[워크넷 해킹] 23만 개인정보 어떻게 털렸나…보안관리 '도마위'

기사입력 : 2023년07월07일 15:21

최종수정 : 2023년07월08일 09:35

워크넷, 중국 해커에 개인정보 23만건 유출
신종 '크리덴셜 스터핑' 수법에 속수무책 당해
범죄 악용될 가능성…금전 등 2차 피해 우려

[세종=뉴스핌] 정성훈 기자 = 고용노동부와 한국고용정보원이 운영하는 채용정보사이트 '워크넷'이 중국 해커들에 의해 뚫린 것으로 알려진 가운데, 허술한 보안관리가 '도마위'에 올랐다.

또한 수십만명의 개인 정보가 삽시간 내에 털린 것으로 알려지면서, 이들 해커의 공격방식인 '크리덴셜 스터핑(Credential stuffing)'에 대한 관심도 커지고 있는 상황이다.

◆ 아이디·비번 무작위 대입방식 '크리덴셜 스터핑' 수법은?

7일 고용노동부에 따르면, 고용정보원은 지난 6일 중국 등 해외 인터넷 접속 주소(IP) 28개에서 23만여건의 워크넷 무단 접속을 확인했다고 밝혔다. 이를 통해 23만명의 개인정보 유출이 확인됐다.

이들이 사용한 해킹수법은 '크리덴셜 스터핑'이라고 하는 로그인 정보 무작위 대입 방식이다. 소위 '다크웹'으로 불리는 인터넷 암시장에서 불법으로 취득한 사용자 정보(아이디·암호)를 다른 계정에 무작위 대입해 타인의 개인정보를 빼내는 수법이다.

즉, 취득한 아이디와 비번을 여러 웹사이트나 앱에 대입해 로그인을 시도하고, 접속될 경우 그 안에 있는 타인의 개인정보 등을 유출시키는 식이다. 이는 대다수 인터넷 사용자가 여러 사이트에서 동일한 아이디와 비번을 쓴다는 점을 악용한 것이다.

화이트해커로 활동했던 한 보안전문가는 "크리덴셜 스터핑이라고 하는 해킹수법은 과거에서부터 흔하기는 했는데 수면위로 드러난건 그리 오래되지 않았다"면서 "과거에는 공격자들이 개인 정보를 탈취해 개별 사이트에 가서 일일이 대입해 보는 방식인데 최근에는 자동화된 로봇을 만들어 무작위로 막 집어넣고 확인하는 절차를 거치는 형태로 진화하다 보니까 문제가 더 심각해진 것"이라고 설명했다.

이어 이 보안전문가는 "이번에는 워크넷만 수면위로 드러났지만, 같은 패스워드를 동일하게 쓰는 기업들, 개인들이 많기 때문에 그런 경우에는 어쩔 수 없이 공격을 당할 수 밖에 없는 상황"이라며 "이러한 문제가 추가적으로 발생할 경우 문제가 더욱 심각해질 수 있다"고 우려를 표했다.

김영중 고용정보원장 역시 "크리덴셜 스터핑이라고 부르는 해킹 방식을 이용하면 1초에도 수천 번, 수만 번씩 자동차 툴을 돌려 로그인을 시도할 수 있어 대응이 쉽지 않다"면서 "고용정보원의 경우 하루 평균 접속자가 100만명을 넘는데, 이 많은 트래픽에서 이상 신호를 발견하고 일일 차단하려면 많은 인력이 필요하다"고 고충을 토로했다.

김 원장은 그러면서 "그나마 고용정보원의 경우 별도의 보안인력이 배치돼 있어 나름 신속히 대응할 수 있었지만, 그렇지 못한 기업들은 해킹을 당해도 인지 못 하는 '눈 뜨고 코베이는 상황'이 발생할 수 있다"고 설명했다.

고용정보원이 밝힌 유출 정보는 개인이력 항목에 있는 이름, 성별, 출생년도, 주소, 일반전화, 휴대전화, 이메일, 학력, 경력, 훈련참여이력, 참여프로젝트, 주요활동 및 수상경력, 해외경험, 외국어능력, 보유자격, 증명사진, 운전가능여부, 차량소유여부로 총 18개다.

이 중 이름이나 출생년도, 휴대전화 등 유출된 정부는 보이스 피싱 등 2차 범죄에 이용될 가능성이 높다. 자칫 금전적 피해 등 2차 피해가 우려되는 상황이다.

김 원장은 "지금 가장 걱정되는 건 2차 피해다. 빠져나간 개인정보가 만약 범죄 집단에게 넘어갈 경우 금융사기나 취업 사기 등에 활용될 가능성이 있다"면서 "이런 피해가 발생하지 않도록 피해자들에게 개별 연락을 취해 놓긴 했는데 추가적인 보완책 마련이 필요해 보인다"고 전했다.

◆ 유일한 피해 방어 방법은 아이디·비번 주기적 변경

현시점에서 크리덴셜 스터핑 해킹을 사전에 차단할 방법은 사실상 없다.

피해 기관이나 기업이 해킹 사실을 인지한 후 빠르게 접속을 차단하거나, 사이트 이용자가 아이디와 비번을 주기적으로 변경해 피해 가능성을 줄이는 것이 유일한 방법이다.

보안전문가는 "하나의 IP에서 여러 계정들이 로그인을 시도한다거나 하는 패턴들은 다 동일하기에 그런 것들을 좀 더 보완할 수 있는 방법론에 발맞춰 가야 한다"면서 "해당 해킹 피해를 막을 수 없다면 피해 사실 인지 후 빠르게 접속을 끊어내는 방법이 추가로 개발돼야 할 것"이라고 설명했다.

