조태현의 생생경제
  • 방송시간 : [월~금] 09:00~10:00
  • 진행 : 조태현 / PD: 김세령 / 작가: 강정연

인터뷰 전문

​​​​​​​[생생플러스] SNS 자동로그인 해킹에 취약...예방 외 대안 없어
작성자 : ytnradio
날짜 : 2024-04-18 17:07  | 조회 : 456 
■ 방송 : YTN 라디오 FM 94.5 (15:00~16:00)
■ 진행 : 김우성 앵커
■ 방송일 : 2024년 4월 18일 (목요일)
■ 대담 : 염흥열 순천향대 정보보호학과 교수

- 충북경찰청 페이스북 해킹으로 중국 광고계정 둔갑
- 자동로그인 기능이나, 비밀번호나 2단계 인증 취약이 이유
- 해킹이나 침해시 계정 일시정지나, 복구 등 조치
- 인증메일까지 해킹당했을 경우 신분증 등 공인 신분인증
- 2단계 인증, 비밀번호 관리, 사용 시 마다 로그인 아웃 필요


* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.

◇ 김우성 앵커(이하 김우성) :  네 청취율 조사 기간에는 더 이로운 정보들로 여러분께 보답하도록 하겠습니다. 첫 번째 인터뷰입니다. 지난달 충북 경찰청 페이스북 계정 이름이 중국어로 바뀌어버렸습니다. 기존 게시글도 삭제됐습니다. 이게 뭔가 국가 안보 상황인가 깜짝 놀란 분들도 많았다고 합니다. 경찰청 계정이 뚫리다니 SNS가 어떻게 관리되고 있나 궁금한데요. 자세한 얘기 좀 들어보도록 하겠습니다. 염흥열 순천향대 정보보호학과 교수 연결돼 있습니다. 교수님 안녕하세요.

◆ 염흥열 순천향대 정보보호학과 교수장(이하 염흥열) : 네 안녕하세요.

◇ 김우성 : 아니 다른 데 뚫려도 경찰청은 안 뚫려야 될 텐데 많은 분들이 그때 깜짝 놀랐습니다. 이 사건 어떻게 된 건가요?

◆  염흥열 : 해커가 진짜 대범한데요. 지난달 14일 충북경찰청에 따르면 충북청 약 팔로우 수가 한 1만 2천 명 정도 되는데요. 공식 계정이 해킹됐습니다. 계정 해킹이 됐고요. 그래서 그로 인해서 페이스북 이름이 진명화라는 중국 이름으로 변경됐고 그리고 이제 그전에 올렸던 여러 가지 검거 사실이랄지 이런 것들이 삭제되고 그다음에 투자를 홍보하는 글들이 여러 개 올라와 있었습니다. 이게 아마도 팔로우 수가 굉장히 많으니까요. 그래서 추가적인 투자를 통해서 금전적 이득을 얻기 위한 그런 해킹으로 이렇게 보여집니다.

◇ 김우성 : 이게 경찰청도 뚫릴 정도면 개인들은 더 불안하실 텐데요. 팔로우 수가 많거나 친구가 많은 분들은 더 걱정하셔야 될 텐데 자신도 모르는 사이에 비밀번호가 바뀌어버려서 이게 내 이름으로 개설한 페이지인데 내가 어찌 할 수 없는 그런 경우도 있다면서요?

◆  염흥열 : 네 지금 소위 얘기해서 메타 페이스북이 제공하는 방법은 두 가지 방법을 제공하고 있는데요. 하나는 비밀번호가 변경됐을 때 자신이 알고 있는 비밀번호로 변경을 해야 되지 않습니까? 그걸 이제 계정 찾기 서비스라고 얘기하고요. 이 경우에는 이제 그전에 계정을 등록할 때 이메일을 등록해 놓습니다. 그러면 이제 그 이메일을 통해서 인증 코드를 받아서 비밀번호를 계정 찾기 하는 방법이 있고 또 여러분들 이렇게 여러 개의 기기를 통해서 페이스북에 로그인하고 있지 않습니까? 그러면 다른 쪽에 이렇게 이 알림을 통해서 이렇게 승인을 얻는 방법이랄지 아니면 전화번호 핸드폰 같은 것들을 통해서 인증을 이렇게 인증 코드를 받았거나 이런 방법들을 제공하고 있습니다. 그래서 이 방법을 이용하면 이 계정 찾기가 가능하고요.

◇ 김우성 : 그런데 만약에 메일조차도 이 사람들이 변경해버리면 이게 제가 어떻게 인정할 수 있는 방법이 없잖아요?

