포털마다 동일한 비밀번호 위험! 다음 측 “22일 오전 다중접속 인증절차 강화할 것”

[보안뉴스 오병민] 다음커뮤니케이션(이하 다음)에서 서비스하고 있는 인기 스마트폰 메신저인 마이피플을 노린 메신저피싱이 증가하고 있어 주의가 요구되고 있다.

작년에 나타난 네이트와 넥슨 등 대형 개인정보 유출 해킹사고에서 유출된 아이디와 패스워드 등 계정 정보를 동일하게 쓰고 있는 이용자를 대상으로 메신저피싱과 보이스 피싱 등 유출된 개인정보를 이용한 2차 피해가 증가하고 있다.

최근 증가하고 있는 마이피플 메신저피싱도 이런 2차 피해의 한 종류다. 마이피플 메신저는 다음 커뮤니케이션 포털 계정과 연계돼 이용할 수 있어 다음 포털 계정 정보가 유출될 경우 메신저피싱에 악용될 수 있다.
 

▲마이피플 메신저피싱 피해자 스마트폰 화면. 빨간색 대화가 실제 이용자. 검은색 대화는 공격자. 이용자와 공격자가 동시에 접속해 대화를 하고 있다. ⓒ보안뉴스

공격자들은 유출된 개인정보로 도용한 아이디로 접속해 메신저에 연결된 친구나 선후배에게 말을 걸어 ‘급하게 돈이 필요하다’며 돈을 보내달라고 요구한다. 마이피플은 스마트폰에서 SMS 문자메시지와 같이 메시지가 전달되기 때문에 다른 사람이라 의심하지 않고 속을 가능성이 높다.

특히, 마이피플은 PC와 스마트폰에서 모두 메신저를 이용할 수 있지만, PC와 스마트폰에서 동시에 접속하는 경우 다중 접속에 대한 안내알람 기능이 없고, ‘PC버전 접속시 모바일버전에서 알림 받지 않기’ 기능이 있어 공격자가 접속해 메시지를 보내도 당사자는 그 사실을 알지 못하는 경우가 있다. 이 같은 기능은 편의성을 높이기 위해 추가한 기능이지만 오히려 보안에 취약한 셈이 됐다.

메신저피싱 대책으로 공격자가 금전 요구할 때 자주 발견되는 형태 및 특정 문구를 패턴화해 해당 메시지를 받는 이용자들에게 피싱 주의 안내메시지와 함께 수사기관에 신고할 수 있는 기능을 다음 측이 마이피플에 적용했지만 이 또한 무용지물이었다.

다음 측이 적용한 패턴을 파악한 공격자들은 모든 글자를 붙여 쓰거나 금액과 같은 경우 숫자가 아닌 영문자를 혼용하면서 패턴을 피해가고 있기 때문이다.

이에 따라 다음 측은 “앞으로 공격자의 패턴 우회까지 고려해 패턴 분석을 강화하고 하나의 계정으로 여러 기기를 통해 접속하는 경우 인증 절차를 강화하여 마이피플을 악용할 수 없도록 막는 조치를 내일(22일) 오전 적용할 계획”이라고 밝혔다.

이 같은 메신저피싱 피해는 대부분의 사용자가 다수의 포털 사이트에서 아이디와 비밀번호를 같이 쓰고 있어 피해는 확산되고 있다.
 
보안업계 한 전문가는 “옥션과 네이트, 넥슨 등 대형 개인정보 유출사고에서 유출된 아이디와 비밀번호는 이미 지하시장에서 저렴하게 팔리고 있다”면서 “아직도 다른 포털사이트와 다음의 아이디와 비밀번호를 같이 쓰는 이용자들은 메신저피싱 범죄자들의 표적이 되고 있다”고 말했다.

▲마이피플 메신저피싱 피해자 계정의 접속로그. 실제 사용자가 접속한 것보다 공격자들의 접속이 더 많다. ⓒ보안뉴스

더욱 문제가 되는 것은 각 포털사이트에서 적용하고 있는 '이메일 비밀번호 찾기' 기능으로 하나의 계정정보만 유출됐어도 다른 계정의 다른 비밀번호를 알 수 있다는 점이다.
따라서 보안전문가들은 모든 계정의 비밀번호를 동시에 바꿔야만 개인정보 유출로 인한 피해를 줄일 수 있다고 강조한다.

다음커뮤니케이션즈 측도 마이피플 이용자들에게 비밀번호를 변경할 것을 당부하고 있다. 더불어 추후에 이용자들에게 보안과 관련된 내용들을 알림기능을 통해 미리 통보해 주는 등 피싱이나 추가적인 피해를 최소화할 수 있도록 노력한다는 방침이다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>