[이코노미스트 정두용 기자] 카카오톡·메일 등의 계정 정보를 탈취해 불법 성인물 광고를 무작위로 뿌리는 조직적 움직임이 포착됐다. 카카오는 해당 사안을 인지한 후 모니터링을 강화하고 있는 것으로 확인됐다.

9일 카카오에 따르면 최근 카카오톡 아이디(ID)와 비밀번호를 탈취, 단체 대화방(단톡방)에 게시글 공유 기능으로 부적절한 내용을 보내는 사건이 빈번하게 이뤄지고 있다. 복수의 이용자가 카카오톡 계정을 탈취당한 후 스팸 게시글이 여러 단톡방에 올려지는 피해를 봤다. 해당 스팸 게시글 모두 특정 블로그에 작성된 성인물 광고 내용을 동일하게 담고 있다.

일부 피해자는 1000명이 넘는 단톡방에 해당 스팸 게시글이 올라가 곤욕을 치렀다고도 했다. 한 피해자는 “게시글이 입에 담기 힘든 부적절한 성인물 광고 내용이라 지인들에게 해명하기까지 매우 곤란한 상황을 겪었다”며 “해당 게시글이 공유된 직후 자동으로 보호조치가 이뤄졌지만 좀처럼 안심이 되질 않는다”고 말했다. 또 다른 피해자는 카카오톡 계정 보호조치 후 비밀번호를 변경하자 ‘개인 정보를 이용하겠다’는 식의 협박성 전화를 받기도 했다.

카카오는 ‘크리덴셜 스터핑’(Credential Stuffing) 공격에 따라 이 같은 피해가 나타났다고 봤다. 크리덴셜 스터핑은 사용자 계정을 탈취해 공격하는 유형 중 하나다. 정보 유출에 취약한 웹사이트나 음지화된 다크웹(특정 프로그램으로만 접속할 수 있어 범죄에 주로 이용되는 웹)을 통해 취득한 로그인 정보(아이디·비밀번호)가 공격에 이용된다. 탈취한 정보를 카카오톡에 대입해 로그인이 이뤄지면 단톡방에 성인물 스팸을 올리는 식으로 공격이 진행됐다는 설명이다. 통상적으로 비밀번호가 단순한 패턴이거나, 여러 계정에 같은 비밀번호를 적용하는 사용자를 대상으로 이 같은 피해가 나타난다.

크리덴셜 스터핑을 통한 공격 행위는 비교적 오래된 수법이다. 정보 탈취에 취약한 웹사이트에서 로그인 정보를 습득한 뒤 네이버·카카오와 같이 이용자가 많은 플랫폼을 중심으로 스팸을 보내는 식의 피해가 나타난다. 다만 이번 사례는 단톡방에 같은 성인물 스팸 보내는 식의 공통된 양상을 보여 조직적 공격이 의심된다.

카카오의 경우 크리덴셜 스터핑에 대한 보호 시스템 도입해 운영하고 있다. 실제로 복수의 피해자는 모두 “단톡방에 스팸 게시글 공유된 직후 접속 제한 등의 보호조치가 이뤄졌다”고 전했다.

카카오 관계자는 “도용 의심 계정에 보호조치를 진행하고 있고, 2단계 인증(추가 인증을 통한 로그인) 설정을 진행토록 별도의 안내를 보내기도 했다”며 “회사가 사용자의 대화 내용을 볼 수 있는 방법은 절대로 없어, 해당 스팸을 별도로 모니터링하는 식의 접근이 이뤄지진 않는다. 다만 공유하기 기능 사용이 단시간에 급증하는 등의 이상 징후가 나타나면 자동으로 보호조치가 적용된다”고 설명했다.

카카오는 동일한 피해 사례가 최근 들어 증가하고 있는 만큼 의심스러운 환경에 대한 로그인 제한 등의 모니터링을 강화하고 있다. 이와 함께 개인이 직접 자신의 계정 보호에 대한 인식을 높일 수 있는 캠페인을 주기적으로 진행 중이다. 이를 통해 비밀번호의 주기적 변경 필요성과 2차 인증 설정 권장 등을 지속해 알리고 있다. 카카오 관계자는 “이번 피해 사례의 경우 자사 시스템이 취약해 정보가 탈취된 건 아니다”라면서도 “계정 정보 탈취 후 2차 피해를 방지할 보안 방법들을 다양한 채널을 통해 공유하고 있다”고 말했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지