전체기사 최신뉴스 GAM
KYD 디데이

[워크넷 해킹] 23만 개인정보 어떻게 털렸나…보안관리 '도마위'

기사입력 : 2023년07월07일 15:21

최종수정 : 2023년07월08일 09:35

워크넷, 중국 해커에 개인정보 23만건 유출
신종 '크리덴셜 스터핑' 수법에 속수무책 당해
범죄 악용될 가능성…금전 등 2차 피해 우려

[세종=뉴스핌] 정성훈 기자 = 고용노동부와 한국고용정보원이 운영하는 채용정보사이트 '워크넷'이 중국 해커들에 의해 뚫린 것으로 알려진 가운데, 허술한 보안관리가 '도마위'에 올랐다. 

또한 수십만명의 개인 정보가 삽시간 내에 털린 것으로 알려지면서, 이들 해커의 공격방식인 '크리덴셜 스터핑(Credential stuffing)'에 대한 관심도 커지고 있는 상황이다. 

◆ 아이디·비번 무작위 대입방식 '크리덴셜 스터핑' 수법은?

7일 고용노동부에 따르면, 고용정보원은 지난 6일 중국 등 해외 인터넷 접속 주소(IP) 28개에서 23만여건의 워크넷 무단 접속을 확인했다고 밝혔다. 이를 통해 23만명의 개인정보 유출이 확인됐다. 

이들이 사용한 해킹수법은 '크리덴셜 스터핑'이라고 하는 로그인 정보 무작위 대입 방식이다. 소위 '다크웹'으로 불리는 인터넷 암시장에서 불법으로 취득한 사용자 정보(아이디·암호)를 다른 계정에 무작위 대입해 타인의 개인정보를 빼내는 수법이다.

즉, 취득한 아이디와 비번을 여러 웹사이트나 앱에 대입해 로그인을 시도하고, 접속될 경우 그 안에 있는 타인의 개인정보 등을 유출시키는 식이다. 이는 대다수 인터넷 사용자가 여러 사이트에서 동일한 아이디와 비번을 쓴다는 점을 악용한 것이다.   

화이트해커로 활동했던 한 보안전문가는 "크리덴셜 스터핑이라고 하는 해킹수법은 과거에서부터 흔하기는 했는데 수면위로 드러난건 그리 오래되지 않았다"면서 "과거에는 공격자들이 개인 정보를 탈취해 개별 사이트에 가서 일일이 대입해 보는 방식인데 최근에는 자동화된 로봇을 만들어 무작위로 막 집어넣고 확인하는 절차를 거치는 형태로 진화하다 보니까 문제가 더 심각해진 것"이라고 설명했다. 

이어 이 보안전문가는 "이번에는 워크넷만 수면위로 드러났지만, 같은 패스워드를 동일하게 쓰는 기업들, 개인들이 많기 때문에 그런 경우에는 어쩔 수 없이 공격을 당할 수 밖에 없는 상황"이라며 "이러한 문제가 추가적으로 발생할 경우 문제가 더욱 심각해질 수 있다"고 우려를 표했다. 

김영중 고용정보원장 역시 "크리덴셜 스터핑이라고 부르는 해킹 방식을 이용하면 1초에도 수천 번, 수만 번씩 자동차 툴을 돌려 로그인을 시도할 수 있어 대응이 쉽지 않다"면서 "고용정보원의 경우 하루 평균 접속자가 100만명을 넘는데, 이 많은 트래픽에서 이상 신호를 발견하고 일일 차단하려면 많은 인력이 필요하다"고 고충을 토로했다. 

김 원장은 그러면서 "그나마 고용정보원의 경우 별도의 보안인력이 배치돼 있어 나름 신속히 대응할 수 있었지만, 그렇지 못한 기업들은 해킹을 당해도 인지 못 하는 '눈 뜨고 코베이는 상황'이 발생할 수 있다"고 설명했다. 

고용정보원이 밝힌 유출 정보는 개인이력 항목에 있는 이름, 성별, 출생년도, 주소, 일반전화, 휴대전화, 이메일, 학력, 경력, 훈련참여이력, 참여프로젝트, 주요활동 및 수상경력, 해외경험, 외국어능력, 보유자격, 증명사진, 운전가능여부, 차량소유여부로 총 18개다.

