 개통할 수 있다. 해커는 이 같은 편의성을 악용해 2단계 ‘간편 본인 인증’ 과정에서 타인의 정보를 갈취해 인증 요청자가 아닌 제3자의 인증을 획득, 타인 명의의 스마트폰을 개통해 보이스피싱에 악용하고 있다.
[이미지=gettyimagesbank]
해당 이슈에 대해 알뜰폰(MVNO) 사업자들이 모여서 만든 사단법인 한국알뜰통신사업자협회(KMVNO) 관계자를 통해 문제의 원인과 대책에 대해 들어봤다.
현재 국내에서 서비스되고 있는 알뜰폰 사업자는 SK텔레콤 망을 사용하는 SK텔링크(SK세븐모바일) 등 1개 사업자가 있으며, KT 망을 사용하는 사업자는 KT M모바일, KT스카이라이프(스카이라이프 모바일), 드림라인(드림모바일), 미니게이트(M2모바일), 씨엔커뮤니케이션(WMVNO), 포인트파크(포인트플러스모바일), 고고팩토리(고고모바일), 장성모바일한국(펭유), 더피엔엘(퍼스트모바일) 등 9개 사업자가 있다. 또한 LG유플러스 망은 미디어로그(U+유모바일), KG모빌리언스(KG모바일), 레그원(온국민폰), 조이텔(JOYTEL), 엔티온텔레콤, KCTV제주방송, 남인천방송(mfun), 금강방송(KCN알뜰폰), 인스코리아(인스모바일), 한국피엠오(밸류컴), 와이드모바일(도시락모바일), 씨케이커뮤스트리(슈가모바일), 마블프로듀스(마블링), 사람과연결, SL리테일(셀모바일), 코나아이(모나), 핀샷(코인샷), 한패스인터내셔널(한패스모바일), 보스그룹(화인통신) 등 19개 사업자가 사용하고 있다.
KMVNO 관계자는 “현재 복수사용자를 포함해 알뜰폰 사업자는 전체 50여개가 있는데 이번에 불거진 논란은 지난해 11월 무렵, 2개 사업자에게 보안 이슈가 발생하면서 드러난 것으로 알고 있다”고 말했다.
이번에 알뜰폰 본인인증 과정에서 보안 인증이 뚫린 것은 보이스피싱 범죄조직이 대포폰을 만들어 악용하기 위해 시도한 것으로 밝혀졌다. 기본적으로 알뜰폰은 온라인 사이트를 통해 셀프로 개통할 때는 1단계에서 실명 확인을 하고, 2단계에서는 본인인증 과정을 거친다. 이 2단계 본인인증은 일반적으로 여러 사이트에서도 비슷하게 사용되는 것처럼 스마트폰을 이용한 본인 확인이다. 보이스피싱 조직은 바로 이 2단계 본인인증 과정에서의 문제점을 악용했다.
KMVNO 관계자는 “보이스피싱 범죄자들은 이미 조직 내에서 확보한, 사전에 탈취한 전 국민의 개인정보를 악용해 이번 2단계 인증을 손쉽게 통과했다”고 말했다. 이어 “일반적인 1단계, 2단계 인증 과정은 똑같이 진행됐지만, 2단계 과정을 진행할 때 알뜰폰 사업자 홈페이지 접속 과정에서 문제가 발생했던 것”이라고 설명했다.
해당 웹사이트에서 인증을 요구하는 특정인에 대한 입력 정보를 시스템에서 확인하고 2단계 본인인증 과정으로 넘어갈 때 기존에 탈취해 확보한 다른 사람의 정보를 대신 입력한 다음, 인증 시스템까지 해킹할 경우 부정가입이 가능할 수 있다는 얘기다.
KMVNO 관계자는 “이러한 과정을 거치게 되면 실제 A라는 사람은 본인이 전혀 인지하지 못한 상태에서 본인의 이름으로 휴대전화가 개통되고, 본인의 이름이 도용돼 더 큰 범죄행위가 발생할 수 있다”고 설명했다.
이번 간편인증은 전자서명법(법률 제18479호) 제2조 7~8호에 의거해 전자서명인증사업자들이 해당 전사서명 인증업무를 할 수 있도록 만든 것이다. 이 간편인증은 50여개 알뜰폰 사업자뿐만 아니라 네이버, 카카오, 토스, 신한은행, 국민은행 등 본인 확인을 필요로 하는 모든 사업자에 필수로 요구되는 절차다.
KMVNO 관계자는 “이번에 불거진 본인인증 시스템의 허점은 통신사 대리점을 통해 대면으로 스마트폰을 개통하는 데 있어서의 문제가 아닌 비대면으로 가입절차를 밟을 때에만 국한된다”며, “알뜰폰 사업자들의 경우 해당 문제를 공유하고 전파해서 최대한 신속하게 대응하고 있다”고 강조했다.
한편 이번에 보안상 허점이 발견된 스마트폰 가입 및 개통을 위한 비대면 인증 오류 문제에 대한 점검은 지난해 11월 무렵부터 시작됐으며, 현재는 마무리 단계에 접어든 것으로 드러났다. 과학기술정보통신부와 한국인터넷진흥원(KISA)을 통해 모든 사업자를 대상으로 보안 점검 절차를 거치고, 모의해킹 테스트도 진행 중인 것으로 알려졌다.
