“기업 문자발송 시스템, 정부기관 사칭 ‘해킹’ 극성”

[애플경제 이보영기자] 기업 문자발송 시스템과 계정을 해킹하기 위한 스팸문자에 대한 주의보가 발령되었다. 또 메일 발신자를 정부기관으로 사칭하는 해킹메일도 극성을 부리고 있다.

30일 인터넷진흥원(KISA), 인터넷보호나라 등 사이버보안 당국에 따르면 최근 기업 문자발송 시스템을 해킹하거나 회원계정 해킹을 통한 스팸문자 발송 증가에 따라 기업 담당자의 보안점검과 사용자들의 주의가 필요하다.

특히 ERP 제품이나 문자 솔루션의 취약점으로 인해 다수의 고객사가 피해를 입는 사례가 발견되고 있어 ERP 및 솔루션 개발사의 취약점을 사전 점검할 필요가 있다는 주문이다.

실제 최근 사례를 보면 골프 관련 기업들을 해킹, 성인, 도박 사이트 등의 방문을 유도하는 문자가 대량 발송되었다. 예를 들어 ‘〔19홀] 미성년자(금) hxxp://**.kr - **CC’라는 문자와 함께 “솔직히 지금 게임하기 딱좋은 타이밍 아닌가요? 대박으로 보답할께요. hxxp://***2024.com. 인증번호는 [2094] 입니다. hxxp://***2024.com”이란 문자를 보내기도 한다.

또한 문자발송 사이트 회원 계정을 해킹, 구인구직 문자를 대량 발송한다. 예를 들어 “리뷰 작성해 주실분 구합니다. 하루 2시간이상 10만원에서~ <상담/고객센터> 카카오 아이디 : ***”라는 식이다.

해커들은 문자발송 권한 관리자의 단말을 해킹해, 피싱, 평문 저장된 비밀번호 등을 통해 탈취한 계정으로 대량의 스팸 문자를 발송한다. 또 문자발송서버의 웹 취약점(파일 업로드, SQL 인젝션 등)을 악용하여 대량의 스팸 문자를 발송한다.

이로 인해 기업은 회원정보 유출, 대량 문자 발송에 따른 과금(수백만원 피해), 기업 신뢰도 하락 등의 피해를 입고 있다. 일반인들도 악성 앱 설치로 인해 추가정보 유출이나, 원격제어 피해, 탈취된 개인정보에 의한 정교한 보이스 피싱 등 2차 피해를 입고 있다.

이를 방지하기 위해 문자발송 운영 기업은 우선 관리자 단말 보호조치를 강화해야 한다. 전용 단말을 지정, 발송 업무 외(웹서핑, 메일확인 등) 사용 금지토록 한다. 전용 단말은 OS 및 백신을 실시간 최신 버전으로 운영한다.

관리자 계정 보호조치도 강화해야 한다. 즉, 주기적으로 비밀번호를 변경하고, 비밀번호 난이도를 강화한다. 추측 가능한 기업명이나 연도를 포함한 비번은 지양하도록 한다. 또 관리자페이지 접근 IP를 제한하고, 특정 IP만 접속 가능하도록 설정한다. 로그인이나 문자발송에 2중인증(MFA) 기능을 지원하도록 설정한다. DB 접속 계정에 평문을 저장하지 않도록 한다.

웹서버 취약점을 점검, 보완하는 것도 중요하다. 파일 업로드 및 문자 발송이나, 관리자 로그인 페이지 등을 집중 점검한다. 또 업로드 가능한 파일타입을 검증하고, 업로드 폴더의 실행권한 여부를 점검한다. SQL 인젝션 취약점을 점검하고, 웹 방화벽을 통한 공격 차단 등을 실행한다. 이를 위해 KISA홈페이지 → 지식플랫폼 → 법령·가이드라인 → 가이드라인 → 소프트웨어 보안약점 진단가이드를 이용하면 된다.

중소기업, 한층 각별한 보안조치 필요

특히 중소기업의 경우, 좀더 각별한 보안 조치가 필요하다. ‘인터넷보호나라 → 정보보호 서비스 → 서비스 신청하기 → 중소기업 홈페이지 보안강화 → 웹취약점 점검’ 절차로 보안 조치를 신청하면 된다. 그런 다음 ‘보호나라 → 정보보호 서비스 → 서비스 신청하기 → 보안 취약점 점검’을 신청하고, 다시 ‘보호나라 → 정보보호 서비스 → 서비스 신청하기 → 중소기업 홈페이지 보안강화 → 캐슬(CASTLE, 웹방화벽)’ 순으로 신청하면 된다. 또한 서버 내 비정상 파일(웹셸, 스팸 발송기 등 공격자 생성 파일)을 점검하는 것도 중요하다.

중소기업들은 또 ‘보호나라 → 정보보호 서비스 → 서비스 신청하기 → 중소기업 홈페이지 보안강화 → 휘슬(WHISTL)’ 순으로 신청한다. 또한 시큐어 코딩을 적용하도록 한다. 특히 KISA홈페이지 → 지식플랫폼 → 법령·가이드라인 → 가이드라인 → 소프트웨어 개발보안 가이드, JavaScript 시큐어코딩 가이드 등을 참고하면 된다.