이 중 이름이나 출생년도, 휴대전화 등 유출된 정부는 보이스 피싱 등 2차 범죄에 이용될 가능성이 높다. 자칫 금전적 피해 등 2차 피해가 우려되는 상황이다. 

김 원장은 "지금 가장 걱정되는 건 2차 피해다. 빠져나간 개인정보가 만약 범죄 집단에게 넘어갈 경우 금융사기나 취업 사기 등에 활용될 가능성이 있다"면서 "이런 피해가 발생하지 않도록 피해자들에게 개별 연락을 취해 놓긴 했는데 추가적인 보완책 마련이 필요해 보인다"고 전했다. 

◆ 유일한 피해 방어 방법은 아이디·비번 주기적 변경

현시점에서 크리덴셜 스터핑 해킹을 사전에 차단할 방법은 사실상 없다. 

피해 기관이나 기업이 해킹 사실을 인지한 후 빠르게 접속을 차단하거나, 사이트 이용자가 아이디와 비번을 주기적으로 변경해 피해 가능성을 줄이는 것이 유일한 방법이다. 

보안전문가는 "하나의 IP에서 여러 계정들이 로그인을 시도한다거나 하는 패턴들은 다 동일하기에 그런 것들을 좀 더 보완할 수 있는 방법론에 발맞춰 가야 한다"면서 "해당 해킹 피해를 막을 수 없다면 피해 사실 인지 후 빠르게 접속을 끊어내는 방법이 추가로 개발돼야 할 것"이라고 설명했다. 

[출처=워크넷 홈페이지 캡처] 2023.07.07 swimming@newspim.com

고용정보원 워크넷 담당자는 피해 사실 확인 즉시 전체 이용자 비밀번호를 초기화해 추가 피해는 없다는 입장이다. 

이 담당자는 "피해 예방을 위해 주기적인 암호변경과 사이트별 다른 암호를 사용할 것을 당부드린다"며 "혹시 모를 피해를 최소화하기 위해 워크넷은 로그인 시 기존 비밀번호(PW)를 새롭게 변경해야만 로그인될 수 있도록 조치를 완료했다"고 밝혔다.  

jsh@newspim.com

[뉴스핌 베스트 기사]

