안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

사회공학적 기법이란 사람을 속여 정보를 획득하는 기법으로, 특별한 기술이 필요하지 않지만 가장 효과적인 공격방식 중 하나입니다. 이러한 사회공학적 기법을 이용한 비정상적인 본인 인증 시도가 발견되고 있어 사용자들의 각별한 주의가 필요합니다. 

ESRC는 이메일 인증 과정에서 비정상적인 본인 인증 시도 정황을 포착하였습니다. 

이메일 인증이란, 인증을 요청한 자가 실제 이메일의 소유자인지 인증하는 절차로, 본인인증 절차로 많이 사용됩니다.

하지만 그룹 메일의 경우 다수의 구성원으로 이루어져 있어, 다수의 구성원 중 한명이 실수로, 혹은 호기심으로 인증 버튼을 눌렀을 경우 정상적인 이메일 인증이 성공된 것으로 간주 된다는 점을 노린 것입니다.

뿐만 아니라 얼마 전, 온라인 정부민원 포털서비스인 정부 24 홈페이지의 특정 간편인증에서 불특정 다수에게 본인이 요청하지 않은 인증 요청이 발송되어 사용자들의 혼란을 야기하였습니다. 

간편인증이란 민간 인증서를 사용하여 본인을 인증하는 방식으로, 공공서비스에서도 접근성을 높히기 위하여 민간인증서로 접속 가능한 간편인증서비스를 시행중에 있습니다. 

간편인증을 통한 비정상적인 시도가 확인된 직후, 정부24 홈페이지에서는 특정 간편인증 서비스를 중지해 놓은 상황입니다. 

민간인증서들의 경우 이름, 생년월일 및 휴대폰번호 정보를 통하여 소유자에게 인증을 요청하며, 이렇게 발생한 요청은 민간 앱에서 인증 요청 메세지 확인 > 간편인증(생체인증, 비밀번호 등) > 인증완료 방식을 통하여 본인 인증을 할 수 있습니다.

즉, 이름, 생년월일 및 휴대폰 번호만 알고있다면 누구든지 특정 사용자에게 인증 요청을 발송할 수 있다는 것 입니다.

인증 요청을 수신한 수신자가 인증 확인을 하지 않으면 아무런 영향이 없습니다. 

다만, 가족 구성원 일원의 요청으로 오인하거나 무의식적으로 수신된 인증을 확인 해버린다면 공격자는 인증된 사용자 권한으로 민감 정보들을 획득할 수 있습니다. 

사람들의 심리를 이용한 사회공학적 공격 기법을 예방하려면 개개인이 주의를 기울이는 수 밖에 없다는 점을 반드시 기억하셔야 합니다. 

비정상적인 인증 요청을 허용해버리면, 인증 철회가 어려울 뿐만 아니라 각종 증명서와 같은 민감정보들이 유출될 수 있는 만큼, 사용자여러분들께서는 인증 요청이 발생하였을 때에는 반드시 꼼꼼히 확인해 보시고, 본인이 요청하지 않은 요청이라면 인증하지 마시고 해당 서비스 제공업체에 신고하시기를 권고 드립니다.