이상 신호 모니터링…진위파악
해킹조직이 우리나라 교육부가 지원하는 종합 진로 정보망 '커리어넷'을 해킹했다며 탈취한 정보를 판매하고 나섰다. 160만명의 개인정보를 유출했다고 주장하고 있어 정확한 실상 파악과 대책 마련이 시급하다.
19일 정보보호업계에 따르면, 악명 높은 해킹조직 인텔브로커(intelbroker)가 지난 15일 정보 유출 플랫폼 브리치포럼즈(Breach Forums)를 통해 교육부 취업 정보 사이트 커리어넷을 해킹했다고 주장했다. 브리치포럼즈는 해커가 탈취한 데이터를 사고파는 시장이자 정보 공유의 장이다.
인텔브로커는 이번 달에 커리어넷에서 개인정보 160만명을 해킹했다면서 샘플을 공개, 판매하고 있다.
샘플엔 커리어넷 사용자의 아이디와 패스워드 등이 담겼다. 샘플에 나온 일부 아이디의 경우 다른 서비스에서 동일한 아이디가 발견된다. 또 패스워드도 서버 저장 시 거치는 암호화 또는 해쉬(Hash) 처리 후 저장된 것으로 보인다.
전문가들은 임직원을 타깃으로 악성코드를 감염시켜 내부 정보를 빼냈다기보다 웹서버의 취약점을 악용한 것으로 추정하고 있다.
한 보안 전문가는 “SQL 인젝션(Injection) 등 수법을 통해 웹서버에서 데이터를 바로 탈취할 것으로 보인다”고 분석했다.
인텔브로커는 최근 들어 악명 높은 해킹조직으로 통한다. 지난 6월 ADM과 애플을 해킹했다고 주장하면서 존재감을 과시했다. 지난 5월엔 유로폴 내부 정보를 훔쳐 판매하기도 했다.
이번에 표적이 된 커리어넷은 교육부가 지원하고 한국직업능력개발원이 운영하는 진로정보망이다. 직업적성테스트, 진로상담, 학교정보 등 진로와 진학 관련 서비스를 제공한다.
교육부는 인텔브로커가 제시한 샘플만 놓고 보면 현행 통합로그인 형식과 일치하지 않고 상시 모니터링 체계에서 이상 신호를 접수하지 못했다고 밝혔다. 다만 해킹조직이 내부 정보를 탈취했다고 주장하고 있는 만큼 예의 주시하겠다는 입장이다.
교육부 관계자는 “2018년부터 커리어넷을 통합 로그인으로 관리하고 있는데, 샘플에서는 아이디 등이 형식과 일치하는 게 없다고 확인했다”며 “한국인터넷진흥원(KISA)도 계속 모니터링하고 있고, 교육부, KT클라우드, 한국직업능력개발원 등도 면밀하게 예의주시할 것”이라고 말했다.
조재학 기자 2jh@etnews.com, 최다현 기자 da2109@etnews.com
