보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

아직도 먹히는 사회공학적 해킹... 이번엔 정부24 악용

입력 : 2023-11-15 18:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사회공학적 기법으로 비정상적인 본인 인증 시도
이름, 생년월일, 전화번호 알면 인증 요청 발송 가능...확인하면 민감정보 유출 가능성 커


[보안뉴스 김영명 기자] 사회공학적 기법이란 사람을 속여 정보를 획득하는 기법으로, 특별한 기술이 필요하지 않지만 가장 효과적인 공격방식 중 하나다. 최근 이러한 사회공학적 기법을 이용한 비정상적인 본인 인증 시도가 발견되고 있어 사용자들의 각별한 주의가 필요하다.

▲간편인증 요청창[자료=이스트시큐리티 ESRC]


이스트시큐리티 시큐리티대응센터(이하 ESRC)는 최근 이메일 인증 과정에서 비정상적인 본인 인증 시도 정황을 포착했다. 이메일 인증이란, 인증을 요청한 자가 실제 이메일의 소유자인지 인증하는 절차로, 본인인증 절차로 많이 사용되고 있다. 하지만, 그룹 메일은 다수의 구성원으로 이뤄져 있어, 구성원 중 한 명이 실수 또는 호기심으로 인증 버튼을 눌렀을 경우 정상적인 이메일 인증이 성공된 것으로 간주된다는 점을 노리고 있다.

최근에는 온라인 정부민원 포털서비스인 정부24 홈페이지의 특정 간편인증에서 ‘정부24 간편인증’이라는 이름으로 불특정 다수에게 본인이 요청하지 않은 인증 요청이 발송돼 사용자들이 큰 혼란을 겪기도 했다. 간편인증이란 민간 인증서를 사용해 본인을 인증하는 방식으로, 공공서비스에서도 접근성을 높이기 위해 민간인증서로 접속이 가능한 간편인증 서비스를 시행하고 있기도 하다. 이번에 간편인증을 통한 비정상적인 시도가 확인된 직후, 정부24 홈페이지는 특정 간편인증 서비스를 중지해 놓기도 했다.

▲특정 간편인증 중단 공지[자료=이스트시큐리티 ESRC]


민간 인증서들은 이름, 생년월일 및 휴대전화번호 정보를 통해 소유자에게 인증을 요청하며, 이렇게 발생한 요청은 민간 앱에서 인증 요청 메시지 확인 → 간편인증(생체인증, 비밀번호 등) → 인증완료 등의 단계와 방식을 통해 본인 인증을 할 수 있다. 즉, 이름, 생년월일 및 휴대전화번호만 알고 있다면 누구든지 특정 사용자에게 인증 요청의 발송이 가능하다.

해당 인증 요청의 수신자는 인증 확인을 하지 않아도 아무런 영향이 없다. 하지만, 가족 구성원 일원의 요청으로 오인하거나 무의식적으로 수신된 인증을 확인하게 되면 공격자는 인증된 사용자 권한으로 민감 정보들을 획득할 수 있다.

ESRC 관계자는 “사람들의 심리를 이용한 사회공학적 공격 기법을 예방하기 위해서는 개개인이 주의를 기울이는 방법밖에 없다는 것을 기억해야 한다”고 말했다. 이어 “비정상적인 인증 요청을 허용하면 인증 철회가 어려울 뿐만 아니라 각종 증명서와 같은 민감정보들이 유출될 수 있다”며 “사용자는 인증 요청이 발생했을 때는 꼼꼼하게 내용을 확인하고 본인이 요청하지 않은 요청이라면 인증을 허용하기 전에 먼저 해당 서비스 제공업체에 신고하는 것을 권고한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)