메뉴 건너뛰기

그들은 왜 코레일 비밀번호를 노렸을까? [탈탈털털]

랭크뉴스 2024.05.12 10:32 조회 수 : 0


4개의 숫자로 된 비밀번호를 설정해야 한다고 가정해보죠. 어떤 숫자가 떠오르시나요. 저는 휴대폰 번호 뒷자리, 생일 혹은 자주 쓰는 4개의 숫자 몇 개가 언뜻 생각이 납니다. 그런데 이 비밀번호들, 여기저기에 돌려쓰고 있진 않으신가요.

오늘 '탈탈털털'에서 이야기해 볼 사안은 4개의 숫자로 된 비밀번호입니다.

■ 코레일 사이트 속 '4자리 비밀번호', 타깃됐다

지난해 말, 한국철도공사의 승차권 예매 홈페이지 '레츠코레일'은 해외 IP에 의해 해킹 공격을 받은 것으로 추정됩니다.

범죄 조직이 표적으로 삼은 건 '현장 발권' 비밀번호입니다.

한국철도공사의 승차권 예매 홈페이지 '레츠코레일'에 처음 가입할 때는 비밀번호 두 가지를 설정합니다. 하나는 레츠코레일 사이트 홈페이지의 비밀번호로 영문자와 숫자, 특수문자가 결합 된 9자리입니다. 웹사이트 로그인 할 때 사용됩니다.

또 다른 하나는 '현장 발권' 비밀번호입니다. 자동발매기와 역 창구에서 사용되는데, 4개의 숫자로만 구성됩니다.


지난해 11월 이 현장 발권 비밀번호에 대한 무차별 대입 공격 정황이 확인됐습니다. 당시 레츠코레일 홈페이지에서 현장 발권 비밀번호를 바꾸려면, 기존 비밀번호를 입력해야만 바꿀 수 있었습니다.

범죄 조직은 이를 노렸습니다. 미리 입수한 개인 정보로 로그인한 뒤, 현장 발권 비밀번호 창에 아무 숫자나 무차별적으로 대입하는 방식으로 회원들의 기존 비밀번호 4자리를 알아낸 것으로 추정됩니다.


사실상 코레일 웹사이트가 승차권 예매 창구가 아니라 특정인의 4자리 비밀번호를 확인하는 '창구'가 된 셈입니다.
이렇게 범죄조직의 표적이 된 것으로 의심되는 코레일 회원 수는 784명에 달합니다.

혹시 비밀번호 돌려쓰시나요?

범죄 조직이 이 '현장 발권 비밀번호'를 노린 이유는 무엇일까요.

4개의 숫자로 된 비밀번호는 코레일 외에도 일부 은행 계좌, 카드 비밀번호 등으로 다양하게 활용되고 있습니다. 우리나라에서 가장 널리 쓰이는 본인 인증 수단 중 하나가 바로 이 네 자리 비밀번호입니다.

이 네 자리 비밀번호를 설정하란 요청을 받을 때가 많은데 이때마다 매번 다른 비밀번호를 쓰는 경우는 드뭅니다. 기억하기 쉽게 한 개의 비밀번호를 여러 곳에 돌려쓰는 경우가 더 많습니다. 가령 코레일 현장 발권 비밀번호로 '1111'을 설정한 사람은 은행 계좌 비밀번호처럼 숫자 4개로 구성된 비밀번호를 요구하는 다른 곳에도 '1111'을 쓰곤 합니다.


보안 전문가들은 범죄 조직이 사람들의 이 같은 성향을 노려, 코레일을 통해 비밀번호를 입수한 뒤 다른 사이트 등에 활용해보고자 한 것으로 추정하고 있습니다.

보안 업체 로그프레소 장상근 소장은 "기본적으로 네 자리 비밀번호를 많은 곳에서 사용하고 있고, 그걸 이용해서 다른 곳에 대입해 볼 수 있지 않았나 싶다."라고 추정했습니다.

보안 업체 스텔스모어 최상명 이사도 "특히 금융 서비스들의 경우 숫자로 된 4자리나 6자리 비밀번호를 많이 사용한다."라며 "6자리라고 하더라도 기존 4자리에다 숫자 0을 추가하기 때문에 4자리 숫자를 알면 다양한 형태로 활용할 수 있지 않나 싶다."라고 설명했습니다.

그러면서 최 이사는 "범죄자 입장에서는 4자리 숫자를 알게 되면 피해자의 다양한 다른 서비스들에 접속해서 악의적인 행위를 추가로 할 수 있어서 노린 것 아닌가 생각이 든다."라고 추정했습니다.

