AD
[앵커]
재력가들을 대상으로 한 이번 해킹 범죄의 가장 큰 특성은 우리가 매일같이 사용하는 비대면 본인인증 체계를 무력화했다는 건데요.
금융기관과 알뜰폰 사업자, 정부와 공공기관 사이트까지, 곳곳의 허점이 결국 수백억대 탈취 사건으로 이어졌습니다.
김이영 기자가 보도합니다.
[기자]
비대면 금융 서비스를 이용하려면 신분증이나 계좌, 휴대전화 인증 등 7가지 방식 가운데 2가지 이상 인증을 해야 합니다.
그러나 258명의 개인정보가 털린 이번 사건에서는 이 인증 체계가 대부분 뚫렸습니다.
해킹 조직은 먼저 주요 인증 수단인 피해자 명의 휴대전화를 확보하기 위해 이동통신 3사에 비해 비교적 보안이 약한 알뜰폰 사업자를 노렸습니다.
알뜰폰을 개통하려면 보통 이름과 주민등록번호를 확인한 뒤 신분증 발급 일자 등 정보를 인증하고, 전자서명 인증 사업자를 통한 간편 인증까지 통과해야 합니다.
그런데 일당은 사전에 확보한 개인 정보와 이를 바탕으로 위조한 신분증을 활용하고, 간편 인증 절차 역시 해킹을 통해 뚫었습니다.
[오규식 / 서울경찰청 사이버수사대 2대장 : 인증 통과문은 '나해커' 명의로 받았음에도 불구하고 '홍길동' 명의로 변조해서 마치 인증이 통과한 것처럼 이렇게 보안 취약점을 이용해서 유심을 무단으로 개통했습니다.]
피해자 명의 휴대전화를 확보한 해킹 조직은 비대면 인증을 통해 금융계좌에 접근하는 데 필요한 다른 개인정보도 탈취했습니다.
입력 오류 횟수에 제한이 없는 보안이 취약한 웹사이트를 찾아 0000부터 9999까지 입력해 피해자 주민등록번호나 계좌 비밀번호 등을 알아냈고,
주요 본인 인증 수단인 공인인증서나 아이핀도 해킹을 통해 새로 발급받았습니다.
이 과정에서 신분증 인증 시 일부 특정 정보만 일치하면 된다는 점을 노려 엉성하게 위조한 신분증으로 인증 절차를 통과하기도 했습니다.
앞서 YTN 보도를 통해 위변조 신분증으로 본인 확인 절차를 통과한 경우가 알려져 논란이 됐는데, 또 다른 범행에서도 이 같은 사례가 확인된 겁니다.
[염흥열 / 순천향대학교 정보보호학과 명예교수 : 정보 기술들이 자꾸 발달하고 있고…. (지금의) 비대면 본인 확인 방법에 대한 취약점들을 계속 부단히 선제적으로 찾아서 대응할 필요성이 있다….]
경찰은 수사 과정에서 발견한 24개 보안 취약점을 각 기관과 기업에 통보해 개선했다고 밝혔습니다.
하지만, 또 다른 해킹 사건을 막기 위해 개인정보를 다루는 웹사이트 보안 강화는 물론 비대면 인증 체계 강화 대책이 시급해 보입니다.
YTN 김이영입니다.
영상기자: 진수환
영상편집: 양영운
디자인: 정은옥
YTN 김이영 (kimyy0820@ytn.co.kr)
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
재력가들을 대상으로 한 이번 해킹 범죄의 가장 큰 특성은 우리가 매일같이 사용하는 비대면 본인인증 체계를 무력화했다는 건데요.
금융기관과 알뜰폰 사업자, 정부와 공공기관 사이트까지, 곳곳의 허점이 결국 수백억대 탈취 사건으로 이어졌습니다.
김이영 기자가 보도합니다.
[기자]
비대면 금융 서비스를 이용하려면 신분증이나 계좌, 휴대전화 인증 등 7가지 방식 가운데 2가지 이상 인증을 해야 합니다.
그러나 258명의 개인정보가 털린 이번 사건에서는 이 인증 체계가 대부분 뚫렸습니다.
해킹 조직은 먼저 주요 인증 수단인 피해자 명의 휴대전화를 확보하기 위해 이동통신 3사에 비해 비교적 보안이 약한 알뜰폰 사업자를 노렸습니다.
알뜰폰을 개통하려면 보통 이름과 주민등록번호를 확인한 뒤 신분증 발급 일자 등 정보를 인증하고, 전자서명 인증 사업자를 통한 간편 인증까지 통과해야 합니다.
그런데 일당은 사전에 확보한 개인 정보와 이를 바탕으로 위조한 신분증을 활용하고, 간편 인증 절차 역시 해킹을 통해 뚫었습니다.
[오규식 / 서울경찰청 사이버수사대 2대장 : 인증 통과문은 '나해커' 명의로 받았음에도 불구하고 '홍길동' 명의로 변조해서 마치 인증이 통과한 것처럼 이렇게 보안 취약점을 이용해서 유심을 무단으로 개통했습니다.]
피해자 명의 휴대전화를 확보한 해킹 조직은 비대면 인증을 통해 금융계좌에 접근하는 데 필요한 다른 개인정보도 탈취했습니다.
입력 오류 횟수에 제한이 없는 보안이 취약한 웹사이트를 찾아 0000부터 9999까지 입력해 피해자 주민등록번호나 계좌 비밀번호 등을 알아냈고,
주요 본인 인증 수단인 공인인증서나 아이핀도 해킹을 통해 새로 발급받았습니다.
이 과정에서 신분증 인증 시 일부 특정 정보만 일치하면 된다는 점을 노려 엉성하게 위조한 신분증으로 인증 절차를 통과하기도 했습니다.
앞서 YTN 보도를 통해 위변조 신분증으로 본인 확인 절차를 통과한 경우가 알려져 논란이 됐는데, 또 다른 범행에서도 이 같은 사례가 확인된 겁니다.
[염흥열 / 순천향대학교 정보보호학과 명예교수 : 정보 기술들이 자꾸 발달하고 있고…. (지금의) 비대면 본인 확인 방법에 대한 취약점들을 계속 부단히 선제적으로 찾아서 대응할 필요성이 있다….]
경찰은 수사 과정에서 발견한 24개 보안 취약점을 각 기관과 기업에 통보해 개선했다고 밝혔습니다.
하지만, 또 다른 해킹 사건을 막기 위해 개인정보를 다루는 웹사이트 보안 강화는 물론 비대면 인증 체계 강화 대책이 시급해 보입니다.
YTN 김이영입니다.
영상기자: 진수환
영상편집: 양영운
디자인: 정은옥
YTN 김이영 (kimyy0820@ytn.co.kr)
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]