◆  염흥열 : 맞습니다. 그래서 이제 페이스북이 다른 방법을 하나를 제공하고 있는데요. 그게 이제 계정 복구 서비스입니다. 그래서 예를 들어서 이제 등록된 이메일이나 전화번호를 다른 사람이 바꿔버렸잖아요. 그러면 이제 새로운 메일을 입력해서 또 인증 코드를 받고 나서 이렇게 그다음에 우리가 보통 은행이나 이런 데서 비대면으로 신분증 여권이랄지 주민등록증이랄지 운전면허증이랄지 외국인 같은 경우는 혼인증명서랄지 공인 신혼 취업 증명서 이런 것들의 신분증을 업로드하고 고객센터를 통해서 계정을 복구하는 그러니까 그런 방법이 있습니다.

◇ 김우성 : 정부에서 공식 인증하는 신분 확인 절차를 활용하는 방법도 있습니다. 혹시 지금 피해가 많다고 하니까요. 피해 입으신 분들 중에 이 뉴스 이 기사 보시는 분들도 참고하시기 바라겠습니다. 본인의 국가에서 공식적으로 인증하는 개인 정보 확인하시면 되는데 문제는 이렇습니다. 누군가가 재미로 혹은 정말 골탕 먹이려고 한 것도 문제지만 이게 범죄에 악용될 수 있고요. 내 이름으로 들어가서 타인한테 해를 끼치면 어떡하나 그래서 내가 수사 받는 처지가 되면 어떡하나 이런 걱정들을 하거든요.

◆  염흥열 : 예 두 가지 피해가 있을 수 있는데요. 자신의 명의가 도용이 되고 그리고 이제 다른 사람이 자기가 올리지 않은 글들을 읽게 돼서 다른 사람이 오해하는 그리고 명예훼손 같은 것들이 걸릴 수가 있어서 이 부분은 상당히 보호가 굉장히 중요하고요. 특히 이제 해커들도 전부 다 금전적 목적으로 그런 해킹을 하고 있지 않습니까? 그래서 광고성 이런 것들을 올려서 그다음에 그 광고를 통해서 2차적인 금전적 이익을 취하려고 하고 있고요. 그리고 그로 인해서 불특정 다수 팔로우 하는 또는 당사자들이 금전적 피해를 입을 수 있는 그런 부분입니다. 그래서 이게 굉장히 앞으로 크게 문제가 될 소지가 크다고 볼 수 있습니다.

◇ 김우성 : 이런 전문적인 범죄 집단이 있는 건데요. 쉽게 말해서 여러분 아날로그 온라인이 아니라 오프라인으로 제가 설명을 드리면 국가 문화재 담벼락에 광고 사이트 광고 쓴 사람들 있습니다. 페인트로 그거를 개인 SNS에 들어와서 하는 겁니다. 그 금전적 이익을 위해서 정말 나쁜 행동인데 방법을 좀 알아야 될 것 같습니다. 어떤 SNS를 노리고 어떤 방식으로 해킹을 하는지 좀 궁금해요.

◆  염흥열 : 네 통상적으로 아까 말씀하신 바와 같이 브라우저에는 어떤 계정에 자동으로 로그인하는 기능들이 있습니다.

◇ 김우성 : 편하게 쓰려고요.

◆  염흥열 : 네 그럴 경우에 이제 만약에 해킹이 된다면, 해커가 그걸 해킹한다면 자동적으로 로그인해서 SNS에 로그인이 가능해지게 되는 이런 부분이 있습니다.

◇ 김우성 : 컴퓨터 켜면 자동으로 그 SNS 계정도 로그인되는 경우가 사실 많거든요. 브라우저만 켜면, 그런 경우가 해킹 대상이 된다 이거죠.

