보안위협 (악성코드)/짧은생각 긴 얘기

계정 해킹 당한 후 느끼는 보안의 어려움

쿨캣7 2010. 1. 4. 15:11
728x90
반응형
예전 경품으로 받은 상품권을 등록했지만 마땅히 사용할 곳이 없어 계속 두고 있었죠.
며칠 전 접속해 보니 1만원이 2009년 12월 23일에 사용된 겁니다.

'어... 사용했네 ? 사용한 기억이 없는데....'
의아한 생각에 문의해보니 게임 아이템 거래 사이트에서 사용되었다는 겁니다.



저는 현재 온라인 게임을 안합니다.

즉... 아래와 같은 결론을 내립니다.

 누군가 어떤 웹사이트를 해킹 해서 얻은 ID와 비밀번호로 접속해서 구매했다.

참고로 제 직업은 보안업체 연구원....
조심하라고 사람들에게 말했는데 이거 참 보기 좋게 당했네요.

* 평소 보안 수칙 실천했으나....

보안업체 직원이다보니 일반인보다는 좀 더 보안에 철저하다고 생각하고 있습니다.

인터넷은 가상 머신에서만하고 가상 머신은 1. 업무용 2. 인터넷용 3. 인터넷 뱅킹용으로 3가지로 분리해 사용합니다
. 그리고, PC방 등 외부 컴퓨터에서는 웬만하면 로그인 안합니다.
- 최근 몇 년 동안 외부 컴퓨터 로그인은 친구와 같이 간 PC방에서 틀린 그림 찾기 게임하기 위해 로그인 1회

또, 사이트 종류에 따라 다른 비밀번호를 사용합니다.

- 뚫려도 상관없는 사이트 (뚫려봐야 저를 사칭한 글이나 올릴 곳)
- 포털 사이트 (포털은 좀 중요하니... 몇가지 암호를 번갈아 이용)
- 네이트 (네이트온 때문에 다른 비밀번호 이용)
- 온라인 게임 (온라인 게임을 거의 안하지만 다른 비밀번호)
- 은행, 증권 (유출되면 금전적 손해가 있는 사이트)

여기서 실수한건 상품권 형태의 사이버캐시를 뚫려도 상관없는 사이트의 비밀번호와 똑같이 둔 겁니다.
(왜 그랬지....)

이 일이 제가 마침 '보안업체 해킹으로 본 보안의 어려움'이란 글을 쓰고 나서 발생해 기분 참 묘하네요.
- 해당 글은 보안업체도 뚫릴만큼 보안은 어렵다 입니다.

이제 해킹은 본인만 조심한다고해서 (물론 뚫려도 상관없는 곳의 비밀번호를 사용한 제 책임이 크지만...) 되는게 아닙니다. 아무리 안전 운전해도 상대방이 차선 위반하면 교통사고 나는 것 처럼요.

다만 해당 사이트에도 아쉬운건 금액을 이용할 때 본인 인증(휴대폰 인증 등)을 하지 않았다는 점입니다. 본인 인증을 한번만 더 했어도 금액 유출은 힘들었을텐데 말이죠.


* 보안을 위해 추가로 할일

평소 보안수칙을 잘 지켰다고 생각했는데...
자기가 조심해도 뚫릴 수 있다는 생각에 보안을 위해 추가로 할일이 생각났습니다.

1. 사이버신고센터에 신고 (http://www.netan.go.kr/)

   나름 교훈을 준 범인이지만... 사이트 2곳에 접속했으니 로그인 기록 남아있을테니 추적은 어렵지 않을 듯...
   하지만.. 혹시 외국에서 접속을 ?!

2. 뚫려도 상관없는 사이트 비밀번호 이용 금지 및 기존 사이트 비밀번호 변경
 
   뚫려도 상관없는 사이트 비밀번호는 이제 폐기해야 겠네요. 그리고, 기존에 자주 접속하는 사이트 비밀번호도 변경해야겠습니다.

3. 자주 접속하지 않거나 보안이 의심스러운 사이트 탈퇴

    제 컴퓨터 이용상 컴퓨터에 악성코드가 감염되어 정보가 유출되었을 가능성은 낮으니 보안에 취약한 웹사이트를 통해 유출되었을 가능성이 높겠네요. 이런 사이트는 탈퇴해야 겠습니다.

4. 사이트에 따라 다른 계정 혹은 비밀번호 방식 사용

   각 사이트마다 다른 계정 혹은 비밀번호를 이용하는 겁니다.
   이런 방법을 이용할 경우 헷갈릴 수 있기 때문에 생성 알고리즘을 잘 만들어야 합니다.

   예전부터 생각했는데 귀찮아서 알고리즘 만들다가 말았는데...  얼른 해야겠네요.

   이 방법 역시 알고리즘이 알려질 경우 더 위험해 질 수 있지만 공격자는 몇 개 사이트를 뚫어서 계정과 비밀번호를 얻어야지만 유추 할 수 있으므로 안정성은 올라갑니다.
 
  
1만원을 잃고 얻은 교훈으로는 다행이네요 ^^
1만원을 잃고 앞으로 100만원, 1천 만원을 보호할 수 있었다고 생각해야겠습니다.


ps.

1. 이러다... 제가 정말 해당 사이트에서 이용한거면 어쩌지하는 생각도 합니다.
하지만, 전 해당 사이트에 가입도 안되어 있네요....

2. 이걸로 칼럼 글 써서 .. 잃은 1만원 보다는 더 벌겠네요. 쩝

3. 1월 29일 해당 업체는 아래와 같은 메일을 보냈습니다. 대규모 시도가 있는 걸로 보입니다.


728x90
반응형