보안업계는 주민번호 대체수단으로 권장한 공공아이핀에 대한 해킹에 사용된 ‘파라미터 위변조’라는 수법이 흔하지만 방지하기는 어렵다는 데 입을 모았다.
’파라미터’는 일종의 매개 변수로, 함수와 함수 사이에 관계를 증명해 이어주는 역할을 한다.
아이핀을 발급받기 위해서는 1, 2, 3단계의 인증과정이 있다. 먼저 1단계 개인정보 및 사용자 정보 인증을 통과하면 ‘인증완료’라는 파라미터가 2단계로 보내진다. 이어 2단계 공인인증서 등 본인확인 인증을 통과하면 마찬가지로 인증완료라는 파라미터가 3단계로 보내져 아이핀이 발급된다.
공격자는 이를 서버가 보내는 ‘인증완료’라는 메시지를 탈취하는 등 파라미터를 변조해 1·2단계를 건너 뛰고 3단계로 바로 간 것으로 보인다는 게 보안업계 관계자들의 분석이다.
파라미터는 모든 프로그램을 짤 때 필수적으로 들어가고, 우회 접속을 하려면 파라미터 변조가 필요하기 때문에 ‘파라미터 변조’는 해킹에서 많이 이용되는 수법이다.
보안업계 관계자는 “프로그램에 들어가는 파라미터는 수없이 많고, 이 모든 파라미터를 완벽히 관리하는 프로그램은 있을 수 없다”며 “프로그램 취약점을 지속적으로 분석하고 보안 업데이트를 해도 해커가 마음먹고 취약점을 찾으려 한다면 어딘가에서는 찾을 수 있을 것”이라고 분석했다.
또 다른 보안업체 관계자는 “공공기관 해킹 시도는 특정 기관을 표적해 공격하는 스피어피싱이 많기 때문에 공격 목적도 각기 다르다”며 “다만 공공기관을 해킹하는 주목적은 금전적인 이득을 넘어가 소유 정보를 유출하거나 기반 시설 제어 등 사회적 혼란을 야기하기 위한 목적을 지닌 경우가 많다”고 설명했다.
그는 “이러한 공공기관 해킹으로부터 조금이라도 안전해지려면 내부 업무 프로세스 보안 점검, 보안 솔루션 도입, 지속적인 내부자 보안 인식 교육 등 전방위적인 보안 강화 노력이 필요하다”고 강조했다.
연합뉴스
’파라미터’는 일종의 매개 변수로, 함수와 함수 사이에 관계를 증명해 이어주는 역할을 한다.
아이핀을 발급받기 위해서는 1, 2, 3단계의 인증과정이 있다. 먼저 1단계 개인정보 및 사용자 정보 인증을 통과하면 ‘인증완료’라는 파라미터가 2단계로 보내진다. 이어 2단계 공인인증서 등 본인확인 인증을 통과하면 마찬가지로 인증완료라는 파라미터가 3단계로 보내져 아이핀이 발급된다.
공격자는 이를 서버가 보내는 ‘인증완료’라는 메시지를 탈취하는 등 파라미터를 변조해 1·2단계를 건너 뛰고 3단계로 바로 간 것으로 보인다는 게 보안업계 관계자들의 분석이다.
파라미터는 모든 프로그램을 짤 때 필수적으로 들어가고, 우회 접속을 하려면 파라미터 변조가 필요하기 때문에 ‘파라미터 변조’는 해킹에서 많이 이용되는 수법이다.
보안업계 관계자는 “프로그램에 들어가는 파라미터는 수없이 많고, 이 모든 파라미터를 완벽히 관리하는 프로그램은 있을 수 없다”며 “프로그램 취약점을 지속적으로 분석하고 보안 업데이트를 해도 해커가 마음먹고 취약점을 찾으려 한다면 어딘가에서는 찾을 수 있을 것”이라고 분석했다.
또 다른 보안업체 관계자는 “공공기관 해킹 시도는 특정 기관을 표적해 공격하는 스피어피싱이 많기 때문에 공격 목적도 각기 다르다”며 “다만 공공기관을 해킹하는 주목적은 금전적인 이득을 넘어가 소유 정보를 유출하거나 기반 시설 제어 등 사회적 혼란을 야기하기 위한 목적을 지닌 경우가 많다”고 설명했다.
그는 “이러한 공공기관 해킹으로부터 조금이라도 안전해지려면 내부 업무 프로세스 보안 점검, 보안 솔루션 도입, 지속적인 내부자 보안 인식 교육 등 전방위적인 보안 강화 노력이 필요하다”고 강조했다.
연합뉴스
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
