지마켓 고객이 구매한 모바일 상품권 핀번호가 대거 도난당한 가운데 사고 근본 원인으로 아이디·비밀번호에만 의존한 단순 사용자 인증방식이 지목된다. 고객 수가 많은 다수 플랫폼이 개인정보 탈취 등 해킹 공격에 취약한 인증 방식을 유지하고 있어 추가 피해가 우려된다.
지마켓 사태 이후 아이디·비밀번호 단일 사용자 인증에 대한 보안 사고 우려가 커진다.
옥션, 쿠팡, SSG.COM 등 대다수 이커머스, 기업 홈페이지가 지마켓처럼 아이디·비밀번호만 넣으면 사용자 인증이 가능하다. 지마켓 사고가 유출된 이용자 개인정보 기반으로 비밀번호를 무작위 대입해서 로그인을 시도하는 '크리덴셜 스터핑'에 의해 발생했다는 점에서 동일 방식 공격에 무방비로 노출돼 있다는 얘기다.
각 플랫폼이 크리덴셜 스터핑 같은 무작위 대입을 탐지·차단하고 있지만, 해커가 사전에 파악한 계정 정보가 정확하면 한두 차례 시도만으로 인증이 가능해 방어가 어렵다.
지마켓 해킹은 크리덴셜 스터핑을 통해 사용자 인증을 한 뒤, 고객이 구매한 모바일 상품권 번호를 탈취하는 방식으로 이뤄졌다. 일부 이커머스는 지마켓 사고 이후 모바일 상품권 열람 시 별도 인증 도입 등 후속 조치에 나섰지만, 다수가 최초 관문인 사용자 인증 체계는 놔두고 있다.
계정 도용으로 사용자 인증이 이뤄져도 결제 등에 비밀번호 등 추가 인증을 도입하면 상당수 피해는 막을 수 있다. 그러나 구매내역 등 개인정보 유출은 막을 수 없다. 최근 해커가 다양한 개인정보를 활용해 정교한 맞춤형 공격을 감행하고 있어 개인정보를 탈취당하는 것 자체가 큰 위협이라는 게 전문가 의견이다.
보안기업 관계자는 “사용자 인증은 보안의 최초 관문으로 모든 공격이 인증으로부터 시작된다고 해도 과언이 아니다”라며 “아이디·패스워드만으로 이뤄진 단순 인증 방식을 유지할수록 해커에게는 유리한 환경이 조성된다”고 지적했다.
계정 도용에 의한 피해는 지속 발견되고 있다. 앞서 인터파크가 크리덴셜 스터핑을 통한 개인정보 유출 정황을 공지했고 LG유플러스가 같은 공격으로 인해 회원 일부의 요금제 정보가 변경되는 사고를 겪었다. SPC그룹 섹타나인이 운영하는 '해피포인트' 앱에서도 계정 도용 때문에 고객의 포인트가 사라지는 사고가 발생했다.
아이디·패스워드 인증 대안으로 생체인증 등을 활용한 '패스워드리스' 인증 등이 거론되지만 도입에 속도가 나지 않고 있다. 일정 규모 이상 사업자는 사용자 인증을 강화하도록 유도해야 한다는 목소리가 커지는 배경이다.
계정 보안 전문가는 “2중인증, 패스워드리스로 전환하려면 문자메시지(SMS)·생체인식 등을 도입해야 하는데 아이디·비밀번호 인증 대비 비용이 더 든다”면서 “사용자 환경도 다양해 플랫폼 운영기업이 인증 보안 강화 투자에 쉽게 나서지 못하고 있다”고 설명했다.
김정삼 과기정통부 정보보호네트워크정책관(국장)은 “패스워드만으로 계정을 보호할 수 없다는 지적이 오래전부터 나왔고 일정 부분 동의한다”며 “인증 보안에 대한 의견을 수렴, 문제점을 찾고 필요하다면 정책적으로 대안을 수립할 것”이라고 말했다.
최호기자 snoop@etnews.com