◆  염흥열 : 맞습니다. 그리고 이제 두 번째 경우는 이제 메타가 제공하고 있는 두 가지 서비스가 있는데요. 하나는 수상한 장소나 예를 들어서 자기가 주로 서울에서 했었는데 자기 집에서 했었는데 외국에 가서 스위스 가서 한달지, 이런 거나 아니면 새 기기 그러니까 자기가 현재 사용하지 않는 장소인데 새로운 컴퓨터에서 이렇게 로그인하는 경우에 로그인을 시도하는 위치나 기기를 알려주는 알림 서비스가 있습니다. 이 알림 서비스는 페이스북 다른 로그인을 통해서 알림하거나 또는 등록된 이메일을 통해서 알림을 합니다. 그러니까 이제 그것을 통해서 계정 주인은 수상한 로그인을 파악할 수가 있고요. 그리고 이제 또 다른 하나는 아까 얘기했다시피 새로운 기기나 새로운 브라우저에 로그인을 시도했을 경우는 통상적으로 메타나 페이스북이 2단계 인증을 제공하고 있습니다. 2단계 인증이라는 것은 기존의 아이디 패스 비원만이 아닌 인증 앱 통상적으로 구글 otp 같은 것들요. 그런 거를 통하거나 아니면 아까 등록된 핸드폰 번호를 통해서 문자 메시지를 통해서 인증 코드를 전달하는 방법 또는 이게 이제 보안키라고 그래서 이렇게 물리적 보안키를 통해서 우리나라에서는 많이 사용되고 있지 않지만 그런 것을 활용할 수가 있습니다. 따라서 이 알림 설정 기능을 설정하지 않거나 또는 2단계 인증을 요구 기능을 설정하지 않은 계정이 해커의 제물이 될 수 있습니다.그리고 아까 자동 로그인 기능이 있잖아요. 그게 이제 편리한 측면이 있습니다. 바로 로그인이 되니까, 그렇지만 그거를 설정하지 않으면 브라우저에서 설정을 해제할 수 있거든요. 그러면 불편하지만 그때 할 때마다 로그인을 통해서 비밀번호를 넣고 이렇게 들어가는 그런 방법이 있습니다. 정리를 하면 좀 불편하지만 이 자동 로그인을 해제하거나 아니면 알림 서비스를 받거나 2단계 인증 기능을 설정하는 이런 방법들이 통해서 이러한 해킹 계정 해킹을 막을 수 있다고 그렇게 볼 수 있습니다.

◇ 김우성 : 편리하다는 이유로 요즘은 다 비밀번호 저장 할까요 라고 해놓고 그게 이제 별표로 돼 있기 때문에 안 보이고 노출이 안 되니까 괜찮 겠지라고 생각하지만 여러분 간단한 앱이나 악성 코드를 깔면 마음대로 정말 내 정보를 빼 갈 수도 있고 문제는 이걸 정말 악용하는데 저는 예전에 한 10년 된 것 같은데 전쟁터에서 일하고 있는 군인이래요. 근데 이제 미국 분이신데 굉장히 많이 메시지를 주고 받길래 그냥 아무 생각 없이 메시지를 주고받았습니다. 한 10여 년 전에. 그러다가 결국 마지막에는 딸한테 선물해주고 싶은데 혹시 나한테 돈 좀 빌려줄 수 있냐 그래서 이게 정말 이렇게 고도화된 범죄구나라고 했는데 그때는 극소수였는데 요즘은 정말 흔합니다. 흔히 말해서 로맨스 스캠이라고도 하고 여러 가지 사례가 있거든요. 이렇게 악용되는 경우는 어떻게 처리해야 됩니까?

◆  염흥열 : 예 페이스북이 뭘 제공하고 있냐면 계정 비활성화 서비스하고 그다음에 계정 삭제 서비스가 있습니다. 개인들이 비활성화 서비스는 일시적으로 계정을 잠가두는 경우고요. 그다음에 이제 만약에 이게 진짜 이렇게 여러 가지로 계정이 악용되고 있다고 판단하면 계정을 영구히 통째로 삭제해버리는 그런 서비스가 있습니다. 그래서 이제 페이스북을 통해서 로그인해서 설정됨을 통해서 이 두 가지 서비스를 이용할 수가 있습니다.

◇ 김우성 : 다시 돌아가면 아까 처음에 알려드린 만약에 비밀번호나 인증 이메일 조차도 해커들이 바꿔 놨다. 국가에서 인정하는 신분 확인 절차를 통해서 다시 로그인한 다음에 계정을 정지하거나 삭제하는 방법도 있다 라는 얘기를 지금 다시 한 번 연결해서 말씀드리고, 이게 제 정보를 빼가서 저인 척 요즘 사칭 계정도 많거든요. 교수님 이런 경우는 그냥 경찰에 신고해도 이게 페이스북이나 메타가 외국 회사잖아요 이거 저 아닌데 제 이름으로 지금 SNS 개설했습니다 라고 신고해도 좀 절차가 느린 것 같고요.어떻게 보십니까?

