눈 깜짝할 새 털리는 내 정보…영화 '타겟' 속 해킹, 현실에서 가능할까
등록 2023.12.23 11:00:00수정 2023.12.23 11:06:46
해킹된 계정정보 무작위 대입…가공할만한 '크리덴셜 스터핑'
SNS·커뮤니티 등에서 동일한 계정정보 사용시 신상정보 일시에 해킹 위험
보안 전문가들 "현실에서 충분히 가능한 수준"…추가인증해야 안전
영화 '타겟' 스틸 (사진=플러스엠 엔터테인먼트) *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 수현이 중고거래 사기범 꼬리를 잡았다며 의기양양하던 그때, 범죄자로부터 경고의 메세지가 온다.
"인생 공부했다고 생각하고 그만해라."
이에 수현이 "인생 그렇게 살지마"라고 응수하자, 화면 속 범죄자의 손이 바빠진다. 범죄자는 순식간의 해킹으로 수현의 개인정보를 모두 캐낸다.
넷플릭스 영화 순위 1위를 기록하고 있는 영화 '타겟'의 한 장면이다. 중고거래 과정에서 범죄의 표적이 된 '수현'의 일상 속에서 벌어지는 서스펜스를 담은 스릴러다.
중고거래 사이트를 통해 구매한 세탁기가 고장 난 제품이었다는 것을 알게 된 수현은 잠적한 세탁기 판매자를 경찰에 신고하고 스스로 추적에 나선다. 결국 수현은 판매자의 또 다른 행적을 찾아내 그의 게시글마다 사기꾼이라는 댓글을 남겨 거래를 방해한다.
그날 이후 수현에게 알 수 없는 일들이 벌어진다. 자신이 중고거래 사이트에 올리지도 않은 물건에 대한 문의 전화가 쇄도하고, 주문한 적 없는 음식 배달이 쉬지 않고 온다. 한밤중 '초대남' 글을 보고 왔다는 남자들이 수현의 집 비밀번호를 누르고 들어오려고 한다.
보안 전문가들은 눈 깜짝할 사이에 피해자의 개인정보를 샅샅이 알아내는 영화 속 해킹 모습이 다소 극적 요소가 있긴 하나, 여건에 따라 실제 충분히 가능한 수준이라고 설명했다.
한 곳 털리면 신상정보 다 털린다…단순한데 가공할 위력의 크리덴셜 스터핑 공격
방법은 단순하지만 매우 효과적이어서 많은 공격자들이 자주 사용하는 공격방식 중 하나다. 상당수 이용자들이 여러 웹사이트에서 동일한 아이디와 비밀번호를 쓰고 있다는 맹점을 악용한 사이버 공격이다. 이렇게 되면 사회관계망서비스(SNS)와 중고거래 사이트, 커뮤니티 서비스 등 여러 사이트 계정이 한꺼번에 해킹할 수 있다.
영화 속에서도 수현의 전화번호, 집주소, 출신학교, 고향과 부모님 개인정보 등 신상정보가 한꺼번에 털린 것도 이 때문이다.
현직 한 화이트해커는 "사안마다 다르겠지만, 특정인을 타겟화하고, 또 온라인에 남겨진 데이터가 많다면 영화처럼 금방 알아낼 수도 있다"고 설명했다.
보안 전문가 "실제 가능한 해킹 수준"…추가 인증 등 보안 인중화해야
아울러 대소문자, 숫자, 특수 문자 포함해 8자리 이상의 비밀번호를 사용하되, 주기적으로 변경하고 개인만의 비밀번호 생성 규칙을 2~3개 정도를 만들어 각 사이트 별로 다르게 설정하는 것도 좋은 보안대책이다.
사용 중인 PC나 스마트폰의 소프트웨어나 앱은 최신 버전으로 유지해 악성코드·취약점을 통한 공격에 대응하고 안티바이러스 소프트웨어를 통해 정기적으로 검사하는 것을 권장한다.
장상근 로그프레소 연구소장은 "개인이 아무리 잘 보안을 하더라도 사용하는 사이트가 해킹당하면 의미 없기 때문에 모든 사이트에서 2차 인증을 사용하는 것이 가장 중요하다"고 강조했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
