3줄 요약
1. 성심당, 18일 아이디 탈취로 인스타 이용 불가...성심당 사칭 DM 링크 클릭 주의
2. 지난해 ‘성심당몰’ 사이트 해킹, 고객 네이버 계정 유출 이어 또 사고
3. 보안 체계 전반적인 점검·강화 부실...다중인증 적용 등 보안 강화해야
[보안뉴스 김경애 기자] 성심당 공식 인스타그램 계정이 해킹됐다. 이용자는 성심당을 사칭한 DM, 스미싱 등 2차 피해를 입지 않도록 각별한 주의를 기울여야 한다.
▲성심당이 18일 인스타그램 계정이 해킹됐다고 공지한 화면[이미지=보안뉴스]
성심당은 18일 “아이디 탈취로 인해 이용 불가 상태”라며 “계정관리가 불가해 공식 복구 전 업로드되는 게시물은 성심당과 무관하다”고 공지했다. 덧붙여 DM 수신 주의를 당부했다.
성심당 해킹 이슈는 이번만이 아니다. 지난해 5월 ‘성심당몰’ 홈페이지가 해킹돼 사이트에 접속하면 네이버 피싱 사이트로 연결됐었다. 이후 성심당 고객의 네이버 계정이 유출된 바 있다.
그런데 이번엔 인스타그램 계정이 해킹된 것. 계정관리 부실, 다중인증 미적용 등 보안 체계 점검에 문제가 있다는 게 보안전문가들의 의견이다.
최원혁 누리랩 대표는 “성심당은 보안 체계의 전반적인 점검·강화가 충분치 않았을 것”이라며 “대부분 SNS는 보안 강화 로그인을 지원한다. 하지만 성심당은 이를 사용하지 않고, 단순 아이디·패스워드로만 로그인을 설정해 사고가 난 것으로 보인다. 최소한 전체 로그인 시스템의 설정·점검이 필요하다”고 말했다.
신동휘 보안전문가는 “아이디·패스워드 노출로 보인다”며 “사용 패스워드가 동일·유사해 해커가 유출정보를 활용, 계정탈취 했을 것”이라고 예측했다. 신 전문가는 보안 강화를 위해 다중인증(MFA) 적용을 제시했다.
유동훈 시큐리온 대표는 “성심당 계정복구 전까진 성심당 DM으로 보내는 링크 클릭에 주의해야 한다”며 “해커가 추가 계정정보 탈취를 위해 피싱 메시지를 보내는 사례가 있다. DM으로 이용자에게 ‘계정 로그인 페이지로 접속하라’며 URL 클릭을 유도한다. 그러나 이는 가짜 로그인 페이지로 연결되는 피싱 사이트다. 이런식의 계정정보 탈취가 빈번한다”고 분석했다.
한승연 리니어리티 대표는 “이번 사례와 유사한 SNS 공격이 지난해 8월도 발생했다”며 “당시 500만 명 이상 팔로워를 보유한 맥도날드 인스타그램 계정이 탈취돼 스캠 코인 광고가 게시된 적 있다”고 전했다.
이어 그는 “SNS가 탈취되면 이벤트를 가장한 결제 유도, DM을 이용한 메신저 피싱 등 다양한 유형 공격이 가능해, 고객보호 위한 강력한 SNS 계정 보안이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
1. 성심당, 18일 아이디 탈취로 인스타 이용 불가...성심당 사칭 DM 링크 클릭 주의
2. 지난해 ‘성심당몰’ 사이트 해킹, 고객 네이버 계정 유출 이어 또 사고
3. 보안 체계 전반적인 점검·강화 부실...다중인증 적용 등 보안 강화해야
[보안뉴스 김경애 기자] 성심당 공식 인스타그램 계정이 해킹됐다. 이용자는 성심당을 사칭한 DM, 스미싱 등 2차 피해를 입지 않도록 각별한 주의를 기울여야 한다.
▲성심당이 18일 인스타그램 계정이 해킹됐다고 공지한 화면[이미지=보안뉴스]
성심당은 18일 “아이디 탈취로 인해 이용 불가 상태”라며 “계정관리가 불가해 공식 복구 전 업로드되는 게시물은 성심당과 무관하다”고 공지했다. 덧붙여 DM 수신 주의를 당부했다.
성심당 해킹 이슈는 이번만이 아니다. 지난해 5월 ‘성심당몰’ 홈페이지가 해킹돼 사이트에 접속하면 네이버 피싱 사이트로 연결됐었다. 이후 성심당 고객의 네이버 계정이 유출된 바 있다.
그런데 이번엔 인스타그램 계정이 해킹된 것. 계정관리 부실, 다중인증 미적용 등 보안 체계 점검에 문제가 있다는 게 보안전문가들의 의견이다.
최원혁 누리랩 대표는 “성심당은 보안 체계의 전반적인 점검·강화가 충분치 않았을 것”이라며 “대부분 SNS는 보안 강화 로그인을 지원한다. 하지만 성심당은 이를 사용하지 않고, 단순 아이디·패스워드로만 로그인을 설정해 사고가 난 것으로 보인다. 최소한 전체 로그인 시스템의 설정·점검이 필요하다”고 말했다.
신동휘 보안전문가는 “아이디·패스워드 노출로 보인다”며 “사용 패스워드가 동일·유사해 해커가 유출정보를 활용, 계정탈취 했을 것”이라고 예측했다. 신 전문가는 보안 강화를 위해 다중인증(MFA) 적용을 제시했다.
유동훈 시큐리온 대표는 “성심당 계정복구 전까진 성심당 DM으로 보내는 링크 클릭에 주의해야 한다”며 “해커가 추가 계정정보 탈취를 위해 피싱 메시지를 보내는 사례가 있다. DM으로 이용자에게 ‘계정 로그인 페이지로 접속하라’며 URL 클릭을 유도한다. 그러나 이는 가짜 로그인 페이지로 연결되는 피싱 사이트다. 이런식의 계정정보 탈취가 빈번한다”고 분석했다.
한승연 리니어리티 대표는 “이번 사례와 유사한 SNS 공격이 지난해 8월도 발생했다”며 “당시 500만 명 이상 팔로워를 보유한 맥도날드 인스타그램 계정이 탈취돼 스캠 코인 광고가 게시된 적 있다”고 전했다.
이어 그는 “SNS가 탈취되면 이벤트를 가장한 결제 유도, DM을 이용한 메신저 피싱 등 다양한 유형 공격이 가능해, 고객보호 위한 강력한 SNS 계정 보안이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