이외에도 운영환경의 보안성을 점검해야 한다. SW 보안패치 적용, DB 계정 관리, DB 로그설정 등이 중요하다. 이와 함께 보호나라 → 알림마당 → 보고서/가이드 → 중소기업 서비스 개발 운영환경 주요 보안 취약 사례별 대응 방안, 웹서버 보안강화 안내서, 웹 에디터 보안가이드 등을 참고하면 된다. 또한 중소기업들은 ‘보호나라 → 정보보호 서비스 → 서비스 신청하기 → 내 서버 돌보미’를 신청할 필요가 있다.

만약 운영 시스템의 침해사고 흔적이 발견되면 한국인터넷진흥원에 신고해야 한다. 이때 비정상 관리자 로그인 이력, 비정상 파일 생성 및 접근, 비정상 DB 질의 등을 밝힐 필요가 있다. 또한 침해사고가 확인되면 ① 보호나라 → 침해사고 신고 → 신고하기 ② 한국인터넷진흥원 디지털위협대응본부 상황관제팀(02-405-4911~5, certgen@krcert.or.kr)으로 유선이나 이메일로 신고하면 된다.

일반 국민들은 무엇보다 스팸(스미싱 등) 문자를 주의할 필요가 있다. 설사 믿을 만한 기업에서 보내온 문자라도, URL에서 과도한 개인정보 입력을 요구하거나, 알 수 없는 출처의 앱 설치를 요구하면 반드시 신고(☎118)해야 한다. 금전적 피해가 있는 경우는 ☎112로 신고한다. 일단 출처를 알 수 없는 앱 설치를 피하고, 사용 중인 주요 계정 관리를 강화하며, 주기적으로 비밀번호를 변경하고, 비밀번호 난이도를 높이며, 2중인증(MFA)을 설정토록 한다. 또한 개인용 계정과, 업무용 계정을 분리(ID/비밀번호 다르게 설정)하도록 한다.

소프트웨어 보안약점 진단가이드는

https://www.kisa.or.kr/2060204/form?postSeq=9&page=2

소프트웨어 개발보안 가이드는 https://www.kisa.or.kr/2060204/form?postSeq=5&page=2

JavaScript 시큐어코딩 가이드는https://www.kisa.or.kr/2060204/form?postSeq=14&page=1

중소기업 서비스 개발 운영환경 주요 보안 취약 사례별 대응 방안은 https://krcert.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=71245를 각각 참고하면 된다.

이 밖에 웹서버 보안 강화 안내서(

https://krcert.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=16&categoryCode=&nttId=27364), 웹 에디터 보안 가이드(https://krcert.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=3&categoryCode=&nttId=67020), 스미싱 주의보 카드뉴스(보호나라 > 사이버위협 > 카드뉴스 > 스미싱 주의보(https://krcert.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0001030&searchWrd=&menuNo=205090&pageIndex=1&categoryCode=&nttId=71279 )를 참고한다.

신고는 ‘https://krcert.or.kr/kr/report/list.do?menuNo=205034’나 위협분석단 사고분석1팀으로 하면 된다.

정부기관 사칭 피싱메일도 요주의

한편 당국은 또 정부기관 사칭 피싱메일에 대한 주의보와 함께 도메인 보안설정을 권고했다. 최근 해커가 메일 발신자를 정부기관으로 사칭하거나 해킹메일을 유포하는 사례가 지속적으로 발생, 사용자 주의가 요망된다.

불특정 다수를 상대로 국세청 혹은 행정안전부를 사칭한 해킹메일이 유포 후 사용자를 속여 악성 링크(본인 확인) 클릭을 유도하는 사례가 지속적으로 발생하고 있다. 보낸 사람이 국세청, 행정안전부 등 정부기관으로 표기되나 해당 기관의 이메일 계정이 아닌 다른 이메일 계정이므로 주의가 필요하다. 예를 들어 ‘@mois.go.kr(행안부)’나, ‘@hometax.go.kr(홈택스)’로 표기되기도 한다. 이와 관련, 발신자의 진위 여부를 판단할 수 있도록 메일보안 표준기술을 적용할 필요가 있다.

이를 방지하기 위해선 사용자는 송신자를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람을 삼간다. 이메일 수신 시 출처가 불분명한 사이트 주소는 클릭을 금한다. 이메일을 통해 연결된 사이트의 경우, 일단 의심하고 연결된 사이트 주소와 정상 사이트와의 일치여부를 반드시 확인한다.

또한 운영체제 및 자주 사용하는 문서 프로그램(아래한글 등) 등에 대해 최신 업데이트를 수행한다. 바이러스 백신 업데이트와 함께 수시 검사가 필요하다. 도메인 서비스 중인 DNS에 메일보안 표준기술(SPF·DKIM·DMARC) 적용도 필요하다.

문의는 역시 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)로 하면 된다. 침해사고가 발생하면 ‘보호나라(boho.or.kr) > 침해사고 신고 > 신고하기’로 신고하면 된다.