[김영명 기자(boan@boannews.com)]
보이스피싱 범죄조직의 대포폰 확보 목적으로 악용, 현재 보안조치 마무리 단계
[보안뉴스 김영명 기자] 최근 알뜰폰 개통 사이트 내 본인인증 시스템에서의 보안 이슈가 불거진 바 있다. 알뜰폰은 단말기와 알뜰폰 통신사 유심(USIM)을 소유하고 있으면 온라인을 통해 언제 어디서나 손쉽게 셀프로 개통할 수 있다. 해커는 이 같은 편의성을 악용해 2단계 ‘간편 본인 인증’ 과정에서 타인의 정보를 갈취해 인증 요청자가 아닌 제3자의 인증을 획득, 타인 명의의 스마트폰을 개통해 보이스피싱에 악용하고 있다.
[이미지=gettyimagesbank]
해당 이슈에 대해 알뜰폰(MVNO) 사업자들이 모여서 만든 사단법인 한국알뜰통신사업자협회(KMVNO) 관계자를 통해 문제의 원인과 대책에 대해 들어봤다.
현재 국내에서 서비스되고 있는 알뜰폰 사업자는 SK텔레콤 망을 사용하는 SK텔링크(SK세븐모바일) 등 1개 사업자가 있으며, KT 망을 사용하는 사업자는 KT M모바일, KT스카이라이프(스카이라이프 모바일), 드림라인(드림모바일), 미니게이트(M2모바일), 씨엔커뮤니케이션(WMVNO), 포인트파크(포인트플러스모바일), 고고팩토리(고고모바일), 장성모바일한국(펭유), 더피엔엘(퍼스트모바일) 등 9개 사업자가 있다. 또한 LG유플러스 망은 미디어로그(U+유모바일), KG모빌리언스(KG모바일), 레그원(온국민폰), 조이텔(JOYTEL), 엔티온텔레콤, KCTV제주방송, 남인천방송(mfun), 금강방송(KCN알뜰폰), 인스코리아(인스모바일), 한국피엠오(밸류컴), 와이드모바일(도시락모바일), 씨케이커뮤스트리(슈가모바일), 마블프로듀스(마블링), 사람과연결, SL리테일(셀모바일), 코나아이(모나), 핀샷(코인샷), 한패스인터내셔널(한패스모바일), 보스그룹(화인통신) 등 19개 사업자가 사용하고 있다.
KMVNO 관계자는 “현재 복수사용자를 포함해 알뜰폰 사업자는 전체 50여개가 있는데 이번에 불거진 논란은 지난해 11월 무렵, 2개 사업자에게 보안 이슈가 발생하면서 드러난 것으로 알고 있다”고 말했다.
이번에 알뜰폰 본인인증 과정에서 보안 인증이 뚫린 것은 보이스피싱 범죄조직이 대포폰을 만들어 악용하기 위해 시도한 것으로 밝혀졌다. 기본적으로 알뜰폰은 온라인 사이트를 통해 셀프로 개통할 때는 1단계에서 실명 확인을 하고, 2단계에서는 본인인증 과정을 거친다. 이 2단계 본인인증은 일반적으로 여러 사이트에서도 비슷하게 사용되는 것처럼 스마트폰을 이용한 본인 확인이다. 보이스피싱 조직은 바로 이 2단계 본인인증 과정에서의 문제점을 악용했다.
KMVNO 관계자는 “보이스피싱 범죄자들은 이미 조직 내에서 확보한, 사전에 탈취한 전 국민의 개인정보를 악용해 이번 2단계 인증을 손쉽게 통과했다”고 말했다. 이어 “일반적인 1단계, 2단계 인증 과정은 똑같이 진행됐지만, 2단계 과정을 진행할 때 알뜰폰 사업자 홈페이지 접속 과정에서 문제가 발생했던 것”이라고 설명했다.
해당 웹사이트에서 인증을 요구하는 특정인에 대한 입력 정보를 시스템에서 확인하고 2단계 본인인증 과정으로 넘어갈 때 기존에 탈취해 확보한 다른 사람의 정보를 대신 입력한 다음, 인증 시스템까지 해킹할 경우 부정가입이 가능할 수 있다는 얘기다.
KMVNO 관계자는 “이러한 과정을 거치게 되면 실제 A라는 사람은 본인이 전혀 인지하지 못한 상태에서 본인의 이름으로 휴대전화가 개통되고, 본인의 이름이 도용돼 더 큰 범죄행위가 발생할 수 있다”고 설명했다.
이번 간편인증은 전자서명법(법률 제18479호) 제2조 7~8호에 의거해 전자서명인증사업자들이 해당 전사서명 인증업무를 할 수 있도록 만든 것이다. 이 간편인증은 50여개 알뜰폰 사업자뿐만 아니라 네이버, 카카오, 토스, 신한은행, 국민은행 등 본인 확인을 필요로 하는 모든 사업자에 필수로 요구되는 절차다.
KMVNO 관계자는 “이번에 불거진 본인인증 시스템의 허점은 통신사 대리점을 통해 대면으로 스마트폰을 개통하는 데 있어서의 문제가 아닌 비대면으로 가입절차를 밟을 때에만 국한된다”며, “알뜰폰 사업자들의 경우 해당 문제를 공유하고 전파해서 최대한 신속하게 대응하고 있다”고 강조했다.
한편 이번에 보안상 허점이 발견된 스마트폰 가입 및 개통을 위한 비대면 인증 오류 문제에 대한 점검은 지난해 11월 무렵부터 시작됐으며, 현재는 마무리 단계에 접어든 것으로 드러났다. 과학기술정보통신부와 한국인터넷진흥원(KISA)을 통해 모든 사업자를 대상으로 보안 점검 절차를 거치고, 모의해킹 테스트도 진행 중인 것으로 알려졌다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
