방치 계정 노린 애플 이용자 무단 결제 피해
“계정정보 무작위 대입해 애플 계정 탈취” 추측
보안업계, ‘2차인증’ 주문…정부, 의무화 추진
“계정정보 무작위 대입해 애플 계정 탈취” 추측
보안업계, ‘2차인증’ 주문…정부, 의무화 추진
[이데일리 권하영 기자] 애플 이용자 계정이 탈취돼 무단 결제가 발생하는 피해가 최근 잇따르고 있다. 앞서 SK텔레콤(017670) 개인정보 유출과 KT(030200) 무단 소액결제 사태 탓에 사회적 불안감이 커지면서 이번 사태 역시 그 연장선 아니냐는 우려도 나온다.
그러나 보안 전문가들은 애플의 내부 정보 유출이나 통신사 고객 정보가 연관됐을 가능성은 낮게 보고 있다. 정부는 우선 이중 인증 체계 의무화를 추진해 피해 확산을 막겠다는 방침이다.
애플 이용자 무단 결제 피해…무작위 대입해 탈취한 듯
17일 업계와 당국에 따르면 일부 애플 이용자들이 게임머니 등 콘텐츠 무단 결제를 겪어 서울경찰청이 수사에 착수했다. 지난달부터 이달 초까지 총 15건의 피해 사례에서 이용자별로 수십~수백 만원 단위의 무단 결제가 발생한 것으로 파악된다. 이용자가 방치한 애플 계정을 해커가 다크웹 등에서 획득하고 이를 무단 결제에 사용한 것으로 알려졌다.
그러나 보안 전문가들은 애플의 내부 정보 유출이나 통신사 고객 정보가 연관됐을 가능성은 낮게 보고 있다. 정부는 우선 이중 인증 체계 의무화를 추진해 피해 확산을 막겠다는 방침이다.
 |
(사진=게티 이미지) |
애플 이용자 무단 결제 피해…무작위 대입해 탈취한 듯
17일 업계와 당국에 따르면 일부 애플 이용자들이 게임머니 등 콘텐츠 무단 결제를 겪어 서울경찰청이 수사에 착수했다. 지난달부터 이달 초까지 총 15건의 피해 사례에서 이용자별로 수십~수백 만원 단위의 무단 결제가 발생한 것으로 파악된다. 이용자가 방치한 애플 계정을 해커가 다크웹 등에서 획득하고 이를 무단 결제에 사용한 것으로 알려졌다.
보안 전문가들은 이들의 애플 계정이 탈취된 것에 대해, 전용 보안 칩과 폐쇄적 생태계 특성상 애플 측의 내부적인 유출이나 보안 사고가 일어났을 가능성은 극히 낮다고 보고 있다. 일각에서는 비슷한 기간에 KT 이용자들의 무단 소액결제 피해가 잇따랐던 만큼 연관성을 찾기도 하지만 이 역시 낮은 확률이라고 분석했다.
한 보안 전문가는 “사용자가 한동안 접속하지 않은 애플 계정 중심으로 탈취됐다는 점에서 해커가 크리덴셜 스터핑으로 계정 정보를 얻었을 가능성이 가장 크다”고 말했다. 크리덴셜 스터핑은 흔히 이용자들이 여러 사이트에서 동일한 아이디와 비밀번호를 사용하는 점을 노려 공격자가 확보한 이용자 정보를 다른 서비스에 무작위로 대입해 계정을 탈취하는 것을 말한다. 이 전문가는 “이용자의 클라우드 백업이나 동기화 등을 통해 계정 정보가 유출돼 다른 정보 유출로 이어지는 것은 흔히 일어나는 해킹 사례”라고 설명했다.
앞서 발생한 KT 무단 소액 결제는 불법 초소형 기지국을 통한 이용자 정보 탈취가 원인으로 거론되고 있는데, KT는 이번 애플 무단 결제 건에 대해서는 해당 피해자 계정을 확인한 결과 불법 기지국 접속 이력이 없었다는 입장이다.
또한 이번 애플 계정 피해자들은 KT뿐만 아니라 SK텔레콤과 LG유플러스(032640) 이용자도 포함된 것으로 확인됐다. 현재 애플 정책상 이용자가 자신의 계정 정보를 확인하려면 아이폰·애플워치 등 애플 단말기를 통한 암호 재설정 절차를 밟아야 하고, 단말기 없이 인증하려면 이메일 주소나 휴대전화 번호 외에 별도 복구 키를 입력해야 가능하다. 한 통신사 관계자는 이 점을 지적하며 “애플 계정 문제와 통신사 정보는 별개”라고 설명했다.
‘2차인증’ 대안될까…정부, 의무화 추진
그러나 이처럼 사용자 부주의 또는 정보 유출 경로를 쉽게 파악하기 어려운 계정 정보 탈취는 언제든지 재발할 수 있다는 것이 가장 큰 문제다. 다양한 웹사이트에 산재해 있는 이용자 정보를 일일이 관리하기도 쉽지 않고, 책임 주체가 불분명해 개인정보보호위원회 등 당국이 개입해 조사할 수 있는 여지가 적기 때문이다.
이에 과학기술정보통신부는 우선 본인 인증 결제 시 2단계 인증을 의무화하는 내용의 ‘통신과금서비스 운영에 관한 고시’ 연내 개정을 추진 중이다. 현재는 모바일 결제 시 문자나 전화(ARS) 인증 등을 통해 결제가 바로 되도록 하는 방식을 취하고 있다.
한 보안업체 대표는 “결제 피해를 막기 위해 2차 인증을 반드시 하도록 하는 것이 가장 현실적인 대안”이라며 “다중 인증 절차가 있으면 공격자의 공격 비용이 상당히 높아져 무분별한 계정 탈취가 줄어들 수 있다”고 말했다.
궁극적으로는 보안 사고에 근본적으로 대처할 수 있는 정부 차원의 정보보호 종합대책 마련이 시급하다는 지적이다. 배경훈 과기정통부 장관은 지난 12일 기자간담회에서 “AI를 악용한 해킹 기술이 발전하고 있어 근본적인 대책을 세워 정보보호 대전환 체계를 만드는 것이 매우 중요하다”며 “2차관을 단장으로 하는 정보보호 대응 태스크포스(TF)를 꾸려 할 수 있는 최대한의 대응을 해보고자 한다”고 밝혔다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.