[사진=게티이미지뱅크]
최근 문화체육관광부가 운영 중인 대한민국 정부 공식 유튜브 채널과 문체부 산하기관인 한국관광공사, 국립현대미술관의 공식 유튜브 채널이 잇달아 해킹을 당했다. 공격자는 계정에 무단으로 접속한 뒤 채널 이름을 '스페이스X 인베스트'로 바꾸고 일론 머스크의 암호화폐 관련 인터뷰 내용을 게시했다.
앞서 국내 주요 방송사 역시 유사한 공격으로 인해 채널이 일시적으로 차단되는 일이 발생했다. 이러한 유형의 영상은 유튜브 규정 위반에 해당하기 때문에 채널 운영이 중단된 것.
7일 보안업계에 따르면 대형 유튜브 채널을 해킹해 암호화폐를 홍보하는 공격이 늘고 있다. 여기서 홍보되는 암호화폐나 관련 서비스는 대부분은 사기며, 정상 서비스인 것처럼 위장하기 위해 유명 브랜드 이름이나 유명인 영상을 도용하는 사례가 많다.
구글 위협 분석 그룹(TAG, Threat Analysis Group)이 지난해 10월 발간한 보고서에 따르면 일부 해킹 조직이 유튜브 채널과 콘텐츠 협업을 미끼로 접근해 계정을 탈취하고, 해당 계정을 다크웹 등을 통해 판매하는 것으로 나타났다. 판매된 계정은 암호화폐 관련 사기(스캠) 등에 활용된다.
◆2단계 인증, 계정 보호 위한 주요 수단으로 꼽혀
한국인터넷진흥원(KISA)은 최근 기업과 기관의 사회관계망 서비스(SNS) 계정 해킹 위협이 증가함에 따라 관리자의 사전 보안 점검과 대비가 필요하다고 밝혔다.
KISA는 예방조치를 위해 채널 관리자 계정 수를 최소화할 것을 권고했다. 또 SNS 계정 ID와 비밀번호는 업무 시스템 등 다른 곳에서 사용하는 것과 중복되지 않도록 해야 한다. 영상을 올리는 기기 역시 지정해, 타 업무에 활용하지 않아야 악성코드 감염 등으로 인한 정보유출을 예방할 수 있다.
특히 2단계 인증이 피해 예방을 위한 중요한 수단으로 꼽힌다. 2단계 인증은 ID와 비밀번호를 통한 로그인 방식에 추가적인 인증 수단을 더해 보안을 강화하는 방식이다. 자동응답전화(ARS), 보안카드, 일회용 비밀번호(OTP), 이메일, 문자메시지 등 사전에 등록한 방법으로 한 단계 더 인증을 거쳐 본인을 확인한다.
비밀번호가 노출되더라도 2단계 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있다. 또한 사용자 입장에서도 자신이 로그인을 시도하지 않았을 때 2차 인증과 관련한 메시지를 받을 경우 자신의 비밀번호가 노출됐다는 사실을 인지할 수 있다. 이런 이유에서 많은 인터넷 서비스 기업이 2단계 인증 기능을 갖춰 사용자를 보호하고 있다.
최근 2단계 인증 수단으로 주로 쓰이는 방식은 스마트폰 애플리케이션이다. 여러 인터넷 서비스에 로그인 시 네이버 앱이나 카카오톡 등을 이용해 한번 더 인증하는 형태다. 특히 네이버나 카카오 ID로 로그인하는 소셜 로그인 기능을 통해 여러 인터넷 서비스를 흔히 사용하는 앱으로 인증할 수 있기 때문에 편의성이 높아졌다.
이메일을 통한 인증의 인증번호를 확인하기 위해 메일 서비스에 로그인해야 하기 때문에 번거로운 반면, 이미 로그인된 스마트폰 애플리케이션은 실행만 하면 돼 2단계 인증이 간편해졌다. 네이버의 경우 QR 로그인 기능을 도입하면서 스마트폰만 있으면 ID와 비밀번호를 입력하는 과정을 단축하고, 키로깅(키보드 입력 정보를 탈취하는 해킹 기법) 등으로 인한 피해도 예방할 수 있다.
◆2단계 인증도 취약점 존재...복합적인 대책 마련으로 제로트러스트 구현 필요
다만 보안 업계에서는 2단계 인증 역시 완전한 대비책은 아니라고 강조한다. 인증 수단이 타인에게 노출될 경우 보안이 무력화되기 때문이다.
SK쉴더스에 따르면 국내외 주요 대기업을 공격한 해킹 조직 랩서스는 2단계 인증의 보안 허점을 악용했다. 피해를 입은 기업 중 일부는 이메일을 통해 2차 인증 코드를 받는 방식을 채택했는데, 랩서스는 계정 정보뿐만 아니라 사용자 이메일까지 해킹해 인증 코드를 탈취했다.
앞서 미국 게임 개발사 일렉트로닉 아츠(EA)도 문자 메시지로 OTP를 전송하는 2차 인증을 구성했다. 하지만 사이버 공격자는 해당 직원인 것처럼 속여 IT 부서에 연락하고, 전화기를 잃어버렸으니 다른 휴대전화 문자메시지로 비밀번호를 보내달라고 요청해 보안을 침해한 사례도 있다.
때문에 2단계 인증은 단계가 아닌 인증 수단을 늘리는 것이 아닌 인증 수단을 다양화해야 한다고 지적한다. 쉽게 복제가 어려운 특징기반 인증(생체인증)을 2단계 인증에 적용할 수도 있다.
