| 무료문자 발송기능 악용한 불법스팸 발송 해킹 주의 | 2007.06.12 | |||
해킹당하더라도 회원DB암호화하면 문제없어 자동가입과 중복가입 방지 기술 적용해야
지난 4월, 국가기관 3곳은 문자 발송업체로부터 평소보다 급격히 많은 문자가 전송되고 있다는 연락을 받았다. 해당 기관은 스팸문자 수십만건이 무단 발송된 것으로 확인하고 이를 국가사이버안전센터(www.ncsc.go.kr, 이하 NCSC)에 신고했다. 휴대폰 문자 발송비용은 건당 20~30원 정도의 비용이 소요된다. 만약 건당 30원의 문자발송을 30만건 무단 발송했다면 해당 기관은 900만원 가량을 지불해야하는 피해를 입게 된다. 해킹에 의한 실질적인 금전적 피해를 입히는 경우라고 할 수 있다. 국가사이버안전센터 관계자는 “피해기관은 홈피 회원에게 무료문자 발송기근을 제공하는데, 해커는 이를 악용해 다수의 계정을 빼내 대량으로 스팸문자를 발송하는 방법을 사용했다”고 밝혔다. 다음은 NCSC에서 제공한 불법 스팸발송 해킹 유형그림이다.
불법 스팸문자 발송 유형을 살펴보자. 우선 문자발송 홈페이지 서버를 장악후, 기존 가입자 정보를 빼내 문자를 발송하는 경우가 있다. 또 실명인증을 하지 않는 외국인 회원가입을 이용, 대량의 위장계정을 생성해 문자를 발송할 수 있다. 그리고 회원가입의 중복확인이 없는 홈페이지에 익명 계정을 대량 생성 후 문자를 발송할 수 있다. 국가사이버안전센터 관계자는 “해커는 SQL-Injection 해킹도구를 이용해 고객 계정 아이디와 패스워드 정보를 확보한 후, 확보한 계정을 대량의 스팸 SMS 문자를 발송하는데 악용했다”고 설명했다. 한편, 피해기관에서는 회원가입시 몇건의 무료 문자를 보낼 수 있는 마일리지를 제공하고 있었다. 해커는 회원가입시 주민번호를 실명확인 절차로만 사용하고 중복가입을 방지하는 기능을 지원하지 않았고, 별도의 자동가입 방지기술도 적용되지 않아 단기간에 대량의 익명 회원이 가입된 것이다. 해커는 수만명의 위장회원 계정을 생성하고 수백건의 무료 스팸문자를 대량 발송했다. NCSC 관계자는 “홈피 해킹을 통해 회원 가입정보가 노출되지 않도록 하기 위해서는 홈페이지 8대 취약점 등 기본적인 홈페이지 보안관리가 필요하다”며 “특히 디렉토리 리스팅, 파일 다운로드, 크로스 사이트 스크립트, 파일 업로드, WebDAN, 테크노트, 제로보드, SQL-Injection 등의 취약점을 주의해야 한다”고 강조했다. 또한 “홈페이지 해킹이 이루어졌다 하더라도 회원 DB를 암호화해 저장한다면 회원의 주민번호, 패스워드 등의 개인정보가 추가적으로 노출되는 것을 방지할 수 있다”고 설명했다. 한편 홈페이지 회원 가입시 중복가입을 방지하지 않으면, 익명의 대량계정이 생성될 위험이 있다. 따라서 자동가입과 중복가입 방지절차가 적용돼야 한다.
자동가입 방지 방법은 인증서 사용 등의 여러 가지 방법이 있다. 우선 회원가입시 사람의 판단이 필요한 절차를 거치도록 해 스크립트에 의한 자동회원가입을 예방하는 방법이다. 최근에는 자동으로 이미지 문자인식이 가능해져 4칙 연산까지 적용된 방식도 사용되고 있다. 또 최근 개인정보보호법에 따라 주민번호를 회원 DB에 암호화해 저장하거나, 저장하지 않는 경우가 늘고 있다. 이러한 과정에서 중복확인 절차가 제거된 경우가 있다. 각 홈페이지 관리자들은 회원가입절차 개선시 중복회원 가입방지에 각별히 신경을 써야 한다. NCSC 관계자는 “보안관리자들은 홈페이지 8대 취약점 수정을 해야 하고 시스템 해킹 후 추가 회원정보 노출 방지를 위해서는 주요 회원정보를 암호화해 저장해야 한다”고 강조했다. 또 “위장계정을 통한 자동가입과 중복가입 방지 기술을 적용해야 한다. 관리자들은 자신의 홈페이지의 회원관리 방법을 재검토할 필요가 있다”고 말했다. 한편, 웹서버 관리자들은 주기적으로 국가사이버안전센터 홈페이지를 방문해 최신 사이버 위협 정보를 확인하고 NCSC에서 발간한 ‘홈페이지 보안관리 매뉴얼’ 등을 참조해 홈페이지 보안관리를 철저히 해야 한다고 강조했다. [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||||
 |
