[워크넷 해킹] 23만 개인정보 어떻게 털렸나…보안관리 '도마위'

기사입력 : 2023년07월07일 15:21

최종수정 : 2023년07월08일 09:35

워크넷, 중국 해커에 개인정보 23만건 유출
신종 '크리덴셜 스터핑' 수법에 속수무책 당해
범죄 악용될 가능성…금전 등 2차 피해 우려

[세종=뉴스핌] 정성훈 기자 = 고용노동부와 한국고용정보원이 운영하는 채용정보사이트 '워크넷'이 중국 해커들에 의해 뚫린 것으로 알려진 가운데, 허술한 보안관리가 '도마위'에 올랐다.

또한 수십만명의 개인 정보가 삽시간 내에 털린 것으로 알려지면서, 이들 해커의 공격방식인 '크리덴셜 스터핑(Credential stuffing)'에 대한 관심도 커지고 있는 상황이다.

◆ 아이디·비번 무작위 대입방식 '크리덴셜 스터핑' 수법은?

7일 고용노동부에 따르면, 고용정보원은 지난 6일 중국 등 해외 인터넷 접속 주소(IP) 28개에서 23만여건의 워크넷 무단 접속을 확인했다고 밝혔다. 이를 통해 23만명의 개인정보 유출이 확인됐다.

이들이 사용한 해킹수법은 '크리덴셜 스터핑'이라고 하는 로그인 정보 무작위 대입 방식이다. 소위 '다크웹'으로 불리는 인터넷 암시장에서 불법으로 취득한 사용자 정보(아이디·암호)를 다른 계정에 무작위 대입해 타인의 개인정보를 빼내는 수법이다.

즉, 취득한 아이디와 비번을 여러 웹사이트나 앱에 대입해 로그인을 시도하고, 접속될 경우 그 안에 있는 타인의 개인정보 등을 유출시키는 식이다. 이는 대다수 인터넷 사용자가 여러 사이트에서 동일한 아이디와 비번을 쓴다는 점을 악용한 것이다.

화이트해커로 활동했던 한 보안전문가는 "크리덴셜 스터핑이라고 하는 해킹수법은 과거에서부터 흔하기는 했는데 수면위로 드러난건 그리 오래되지 않았다"면서 "과거에는 공격자들이 개인 정보를 탈취해 개별 사이트에 가서 일일이 대입해 보는 방식인데 최근에는 자동화된 로봇을 만들어 무작위로 막 집어넣고 확인하는 절차를 거치는 형태로 진화하다 보니까 문제가 더 심각해진 것"이라고 설명했다.

이어 이 보안전문가는 "이번에는 워크넷만 수면위로 드러났지만, 같은 패스워드를 동일하게 쓰는 기업들, 개인들이 많기 때문에 그런 경우에는 어쩔 수 없이 공격을 당할 수 밖에 없는 상황"이라며 "이러한 문제가 추가적으로 발생할 경우 문제가 더욱 심각해질 수 있다"고 우려를 표했다.

김영중 고용정보원장 역시 "크리덴셜 스터핑이라고 부르는 해킹 방식을 이용하면 1초에도 수천 번, 수만 번씩 자동차 툴을 돌려 로그인을 시도할 수 있어 대응이 쉽지 않다"면서 "고용정보원의 경우 하루 평균 접속자가 100만명을 넘는데, 이 많은 트래픽에서 이상 신호를 발견하고 일일 차단하려면 많은 인력이 필요하다"고 고충을 토로했다.

김 원장은 그러면서 "그나마 고용정보원의 경우 별도의 보안인력이 배치돼 있어 나름 신속히 대응할 수 있었지만, 그렇지 못한 기업들은 해킹을 당해도 인지 못 하는 '눈 뜨고 코베이는 상황'이 발생할 수 있다"고 설명했다.

고용정보원이 밝힌 유출 정보는 개인이력 항목에 있는 이름, 성별, 출생년도, 주소, 일반전화, 휴대전화, 이메일, 학력, 경력, 훈련참여이력, 참여프로젝트, 주요활동 및 수상경력, 해외경험, 외국어능력, 보유자격, 증명사진, 운전가능여부, 차량소유여부로 총 18개다.

이 중 이름이나 출생년도, 휴대전화 등 유출된 정부는 보이스 피싱 등 2차 범죄에 이용될 가능성이 높다. 자칫 금전적 피해 등 2차 피해가 우려되는 상황이다.

김 원장은 "지금 가장 걱정되는 건 2차 피해다. 빠져나간 개인정보가 만약 범죄 집단에게 넘어갈 경우 금융사기나 취업 사기 등에 활용될 가능성이 있다"면서 "이런 피해가 발생하지 않도록 피해자들에게 개별 연락을 취해 놓긴 했는데 추가적인 보완책 마련이 필요해 보인다"고 전했다.

