"보안은 편의성과 반비례…기본 수칙만 지켜도 큰 피해 예방 가능"

최근 대한민국 정부 공식 유튜브 채널의 계정 권한이 탈취당하는 등 유튜브 채널 해킹 사례가 잇따르면서 사이버 보안 강화의 필요성이 지적되고 있다.

이번 계정 탈취 사건의 정확한 경위는 아직 알려지지 않았지만, 또 다른 공격이나 더 큰 피해를 막기 위해서는 기본적인 수칙을 지켜야 한다는 것이 보안업계 전문가들의 한결같은 견해다.

4일 보안업계에 따르면 계정 탈취 피해를 예방하려면 소셜 미디어 계정의 관리자를 복수로 두어서는 안 된다. 단 한 명이 관리하는 것이 좋다.

아무래도 여러 명이 아이디와 비밀번호를 공유하다 보면 관리 소홀 문제가 발생할 수 있다는 설명이다.

실제로 올해 해킹 공격으로 계정 탈취를 당한 한 업체의 경우 10여 명이 소셜 미디어의 아이디와 비밀번호를 공유하고 있었던 사실이 조사 과정에서 드러났다.

한 보안 업계 관계자는 "관리 편의상 계정을 공유하는 경우가 있지만, 보안은 편의성과 반비례한다"고 지적했다.

또한 로그인할 때 비밀번호 외에 관리자의 휴대전화로 인증을 한 번 더 하는 '2단계 인증'을 반드시 설정하고, 소셜 미디어 회사를 사칭한 수상한 메일을 조심할 것을 보안업계 전문가들은 당부했다.

박태환 안랩 사이버시큐리티센터(ACSC) 대응팀장은 "유튜브나 소셜 미디어 제공사 등을 사칭해 계정(아이디와 비밀번호)을 요구하는 수상한 메일을 보면 발신자를 다시 한번 확인해야 한다"고 말했다.

보안 업계는 또 주기적인 비밀번호 변경과 사이트별 다른 비밀번호 사용도 해커의 공격을 예방할 수 있는 방법이라고 강조했다.

예를 들어 보안이 취약한 사이트에 가입 시 사용한 비밀번호를 주요 사이트에서 똑같이 사용할 경우 해커가 보안이 취약한 곳에서 알아낸 비밀번호를 다른 사이트에서 대입해 계정을 탈취, 피해를 볼 수 있다.

보안 업계 다른 관계자는 "다른 웹사이트에서 획득한 아이디나 비밀번호를 조합해 다른 사이트에서 로그인을 시도하는 '크리덴셜 스터핑'(Credential Stuffing) 공격이 자주 발생한다"며 "사이트마다 아이디와 비밀번호를 다르게 설정하는 것은 기본적이면서도 매우 중요한 수칙"이라고 말했다.

박태환 팀장은 "계정 탈취는 피싱 사이트나 '인포스틸러'(웹 브라우저 계정, 암호화폐 지갑, 이메일, 가상사설망(VPN) 클라이언트 등에서의 정보 탈취) 류의 악성코드 감염으로 이뤄지는 경우가 많아 공용 계정에 대한 철저한 관리가 필요하다"고 강조했다.

3일 오전 3시 20분께부터 약 4시간 동안 '대한민국정부' 공식 유튜브 채널이 계정 탈취를 당해 가상화폐 관련 영상이 나오는 해킹 사건이 발생했으며, 지난달 말과 올해 초에 한국관광공사와 국립현대미술관의 채널도 해킹당했던 사실이 이날 알려졌다. 앞서 6월에는 YTN 공식 유튜브 채널이, 7월에는 SBS가 운영하는 유튜브 채널이 해킹으로 수시간 다운된 바 있다. 이 사건들의 정확한 경위는 밝혀지지 않고 있다. 

영남일보(www.yeongnam.com), 무단전재 및 수집, 재배포금지