◆  염흥열 : 메타가 이 해킹이 당했다고 의심되는 경우에 메타에 신고하는 절차를 제공하고 있습니다. 그렇지만 이거는 사후 처리고요. 그리고 이제 사실은 이제 이게 경찰에 신고할 수도 있는데 바로 단순 해킹으로 인해서 경찰에 특별하게 예를 들어서 심각한 명예훼손을 사건하고 연계됐거나 아니면 금전적 피해가 있을 경우는 경찰에 신고하는 것도 가능할 것 같은데요. 이게 아까 얘기 드렸다시피 이게 대부분의 SNS 회사들이 해외에 본사를 두고 있고요. 그래서 이제 해외 본사를 두고 있어서 이제 경찰을 통해서 이 원인 조사를 해야 될 거 아닙니까? 그런데 그 원인 조사를 하는 이 절차랄지 이런 부분들이 아직은 이렇게 구체화되지 않고 가능하지 않을 것으로 현재 생각이 되고있습니다. 그래서 죄송하게도 해킹 원인 등의 조사가 경찰에 의해서 진행될 수 있다고 기대하는 게 상당히 어려울 것 같습니다.

◇ 김우성 : 해킹 자체를 처벌할 수도 없는 건가요?

◆  염흥열 : 아니 해킹 자체는 이제 원래는 법에 의해서 처벌할 수가 있는데요. 정보통신망법에 의해서 다른 사람의 계정을 해킹하게 되면 처벌할 수가 있는데 그런 경우가 되게 많고 그래서 현실적으로 경찰이 그런 사건에 대해서 피해가 굉장히 크게 입증되지 않는 한 그거를 사건을 이렇게 수 사건화해서 수사를 개시한다는 게 가능할까라는 생각은 듭니다. 특별히 뭐 수사를 하기 위해서는 원인 조사가 필요하잖아요. 그러면 이제 예를 들어서 어떤 계정 어떤 사람이 어느 나라에서 어떤 방법으로 로그인을 시작했는지 그게 이제 알아야 되고 그런 로그인 로그 정보가 필요하고요. 그거를 이제 SNS에 메타 같은 사람 서비스 제공자들이 제공을 해줘야 되고요. 그리고 그다음에 이제 그걸 알더라도 외국인 같은 경우는 이게 이제 우리나라의 법적 관할 밖에 있지 않습니까? 그래서 이제 그걸 처벌할 수 있는 방법이 없고 그리고 그래서 사실은 국내법으로도 이런 법적 조치를 취할 수 있는 건지에 대해서는 저는 개인적으로 조금 어렵지 않을까라는 생각이 들고요. 그래서 저는 사전 계정 보안 강화가 필요하다고 생각합니다. 사후에 피해가 발생하고 나서 그걸 구제받는 절차보다는 아까 메타가 제공하는 여러 가지 계정 보안 강화 대책들이 있잖아요. 그런 것들을 먼저 실시하고 그다음에 이제 피해를 받았을 경우에 특별히 또 자신도 모르는 사이에 명예훼손하고 연계될 경우도 있지 않습니까? 타인을 비방하는 글을 갖다가 아니면 선거하고 관련된 글을 갖다가 페이스북에 올려서 그게 된다면 그때는 이제 하는 수 없이 경찰에 수사를 해서 자기가 무고함을 입증하는 그런 절차를 거쳐야 될 것 같습니다.

◇ 김우성 : 여러분 SNS도요 집에다 비유해 보십시오. 내가 들어가기 편하게 한다고 간단한 비밀번호로 집 열쇠를 잠가두면 제가 아니라 도둑이 들어올 수도 있는 겁니다. 그런 의미에서는 사전에 좀 번거롭더라도 복잡한 절차로 예방하는 수밖에 없다. 뭐 요즘은 SNS에 손바닥 사진도 올리지 마라 지문도 보일 수 있다 이 정도로 예민한 시대인데요. 막는 것밖에 방법이 없다 여러분들도 좀 마음속에 새겨야 될 것 같습니다. 요즘 중국에서 이런 해킹 범죄가 흔하게 중국 쪽에서 많이 시도가 되고 있다고 하고요. 중국뿐만 아니라 전 세계적인 문제입니다만 좀 주의하셔야 될 것 같습니다. 교수님 오늘 말씀 여기까지 듣겠습니다. 감사합니다.

◆  염흥열 : 네 감사합니다.

◇ 김우성 : 네 염흥열 순천향대 정보보호학과 교수였습니다.
 

[저작권자(c) YTN radio 무단전재, 재배포 및 AI 데이터 활용 금지]
  목록
  • 이시간 편성정보
  • 편성표보기
농협

YTN

앱소개