키오스크 기기 렌탈 중소기업 더9컴퍼니코리아의 키오스크가 해킹 피해를 입었다. 이 회사는 '오더나인(9)'이라는 브랜드로 키오스크를 공급하고 있다.
7일 보안업계에 따르면 지난달 중순께부터 오더나인 홈페이지가 접속이 불가능하다. 이날 오후 현재까지도 오더나인 홈페이지에 접속하면 '위험한 사이트'라는 경고 문구가 표시된다.
경고 문구를 무시하고 오더나인 홈페이지 접속하면 해커에 의해 변조된 홈페이지가 표시된다. 'S4dboyXPLOID404'라는 닉네임을 사용하는 해커는 인도네시아어로 "적어도 난 내가 사랑하는 사람들을 즐겁게 해주려고 노력했어. 비록 결국엔 내가 망쳐지긴 했지만"이라는 이해하기 어려운 내용을 남겨놨다.
그러면서 자신이 속해 있는 해커 팀의 메일을 올려놓고, '플레이' 버튼과 '일시정지' 버튼을 띄워놨다.
오더나인이 '디페이스' 공격을 당한 것이다. 디페이스는 화면 위·변조 공격을 말한다. 일반적으로 웹 사이트의 화면을 해커가 임의로 변경하고, 자신의 해킹 능력을 과시하기 위해 닉네임이나 이메일 등으로 자신을 알리는 사이버 공격 유형이다.
디페이스 공격 뿐 아니라 해킹 당한 오더나인 홈페이지 인터넷 주소(URL)와 유사한 피싱 사이트도 생겨나 직접적인 개인정보 탈취 시도가 이어지고 있다.
실제로 지난달 기자가 보안 전문가의 감독 아래 오더나인 URL과 유사한 피싱 사이트에 접속해봤다. 피싱 사이트에 접속하면 중국의 e커머스 사이트 알리바바로 꾸며진 사이트로 연결됐다.
마치 알리바바에서 25달러에 특별한 선물을 제공하는 것처럼 사이트를 위장해 놓았는데, 계정 정보를 입력하는 곳에 진짜 계정인 것처럼 지어낸 계정정보를 입력하니 화면이 잠시 멈추더니 진짜 알리바바닷컴 로그인 사이트로 리디렉션(사용자가 요청한 URL에서 다른 URL로 자동 이동되는 것)됐다.
또 입력한 가상의 계정정보가 외부 서버로 넘어갔을 뿐 아니라 진짜 알리바바 사이트와 피싱 사이트 간의 로그인 패킷이 다르다는 것도 확인됐다.
공격자가 오더나인에 업로드한 악성 파일 목록도 있다. 공격자는 최초로 지난해 10월께 공격을 시도한 것으로 보이고, 올해 3월에도 악성 파일을 업로드한 정황이 포착됐다.
한 보안전문가는 "이같은 피싱 사이트들에 계정 정보를 입력하면, 해당 정보는 외부 서버로 옮기고 곧바로 진짜 사이트로 접속되는 경우들이 많다"며 "마치 정보가 유출되지 않은 것처럼 위장하기 위함으로 보인다"고 말했다. 이 전문가는 또 "해당 사이트가 알리바바로 위장돼 있어 피싱에 당할 확률이 낮지만, 우리 국민이 많이 사용하는 네이버와 같은 홈페이지로 당초부터 위장돼 있었으면 무심코 계정정보를 입력하기 더 쉽다"며 "이렇게 계정정보가 유출되면 이 정보를 가지고 여러 사이트에 입력해 더 많은 정보를 탈취하는 이른바 '크리덴셜 스터핑' 공격에 취약해진다"고 경고했다.
관련기사
- 해커 "SGI서울보증 13.2TB 탈취" 주장…다크웹 들어가보니2025.08.05
- 美 데이팅앱 티, 해킹으로 7만여 사용자 사진 유출2025.07.28
- MS '셰어포인트' 해킹 여파…"美 정부·에너지·대학 줄줄이 뚫렸다"2025.07.21
- 예스24, 해킹 2차 보상안 발표…"전 회원에 5천원 상품권 지급"2025.06.17
'크리덴셜 스터핑' 공격은 유출된 계정 정보를 여러 웹사이트에 무작위로 대입해 로그인을 시도하는 해킹 수법이다.
보안업계 전문가는 "정보보호 역량이 부족한 중소기업의 경우 외부 공격에 취약한 곳이 많다"면서 "보안 투자를 비용이라 생각하지 않고 적극 투자하려는 인식을 갖고, 오래된 사이트나 시스템에 대한 적절한 패치 등이 빠르게 이뤄져야 한다"고 말했다.