■ 코레일 고객에게 문자 메시지로 고지…본인 인증 절차 추가"

코레일은 <KBS>에 "지난해 11월 말 경찰에서 정보통신기반보호법 위반 사건을 수사하던 중 승차권 예매 홈페이지 '레츠코레일'에서 취약점을 발견했다."라며 "이를 개선하기 위해 한국철도공사에 업무 협의를 요청했고, 코레일은 취약점을 인지한 후 대상자에게 즉시 문자를 발송해 안내하는 등 긴급조치를 시행했다"고 밝혔습니다.

또, 코레일은 "무차별 대입공격을 받은 것으로 의심되는 고객들을 대상으로 현장 발권 비밀번호를 일괄적으로 초기화했다."라며 "홈페이지 비밀번호를 변경할 때 본인인증 절차를 추가하고, 현장 발권 비밀번호 변경 할 때 기존 비밀번호를 먼저 입력하는 절차도 생략했다"고 설명했습니다.

이외에도 코레일은 지난 4월 개인정보 페이지에서 보이던 휴대폰 정보를 삭제하는 등 추가 조치도 시행했다고 덧붙였습니다.

온라인이나 휴대전화, PC 등에서 해킹이나 개인정보 탈취 피해를 입은 분들의 제보를 기다립니다.
연락처 [email protected]


■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : [email protected]
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 네이버, 유튜브에서 KBS뉴스를 구독해주세요!



KBS

신지수 ([email protected])

이 게시물을
이 글의 추천인 목록 목록
번호 제목 글쓴이 날짜
21134 [속보] 尹 "노동법원 설치 필요 단계…임기 중 법안 낼 수 있도록 준비" 랭크뉴스 2024.05.14
21133 [속보] 윤 대통령 "노동법원 설치 필요… 임기 중 법안 준비" 랭크뉴스 2024.05.14
21132 "이젠 AI가 카메라로 세상 들여다본다" 오픈 AI, 신형 GPT-4o 공개 랭크뉴스 2024.05.14
21131 조국을 '양파남' 조롱한 日언론…"다케시마 왜 가나" 도발 질문도 랭크뉴스 2024.05.14
21130 ‘불닭’ 선물에 울던 美 소녀, 삼양이 직접 찾아갔다 랭크뉴스 2024.05.14
21129 영화 ‘빅쇼트’ 실존 인물 “테슬라 아직 고평가… 주가 70% 하락할 것” 랭크뉴스 2024.05.14
21128 뉴진스 컴백 코앞 본격 활동 시동…‘경복궁 공연’에 ‘1박2일’까지 [지금뉴스] 랭크뉴스 2024.05.14
21127 ‘김건희 수사’ 지휘부 기습 물갈이에 검찰총장 “…” 12초 침묵 랭크뉴스 2024.05.14
21126 학부모 갑질 판치는 세상에…'스승의 날' 깜짝 이벤트 준비한 학부모들 랭크뉴스 2024.05.14
21125 "셋째 낳으면 2000만원"…파격 출산장려책 발표한 '이 회사' 어디? 랭크뉴스 2024.05.14
21124 안철수 “‘채 상병 특검’, 거부권 행사 않고 ‘그냥 받겠다’는 게 정정당당한 태도” 랭크뉴스 2024.05.14
21123 사실상 ‘폐지’된 사전청약… 전문가들 “처음부터 잘못 꿰어진 단추” 비판 랭크뉴스 2024.05.14
21122 윤 대통령 장모 최은순, 형기 두 달 남기고 출소‥묵묵부답 랭크뉴스 2024.05.14
21121 "왜 다케시마 갑니까" 日기자 직격에…"누구신지" 조국 응수 화제 랭크뉴스 2024.05.14
21120 트럼프 “한국 방위비 안낸다… 미국 조선·컴퓨터 산업도 가져가” 주장 랭크뉴스 2024.05.14
21119 이준석, '김여사 수사' 지휘부 교체에 "2016년 전철 밟는 'T익스프레스' 탄다" 랭크뉴스 2024.05.14
21118 올트먼, 'GPT-4o' 공개에 "AI와 대화 부자연스러웠지만... 이젠 아니다" 랭크뉴스 2024.05.14
21117 10년째 말뿐인 ‘실거래 미분양 통계’… “6.4만 미분양 가구, 실제는 10만가구 넘을 듯” 랭크뉴스 2024.05.14
21116 태국 파타야 한인 살해 사건 20대 피의자 구속영장 신청 랭크뉴스 2024.05.14
21115 ‘찐윤’ 이철규 “한동훈 전대 출마, 본인 선택에 달려” 랭크뉴스 2024.05.14
쓰기 태그