사진
남편 신분증으로 대리투표자 구속 [서울=뉴스핌] 이성화 기자 = 제21대 대통령 선거 사전투표 첫날 배우자 신분증으로 대리투표를 한 선거사무원이 구속됐다. 서울중앙지법 염혜수 판사는 1일 공직선거법 위반 혐의를 받는 60대 여성 A씨에 대한 구속 전 피의자 심문(영장실질심사)을 진행한 뒤 "증거 인멸과 도망할 염려가 있다"며 구속영장을 발부했다. 제21대 대통령 선거 사전투표 첫날 배우자 신분증으로 대리 투표를 한 혐의를 받는 60대 선거사무원이 1일 구속됐다. 사진은 지난 5월 29일 한 유권자가 사전투표하는 모습. [사진=뉴스핌DB] A씨는 대선 사전투표 첫날인 지난달 29일 서울 강남구 대치2동 한 사전투표소에서 남편의 신분증으로 투표용지를 발급받아 대리 투표를 한 혐의를 받는다. 그는 약 5시간 뒤 자신의 신분증으로 다시 투표했는데 동일인이 두 번 투표하는 모습을 본 참관인의 신고로 경찰에 긴급체포됐다. 강남구 보건소 소속 계약직 공무원이던 A씨는 이번 대선에서 투표사무원으로 위촉돼 유권자에게 투표용지를 발급하는 업무를 담당한 것으로 알려졌다. 공직선거법 제248조는 성명을 사칭하거나 신분 증명서를 위조·변조해 사용하거나 기타 사위의 방법으로 투표하거나 하게 하거나 투표를 하려고 한 자는 5년 이하의 징역 또는 1000만 원 이하의 벌금에 처하도록 규정한다. 특히 선거사무에 관계있는 공무원이 사위투표 행위를 하거나 하게 한 때에는 7년 이하의 징역에 처하도록 하고 있다. 중앙선거관리위원회는 A씨를 공직선거법상 사위투표 혐의로 고발하고 사전투표 절차를 방해할 목적으로 배우자와 공모했는지 확인하기 위해 A씨 배우자에 대해서도 수사를 의뢰했다. 수서경찰서는 지난달 30일 A씨에 대한 구속영장을 신청했다. A씨는 이날 오후 1시30분께 법원에 출석하며 '대리 투표가 불법인 것을 몰랐냐'는 취재진의 질문에 "전혀 몰랐다. 순간 잘못된 선택을 했다"고 답했다. shl22@newspim.com 2025-06-01 19:37
사진
극우단체 댓글 여론 조작 의혹 [서울·청주=뉴스핌] 한태희 지혜진 기자 = 극우 단체가 댓글 조작팀을 만들어 여론을 조작했다는 의혹이 불거지자 이재명 더불어민주당 대통령 후보는 "반란 행위"라고 규정하며 국민의힘과의 연관성도 거론했다. 국민의힘은 댓글 조작팀은 김문수 대통령 후보뿐 아니라 당과 관련이 없다고 부인했다. [평택=뉴스핌] 김학선 기자 = 이재명 더불어민주당 대선 후보가 31일 경기도 평택시 배다리 생태공원 앞에서 선거 유세를 하고 있다. 2025.05.31 yooksa@newspim.com 이재명 후보는 31일 경기 평택 배다리 생태공원에서 선거 유세에서 "국민 여론을 조작하려는 것은 사실상 반란행위"라고 강하게 비판했다. 이재명 후보는 이어 "댓글을 조작하고 가짜뉴스를 쓰는 행위를 용서할 수 있나"라며 "마지막 잔뿌리까지 다 찾아내 엄중히 책임을 물어야 한다"고 강조했다. 이재명 후보는 댓글 조작팀이 국민의힘과 연관돼 있을 수 있다는 의혹을 제기했다. 이재명 후보는 "더 심각한 것은 국민의힘 관련성이 높다는 것으로 국회의원이 그 단체를 오갔다는 말도 있고 가짜 기자회견을 함께 했다는 이야기도 있다"며 "나라 뒤집어질 중범죄 행위가 나올 것 같다"고 말했다. 민주당도 거들었다. 조승래 민주당 수석대변인은 이날 충북 청주 오창프라자 앞 광장에서 긴급 브리핑을 통해 "김문수 후보와 국민의힘은 저열한 여론조작에 어디까지 가담했는지 실토하라"고 말했다. 조승래 수석대변인은 "12·3 쿠데타의 실패에도 또다시 대한민국을 집어삼키려는 극우 내란 카르텔의 여론조작을 규탄한다"면서 "김 후보와 국민의힘은 여론 조작 공작에 어디까지 가담했는지 밝혀야 하며 보도에 거명된 권성동 원내대표, 김상훈 정책위의장, 조정훈 의원은 직접 해명해야 할 것"이라고 덧붙였다. [강릉=뉴스핌] 최지환 기자 = 김문수 국민의힘 대선후보가 31일 오후 강원 강릉시 중앙시장 앞에서 열린 집중유세 현장에서 이재명 후보와 부인 김혜경 여사의 법인카드 유용 의혹을 비판하는 퍼포먼스를 하고 있다. 2025.05.31 choipix16@newspim.com 국민의힘은 반박문을 내고 일방적인 주장이라고 맞섰다. 국민의힘 중앙선대 미디어법률단은 "국민의힘과 김문수 후보는 '리박스쿨'이나 '자손군'과 아무런 관련이 없다"며 "민주당이 드루킹 댓글조작단을 운영했던 경험을 바탕으로 허위 사실로 해당 단체들과 국민의힘을 억지로 연관시키고 있는데 무리한 시도"라고 비판했다. 이어 미디어법률단은 "뉴스타파와 민주당 주장을 일방적으로 받아쓴 보도가 쏟아지고 있다"며 "유권자 민심을 왜곡할 수 있는 불공정 보도, 허위보도에 대해서는 엄중하게 법적 조치를 취하겠다"고 강조했다. 한편 온라인매체 뉴스타파는 전날 '리박스쿨'이라는 보수단체가 '댓글로 나라를 구하는 자유손가락 군대(자손군)'를 만들어 이재명·이준석 후보를 비방하고 김문수 후보를 추켜세우는 댓글을 올리고 댓글을 올린 사람에게 초등학교 늘봄학교 강사 자격증을 발급하는 여론 조작에 나섰다고 보도했다.  ace@newspim.com 2025-05-31 17:07
안다쇼핑
Top으로 이동