과학기술정보통신부는 기업이 이 같은 침해사고에 대응하기 위해 2단계 인증뿐만 아니라 주요 시스템에 접속할 수 있는 IP를 제한하고, 이상행동 탐지 시스템 등을 도입해 접속 시간대나 지역이 다르면 차단하는 조치가 필요하다고 권고했다.
앞서 국내 주요 방송사 역시 유사한 공격으로 인해 채널이 일시적으로 차단되는 일이 발생했다. 이러한 유형의 영상은 유튜브 규정 위반에 해당하기 때문에 채널 운영이 중단된 것.
7일 보안업계에 따르면 대형 유튜브 채널을 해킹해 암호화폐를 홍보하는 공격이 늘고 있다. 여기서 홍보되는 암호화폐나 관련 서비스는 대부분은 사기며, 정상 서비스인 것처럼 위장하기 위해 유명 브랜드 이름이나 유명인 영상을 도용하는 사례가 많다.
구글 위협 분석 그룹(TAG, Threat Analysis Group)이 지난해 10월 발간한 보고서에 따르면 일부 해킹 조직이 유튜브 채널과 콘텐츠 협업을 미끼로 접근해 계정을 탈취하고, 해당 계정을 다크웹 등을 통해 판매하는 것으로 나타났다. 판매된 계정은 암호화폐 관련 사기(스캠) 등에 활용된다.
◆2단계 인증, 계정 보호 위한 주요 수단으로 꼽혀
한국인터넷진흥원(KISA)은 최근 기업과 기관의 사회관계망 서비스(SNS) 계정 해킹 위협이 증가함에 따라 관리자의 사전 보안 점검과 대비가 필요하다고 밝혔다.
KISA는 예방조치를 위해 채널 관리자 계정 수를 최소화할 것을 권고했다. 또 SNS 계정 ID와 비밀번호는 업무 시스템 등 다른 곳에서 사용하는 것과 중복되지 않도록 해야 한다. 영상을 올리는 기기 역시 지정해, 타 업무에 활용하지 않아야 악성코드 감염 등으로 인한 정보유출을 예방할 수 있다.
특히 2단계 인증이 피해 예방을 위한 중요한 수단으로 꼽힌다. 2단계 인증은 ID와 비밀번호를 통한 로그인 방식에 추가적인 인증 수단을 더해 보안을 강화하는 방식이다. 자동응답전화(ARS), 보안카드, 일회용 비밀번호(OTP), 이메일, 문자메시지 등 사전에 등록한 방법으로 한 단계 더 인증을 거쳐 본인을 확인한다.
비밀번호가 노출되더라도 2단계 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있다. 또한 사용자 입장에서도 자신이 로그인을 시도하지 않았을 때 2차 인증과 관련한 메시지를 받을 경우 자신의 비밀번호가 노출됐다는 사실을 인지할 수 있다. 이런 이유에서 많은 인터넷 서비스 기업이 2단계 인증 기능을 갖춰 사용자를 보호하고 있다.
최근 2단계 인증 수단으로 주로 쓰이는 방식은 스마트폰 애플리케이션이다. 여러 인터넷 서비스에 로그인 시 네이버 앱이나 카카오톡 등을 이용해 한번 더 인증하는 형태다. 특히 네이버나 카카오 ID로 로그인하는 소셜 로그인 기능을 통해 여러 인터넷 서비스를 흔히 사용하는 앱으로 인증할 수 있기 때문에 편의성이 높아졌다.
이메일을 통한 인증의 인증번호를 확인하기 위해 메일 서비스에 로그인해야 하기 때문에 번거로운 반면, 이미 로그인된 스마트폰 애플리케이션은 실행만 하면 돼 2단계 인증이 간편해졌다. 네이버의 경우 QR 로그인 기능을 도입하면서 스마트폰만 있으면 ID와 비밀번호를 입력하는 과정을 단축하고, 키로깅(키보드 입력 정보를 탈취하는 해킹 기법) 등으로 인한 피해도 예방할 수 있다.
◆2단계 인증도 취약점 존재...복합적인 대책 마련으로 제로트러스트 구현 필요
다만 보안 업계에서는 2단계 인증 역시 완전한 대비책은 아니라고 강조한다. 인증 수단이 타인에게 노출될 경우 보안이 무력화되기 때문이다.
SK쉴더스에 따르면 국내외 주요 대기업을 공격한 해킹 조직 랩서스는 2단계 인증의 보안 허점을 악용했다. 피해를 입은 기업 중 일부는 이메일을 통해 2차 인증 코드를 받는 방식을 채택했는데, 랩서스는 계정 정보뿐만 아니라 사용자 이메일까지 해킹해 인증 코드를 탈취했다.
앞서 미국 게임 개발사 일렉트로닉 아츠(EA)도 문자 메시지로 OTP를 전송하는 2차 인증을 구성했다. 하지만 사이버 공격자는 해당 직원인 것처럼 속여 IT 부서에 연락하고, 전화기를 잃어버렸으니 다른 휴대전화 문자메시지로 비밀번호를 보내달라고 요청해 보안을 침해한 사례도 있다.
때문에 2단계 인증은 단계가 아닌 인증 수단을 늘리는 것이 아닌 인증 수단을 다양화해야 한다고 지적한다. 쉽게 복제가 어려운 특징기반 인증(생체인증)을 2단계 인증에 적용할 수도 있다.
과학기술정보통신부는 기업이 이 같은 침해사고에 대응하기 위해 2단계 인증뿐만 아니라 주요 시스템에 접속할 수 있는 IP를 제한하고, 이상행동 탐지 시스템 등을 도입해 접속 시간대나 지역이 다르면 차단하는 조치가 필요하다고 권고했다.
