세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
보안 취약한 택배회사 화면변조 해킹! 3년새 디페이스 공격 급증
  |  입력 : 2017-10-12 13:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
추석 연휴기간 택배회사 인트라넷 웹페이지 화면변조 공격 발생
2015년 615건이던 홈페이지 변조, 2016년 1,056건으로 전년대비 약 72% 증가


[보안뉴스 김경애 기자] 추석 연휴기간 택배회사 인트라넷 웹페이지를 노린 해킹 공격이 발생했다. 택배회사를 노린 해커는 택배회사 인트라넷 웹페이지를 위변조하는 디페이스 해킹을 감행했다. 이에 따라 디페이스 해킹의 위험성과 함께 개인정보를 많이 취급하는 택배회사의 허술한 보안실태가 또 다시 도마 위에 오르고 있다.

▲ 디페이스 해킹을 당한 한 택배회사의 인트라넷 화면[이미지=본지 입수]


이를 본지에 제보한 악성코드 수집가 엘뤼아르는 “지난 4일 K**택배 회사 웹사이트를 타깃으로 홈페이지를 위변조한 해킹 정황이 발견됐다”며 “추석을 전후해 여러 사이트에 피해가 발생한 것으로 보여지는 만큼 택배회사 인트라넷 관리가 필요하다”고 당부했다.

이번에 디페이스 해킹이 확인된 택배회사의 경우 윈도우 서버 2008 버전을 사용하고 있으며, w.html 파일이 업로드된 것으로 분석됐다. 그동안 택배회사의 경우 개인정보보호와 허술한 웹사이트 보안을 두고 지적이 제기돼 왔다. 택배회사는 주문한 물품을 배송하기 때문에 이름, 주소, 연락처 등 많은 개인정보를 취급하고 있다. 이러한 요인은 해커의 주요 먹잇감이 된다.

이에 대해 한 보안연구원은 “홈페이지를 해킹해 악성코드를 배포하는 사례가 꾸준히 발견되고 있다”며 “택배회사의 경우 연락처, 주소 등 개인정보도 함께 보관되므로 개인정보 탈취를 위해서도 해커가 자주 공격하고 있다. 택배회사들이 보안에 좀 더 신경을 써야 한다”고 우려했다.

한 보안업체 대표는 “인터넷 환경에서 사용자의 접속이 빈번한 곳과 대량의 개인정보가 존재하는 곳이라면 해킹의 표적이 될 수밖에 없다”며 “인증 획득만으로 보안의 척도를 삼을 순 없지만 택배회사 숫자에 비해 ISMS 인증을 받은 택배회사는 2곳에 불과하다”고 지적했다. 덧붙여 그는 “개인정보의 암호화 및 웹 서버의 무결성을 위해 보안 모니터링이 매우 중요하다”고 강조했다.

이에 본지가 택배회사의 ISMS 인증취득 현황을 살펴본 결과 CJ대한통운과 한진이 ISMS 인증을 취득한 것으로 확인됐다. CJ대한통운은 인증범위가 종합 물류 온라인 서비스 운영 부분이며, 한진은 물류 서비스 운영 부분에서 취득했다.

문제는 이러한 디페이스 공격이 계속 증가하고 있다는 점이다. 국회 과학기술정보방송통신위원회 소속 신용현(국민의당) 의원이 한국인터넷진흥원(KISA)로부터 제출받은 국정감사 자료에 따르면, 2015년부터 올 7월까지 최근 3년 간 해킹을 통한 홈페이지 변조 건수는 2,759건에 달하는 것으로 확인됐다.


특히, 2015년 615건에 불과했던 홈페이지 변조 건수는 2016년 1,056건으로 전년대비 약 72% 가량 증가했으며, 올해도 7월 기준으로 이미 1,088건이 발생해 지난해 발생 건수를 넘어섰다. 이 추세대로라면 올해는 지난해 2배 수준인 2,000여건을 웃돌 것으로 예상된다.

한국인터넷진흥원은 홈페이지 변조가 일어난 경우, 홈페이지 변조된 업체에 피해사실을 통보하고, 보안조치 권고 등 기술지원을 안내하고 있는 것으로 알려졌다.

신용현 의원은 “홈페이지 변조 건수가 매해 크게 증가하고 있는 만큼 보다 철저하고 적극적인 대책 마련이 시급하다”며 “한국인터넷진흥원의 모니터링에 의한 탐지 후, 피해기관 통보 및 기술지원까지는 짧게는 2일에서 길게는 일주일 이상 걸린다”며 “피해대응 시간을 단축시킬 필요가 있다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)