Breaking
사이버 보안(Cybersecurity)
IT 기업 보안관리 문제 있다…'MS 고객지원 계정' 해킹 발생
2019-06-26 18:29:55
허서윤
▲MS의 고객지원 계정이 해킹당하면서 일부 사용자 정보가 유출됐다(사진=ⓒ플리커)

[라이헨바흐=허서윤 기자] 지난 1월 약 7억 7,300만 건이 넘는 대규모의 사용자 이메일과 비밀번호 유출 사건을 겪었던 마이크로소프트(MS)가 3개월 만에 또다시 보안 침해를 당했다. 

이에 기술 대기업인 MS의 내부 보안 관리가 제대로 안 되고 있다는 우려가 제기되고 있다.

이번 사건의 경우 MSN과 아웃룩, 핫메일 등 MS가 관리하는 웹이메일 서비스의 일부 계정이 침해당한 것으로, 고객지원 담당자의 계정이 해킹당해 발생한 사례다.

고객지원 계정 해킹

해커들은 사용자들의 이메일 계정이 아닌 MS의 고객지원 계정에 먼저 침투해 일부 이용자들의 데이터를 유출했다. 

침해를 당한 정보에는 사용자의 이메일 주소를 비롯해 일부 폴더 이름이나 이메일 제목, 그리고 사용자의 연락 이메일 등도 포함된 것으로 나타났다.

업체는 해당 영향을 받은 사용자들에게 이메일을 통해 상황을 통지, 고객지원 담당자의 계정이 해킹당하면서 외부인이 MS 일부 사용자들의 이메일 계정에 접근했다고 설명했다. 

해커들이 사용자 정보를 쉽게 접근할 수 있었던 이유는 자신들이 해킹한 고객지원 계정을 활용했기 때문이다. 

이들은 사용자와 MS 고객지원 담당자 간 오고 갔던 이메일 제목란을 통해 사용자 정보를 빼내는 데 성공했다. 

이러한 접근 방식은 더 많은 사용자 계정으로 이어질 수 있도록 작용했는데, 처음 접근한 희생자와 관련이 있는 다른 사용자들의 이메일 계정에 접속하면서 사이버 공격의 폭을 넓힌 것이다.

해당 유출 사건은 지난 1월 1일부터 3월 28일 사이에 발생한 것으로 알려진다. 

IT 전문 매체 마더보드에 따르면 익명의 한 소식통을 인용, 다만 이 같은 대규모 유출에도 불구하고 프리미엄 기업 계정과 일반 기업 계정은 영향을 받지 않았다.

소식통은 이외에도 매체에 공격자에게 노출된 정보와 스크린샷을 제공, 사용자의 생년월일과 캘린더를 포함한 사용자 계정 정보의 패널도 공개했다. 

패널 상단에는 프로필과 편지함 폴더 통계, 관리 센터 그리고 로그인 히스토리 등 다양한 사용자 데이터 범주가 표시됐다.

MS 측 역시 이 같은 스크린샷에 대한 정보가 사실이라고 밝혔다. 

이어 침해 영향을 받은 일부 사용자들에게 관련 통지 이메일을 전송했다고 덧붙였지만, 실제로는 영향을 받은 모든 사용자 계정의 6%가량만 이메일을 받은 것으로 알려진다. 

회사는 침해당한 사용자 수도 구체적으로 밝히지 않았다.

▲이번 유출 사건은 지난 1월 1일부터 3월 28일 사이에 발생했다

 

공격 원인 안 밝혀져

더 문제인 것은 해커들의 신분과 행방, 그리고 그들의 해킹 동기에 관한 단서가 오리무중이라는 점이다. 

다만 사이버 범죄자들이 흔하게 행하는 피싱 공격과 관련됐을 가능성이 높을 것으로 추정된다. 사기 활동을 위해 피해자들의 이메일 계정에서 민감한 개인 정보를 빼내는 수법이다.

MS 역시 이메일 사용자들에게 피싱 사기에 대한 주의 경고를 알렸다. 만일 자신의 정보가 도용된 것으로 밝혀질 경우, 이는 이번 사건으로 인한 피싱 사기의 타깃이 됐을 확률이 높다는 것이다. 

가령 자신도 모르게 카드 결제가 이루어지는 경우다. 

이와 관련 IT 보안 전문 업체 포지락의 담당 수석 매니저인 로버트 바모시는 "공격자들의 최근 추세는 사용자가 이전 송수신했던 이메일 제목 앞에 'RE:'라는 단어를 붙여 아무런 의심 없이 메일을 클릭하도록 유도하는 것이라며, 여기에는 악성코드가 포함돼있다"라고 경고했다. 

자신이 사용하는 모든 이메일의 발신자 주소를 확인하는 것이 중요하다고 설명했다.

▲이번 공격은 사이버 범죄자들이 흔하게 행하는 피싱 공격과 관련됐을 가능성이 높을 것으로 추정된다(사진=ⓒ게티이미지)

MS의 대응

MS는 현재까지 정확한 피해자 수를 공식 발표하지 않고 있다. 

회사는 사용자들이 보낸 이메일을 읽을 수 있는 기능을 갖추고 있지만, 이 역시 이번 사건처럼 개인 정보 보호가 침해됐을 때만 이러한 방식을 적용한다. 

지난 2014년 프랑스에 거주하는 사용자가 가운데 한 명의 데이터가 유출됐을 당시, 윈도우8의 유출 원인을 추적하기 위해 해당 피해자의 계정을 조사한 바 있다.

이번 사건의 경우, 해킹당한 고객지원 계정을 즉각 비활성화시켜 다시 해당 계정이 사용될 수 없도록 조치하고 침해당한 사용자 계정에 대한 탐지 및 모니터링도 강화한다는 방식을 채택했다.

이어 대규모 피해에도 불구, 이번 공격으로 인한 사용자들의 로그인 자격 증명과 이메일 내용 및 첨부파일은 손상되지 않았다고 덧붙였다. 

다만 만일을 위해 비밀번호를 다시 재설정할 것을 사용자들에게 권고했다.

이번 사건으로 거대 IT 기업들의 보안 관리가 도마 위에 오르며 향후 많은 IT 기업이 보안 점검에 들어갈 것으로 보인다. 

[라이헨바흐=허서윤 기자]