◆ 유일한 피해 방어 방법은 아이디·비번 주기적 변경

현시점에서 크리덴셜 스터핑 해킹을 사전에 차단할 방법은 사실상 없다.

피해 기관이나 기업이 해킹 사실을 인지한 후 빠르게 접속을 차단하거나, 사이트 이용자가 아이디와 비번을 주기적으로 변경해 피해 가능성을 줄이는 것이 유일한 방법이다.

보안전문가는 "하나의 IP에서 여러 계정들이 로그인을 시도한다거나 하는 패턴들은 다 동일하기에 그런 것들을 좀 더 보완할 수 있는 방법론에 발맞춰 가야 한다"면서 "해당 해킹 피해를 막을 수 없다면 피해 사실 인지 후 빠르게 접속을 끊어내는 방법이 추가로 개발돼야 할 것"이라고 설명했다.

[출처=워크넷 홈페이지 캡처] 2023.07.07 swimming@newspim.com

고용정보원 워크넷 담당자는 피해 사실 확인 즉시 전체 이용자 비밀번호를 초기화해 추가 피해는 없다는 입장이다.

이 담당자는 "피해 예방을 위해 주기적인 암호변경과 사이트별 다른 암호를 사용할 것을 당부드린다"며 "혹시 모를 피해를 최소화하기 위해 워크넷은 로그인 시 기존 비밀번호(PW)를 새롭게 변경해야만 로그인될 수 있도록 조치를 완료했다"고 밝혔다.

jsh@newspim.com

[관련기사]

GAM - 해외주식 투자 도우미

MZ세대 사로잡은 브링커② 성장과 도전의 갈림길

[홍콩 대장주] 메이퇀 ③ 신성장 동력의 '폭발적 성장'

라씨로 - 국내주식 투자 도우미

제이엘케이, '뇌졸중 플랫폼' 연구용 구독 모델 사업 추진..."신규 시장 확대"

HLB글로벌 "자회사 '바이바이오' 건기식 등 신사업 추진...B2C 사업 확장"

[뉴스핌 베스트 기사]

사진

"딥시크 부당하게 데이터 수집했을 수도" [뉴욕=뉴스핌] 김민정 특파원 = 미국 인공지능(AI) 스타트업 오픈AI는 중국 딥시크(DeepSeek)가 부당하게 회사의 데이터를 수집했을 가능성을 제기했다. 29일(현지시간) 뉴욕타임스(NYT)에 따르면 오픈AI는 딥시크가 오픈AI 기술로 생성한 데이터를 사용해 자체 시스템에 비슷한 기술을 훈련했을 가능성이 있다고 밝혔다. AI 업계에서 훈련에 사용되는 디스틸레이션(distillation) 기법은 흔하지만, 오픈AI는 서비스 약관에 같은 시장에서 경쟁할 기술을 만들어내기 위해 오픈AI의 시스템이 생성해 낸 데이터를 사용하지 못한다고 명시하고 있다. 오픈AI의 리즈 부르주아 대변인은 NYT에 보내 이메일에서 "우리는 중국의 조직들이 미국 AI 모델을 복제하기 위해 디스틸레이션으로 알려진 것을 포함한 방법을 사용해 활발히 작업 중이라는 사실을 알고 있다"고 설명했다. 그러면서 "우리는 그것을 인지하고 있으며 딥시크가 부적절하게 우리 모델을 디스틸레이션 했다는 징조를 검토하고 있고 더 많은 것을 알게 되면 공유할 것"이라고 덧붙였다. 딥시크는 지난주 R1 모델을 내놓으며 전 세계 AI 혁신을 주도하고 있다고 믿어온 실리콘밸리를 충격에 빠뜨렸다. 딥시크는 R1 모델 개발에 단 2개월의 시간과 600만 달러 미만의 자금이 소요됐다고 밝히며 그동안 실리콘밸리의 천문학적인 투자를 무색하게 했다. 도널드 트럼프 미국 대통령은 딥시크의 개발이 긍정적이라면서도 미국 기업들에 경종을 울렸다고 평가했다. 이날 상원 인사청문회에 나선 하워드 러트닉 상무장관 지명자는 딥시크가 도난당한 미국 기술과 첨단 미국 반도체를 활용해 저렴하게 강력한 AI 모델을 개발할 수 있었다면서 미국이 AI 분야에서 리더십을 유지하기 위해 사이버 보안에 대한 미국 표준과 유사하게 글로벌 표준을 창출하기 위한 모델을 설정해야 한다고 강조했다. 오픈AI 챗GPT와 딥시크.[사진=로이터 뉴스핌] 2025.01.28 mj72284@newspim.com mj72284@newspim.com 2025-01-30 03:07

