[김국배기자] 국내 웹하드 업체 등을 대상으로 유출된 개인정보를 검증하는 시도가 발견돼 추가 해킹 피해에 대한 우려가 제기되고 있다.
9일 한 웹하드 업체에 따르면 지난 3월 23일을 전후하여 중국 지역 등의 IP 계정을 타고 약 10만 개의 휴대전화 번호를 이용한 10만 번의 결제 시도가 발생한 것으로 파악됐다. 업체 관계자에 따르면 비슷한 시기 다른 게임 사이트와 성인사이트 등 2곳에서도 같은 유형의 사건이 일어났다는 것.
이는 해커가 기존에 확보하고 있는 개인정보의 정확성을 확인해 스미싱 등의 범죄 대상을 확정하기 위한 시도로 추측되고 있다. 휴대폰 결제 시 인증 번호를 담은 문자 메시지를 발송하며 개인정보의 유효성을 가려내면 해킹 공격의 성공 확률을 높일 수 있다는 이유에서다.
현재의 전자결제(PG) 시스템은 결제창에 입력한 주민등록번호, 전화번호, 이통사 등의 개인정보가 일치하면 바로 승인 문자를 발송하도록 돼 있다. 문자가 성공적으로 발송되면 해커는 개인정보에 변동이 없음을 알 수 있다. 일치하지 않는 개인정보는 폐기하면 그만이다.
문제의 웹하드 업체 관계자는 "이같은 결제 시도로 인해 무차별적인 결제 승인번호가 발송되면서 항의성 민원만도 2천 건 이상을 받았다"고 호소했다.
해커로 추정되는 인물은 빠른 속도로 연속 결제를 시도할 수 있도록 자동화 프로그램(매크로)을 사용했고 IP가 차단되지 않도록 중국, 일본, 한국 등 다수의 IP로 바꿔하며 동일한 시도를 되풀이한 것으로 알려졌다.
PG사의 입장에서는 이같은 결제 요청이 해커에 의한 요구인지 실제 사용자의 정상적인 결제 행위인지 구분할 수 없어 발송 성공여부를 알려주지 않을 수 없고 해당 업체는 자체적으로 5분 내 5회 이상의 결제 시도가 있을 경우 해당 아이디 결제 시도를 차단하는 조치를 취할 수밖에 없었다.
웹하드 업체의 관계자는 "아이디 찾기, 비밀번호 찾기 등을 비이상적으로 많이 시도한 흔적이 발견됐다"며 "확보한 개인정보를 정확히 검증할 방법으로 이같은 시도를 한 것으로 보인다"고 설명했다.
이 관계자는 "여기서(해당 사이트) 쓸모 없는 개인정보를 걸러내고 2차, 3차로 현금화가 가능한 사이트를 통해 결제를 한다면 금전적 피해로 이어질 수도 있다"고 덧붙였다.
이에 대해 한 보안 전문가는 "예전에는 주로 해커들이 대형 포털 사이트 등을 통해 이같은 작업을 진행했으나 해당 사이트들이 횟수 제한 등의 조치를 취하자 사용자가 많은 또 다른 길을 모색한 것 같다"고 설명햇다.
다른 보안 전문가도 "스미싱도 불특정 다수를 대상으로 하기 보다 정확한 개인정보로 타깃을 정해 두면 당연히 위협도 커질 수밖에 없다"며 "꼭 스미싱 공격이 아니더라도 중국에서 개인정보를 거래할 가능성도 배제할 수 없다"고 강조했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기