사진

여야, 설 이후 전력망법 등 입법 본격화 [서울=뉴스핌] 김가희 기자 = 설 연휴 이후 국회의 민생 행보에 관심이 집중된다. 우선 여야는 국가기간전력망 확충 특별법을 포함한 주요 에너지·산업 법안의 조속한 처리를 위해 협상에 들어갈 예정이다. '12·29 여객기 참사 진상규명과 피해자 및 유가족 피해 구제를 위한 특별위원회(여객기 참사 특위)'와 국정협의회 등도 본격 가동될 전망이다. [서울=뉴스핌] 정일구 기자 = 다사다난했던 2024년 갑진년(甲辰年)이 저물고 있다. '푸른 용의 해' 우리는 더 높게 비상하는 한 해가 되길 바랐지만 현실은 녹록지 않았다. 4·10 총선 결과로 22대 국회의 '여소야대' 국면부터 이상기후로 인한 농산물 등 물가 상승까지 서민들의 부담은 가중됐다. 초유의 12·3 비상계엄 사태와 이어진 윤석열 대통령 탄핵소추안 가결, 무안공항 여객기 참사까지 쉴 틈 없는 아픔의 연속이었다. 다가오는 2025년 을사년(乙巳年)은 푸른 뱀의 기운으로 우리 모두가 꺾이지 않고 희망의 한 해가 되길 기대해 본다. 사진은 서울 여의도 서울달에서 바라본 국회 모습. 2024.12.31 mironj19@newspim.com 29일 정치권에 따르면 여야 정책위의장은 지난 22일 국회에서 만나 '첨단산업 에너지 3법(국가기간전력망 확충 특별법·해상풍력발전 보급 촉진 특별법·고준위 방사성 폐기물 관리에 관한 특별법)' 처리에 공감대를 형성했다. 김상훈 국민의힘 정책위의장은 회동을 마친 뒤 "지난해 11월에 합의했던 법안이 있다"며 "처리하기로 합의했던 법안 63건 중 본회의에서 통과된 게 24건이고, 나머지 법안 39건은 아마 더불어민주당도 합의 처리하는 데 특별한 그것(이견)은 없는 것 같다"고 밝혔다. 국가기간전력망 확충 특별법은 정부 차원의 개입으로 전력망 구축 사업 인허가 절차를 대폭 개선하는 것을 골자로 한다. 해상풍력 특별법은 민간사업자가 주도하던 해상풍력 사업을 정부 주도 방식으로 전환하는 내용이다. 고준위 방폐장법은 원자력 발전 과정에서 발생하는 고준위 폐기물(사용후핵연료)을 영구적으로 처리하기 위한 방안을 담고 있다. 다만 에너지 3법과 함께 '미래 먹거리 4법'으로 불리는 반도체산업 특별법은 '주52시간 근무제 예외(화이트칼라 이그젬션) 조항'을 두고 추가 논의가 필요한 상황이다. 국민의힘은 '반도체 산업 경쟁력 확보를 위해서는 예외 조항이 필요하다'는 입장이지만, 민주당은 다음 달 초 토론회를 열고 최종 입장을 결정할 예정이다. 지난해 12월 29일 무안국제공항에서 일어난 제주항공 여객기 참사 관련 국회 특별위원회도 활동을 이어간다. 여객기 참사 특위는 오는 2월 6일 전체회의를 열고 국토교통부·행정안전부·보건복지부 등을 상대로 현안 질의를 실시할 계획이다. 이 밖에도 여야는 국정협의회 가동을 위한 논의에 나설 것으로 관측된다. 12·3 비상계엄 사태 후 국정 혼란 수습을 위해 마련된 국정협의회는 지난 9일 첫 실무회의를 열고 참석자 및 공식 명칭 등을 확정했다. 협의회 참석자는 최상목 대통령 권한대행 부총리 겸 기획재정부 장관, 우원식 국회의장, 권영세 국민의힘 비상대책위원장, 이재명 민주당 대표 등 4명이다. 그러나 여야가 추가경정예산(추경) 편성 등을 두고 이견을 좁히지 못하며 협의회는 사실상 좌초된 상태다. 양당 정책위의장은 지난 22일 국정협의회 실무 협의를 진행했으나, 성과를 얻지 못했다. 여야가 설 이후 본격적인 민생 행보에 나설 경우 협의회 가동에도 속도가 붙을 전망이다. [서울=뉴스핌] 윤창빈 기자 = 9일 오전 서울 여의도 국회에서 국회-정부-국정협의체 실무협의가 열리고 있다. 이날 실무협의에는 김상훈 국민의힘 정책위의장, 진성준 더불어민주당 정책위의장, 방기선 국무조정실장, 김범석 기획재정부 1차관 등이 참석했다. 2025.01.09 pangbin@newspim.com rkgml925@newspim.com 2025-01-29 07:00