[출처=워크넷 홈페이지 캡처] 2023.07.07 swimming@newspim.com

고용정보원 워크넷 담당자는 피해 사실 확인 즉시 전체 이용자 비밀번호를 초기화해 추가 피해는 없다는 입장이다.

이 담당자는 "피해 예방을 위해 주기적인 암호변경과 사이트별 다른 암호를 사용할 것을 당부드린다"며 "혹시 모를 피해를 최소화하기 위해 워크넷은 로그인 시 기존 비밀번호(PW)를 새롭게 변경해야만 로그인될 수 있도록 조치를 완료했다"고 밝혔다.

jsh@newspim.com

[관련기사]

[관련키워드]

개인정보 고용정보원 해커 워크넷 다크웹 한국고용정보원 고용노동부

GAM - 해외주식 투자 도우미

산미나 52주 최고가 ② AI 투자 사이클 지속 전망

산미나 52주 최고가 ① ZT 시스템즈 인수 효과 극대화

[홍콩 대장주] 메이퇀 ③ 신성장 동력의 '폭발적 성장'

[홍콩 대장주] 메이퇀② 실적은 고속 상승, 밸류는 역대 저점

[뉴스핌 베스트 기사]

사진

공정위 "쿠팡 '총수'는 김범석" [세종=뉴스핌] 김범주 기자 = 공정거래위원회가 쿠팡의 동일인, 이른바 총수를 쿠팡 법인에서 김범석 쿠팡Inc 의장으로 변경 지정했다. 쿠팡이 대기업집단으로 지정된 이후 법인을 동일인으로 봤던 공정위 판단이 5년 만에 뒤집힌 것이다. 김 의장이 동일인으로 지정된 데에는 동생 김유석씨가 부사장으로 재직하면서 4년간 쿠팡으로부터 받은 140억원 규모의 보수와 인센티브가 직접적인 영향을 미쳤다. 김 부사장이 주요 사업에 대해 구체적인 업무집행 방향에 영향력을 행사했다는 점도 공정위 판단의 근거가 됐다. 김범석 쿠팡 이사회 의장 [사진=로이터 뉴스핌] 공정위는 29일 이 같은 내용을 포함한 '2026년도 공시대상기업집단' 지정 결과를 공개했다. 다음 달 1일 자로 자산총액 5조원 이상인 공시대상기업집단은 102개, 소속회사는 3538개다. 전년보다 각각 10개, 237개 증가했다. 올해 가장 주목받은 기업은 쿠팡이다. 그동안 쿠팡은 공정거래법 시행령상 '법인 동일인 예외요건'을 충족한 것으로 인정돼 김 의장이 아닌 쿠팡 법인이 동일인으로 지정됐다. 사실상 기업집단을 지배하는 자연인이 있더라도 ▲자연인과 법인 중 누구를 동일인으로 지정하더라도 국내 계열회사 범위가 달라지지 않고 ▲자연인과 친족의 국내 계열회사 출자, 자금 대차, 채무보증 또는 경영 참여 등 사익편취 우려가 없는 경우 법인을 동일인으로 지정할 수 있는 제도다. 하지만 올해 지정 과정에서 이 같은 판단이 달라졌다. '기업집단을 지배하는 자연인의 친족이 국내 계열회사 경영에 참여하지 않아야 한다'는 요건을 충족하지 못했다는 취지다. 실제 김 부사장은 지난해에만 43만달러의 보수와 7만4401주의 양도제한 조건부 주식(RSU)을 받은 것으로 알려졌다. 2021년부터 4년간 쿠팡으로부터 받은 보수와 인센티브는 140억원 규모로 전해졌다. 공정위는 김 부사장이 주요 계열사 대표이사와 유사한 최상위 등급에 해당하고, 연간 보수와 처우도 등기임원에 준하는 수준이라고 봤다. 또 김 부사장이 물류·배송 정책 관련 정기·수시 회의를 수백 차례 주재하고, 쿠팡로지스틱스(CLS) 대표이사 등을 불러 주간 업무실적을 점검하거나 물량 확대, 배송 정책 변경 등 개선안을 논의한 사실도 확인했다. 주요 사업의 구체적 업무집행 방향에 사실상 영향력을 행사했다는 판단이다. 이번 결정으로 쿠팡은 앞으로 김 의장을 기준으로 동일인 관련자와 특수관계인 범위가 정해진다. 공시대상기업집단 소속회사는 대규모 내부거래 의결·공시, 비상장회사 중요사항 공시, 기업집단 현황 공시 의무를 부담한다. 특수관계인에 대한 부당한 이익제공 금지 규제도 적용받는다. 상호출자제한기업집단에 해당하면 상호출자 금지, 순환출자 금지, 채무보증 제한, 금융·보험사 의결권 제한도 추가로 적용된다. 공정위 관계자는 "이번 지정 결과를 바탕으로 지정된 집단에 대해 고도화된 분석을 통한 정보를 순차적으로 공개해 시장참여자에게 유용한 정보를 제공할 계획"이라고 말했다. 한편 쿠팡 측은 공정위 판단에 대한 행정소송을 예고했다. 쿠팡 관계자는 "김 의장의 동생은 공정거래법상 임원(대표이사·이사·감사·지배인 등)이 아니며 한국 계열사에 지분을 보유하고 있지 않다"며 "행정소송을 통해 성실히 소명할 것"이라고 말했다. wideopen@newspim.com 2026-04-29 12:00

사진

4년제 대학 평균 등록금 727만원 [서울=뉴스핌] 송주원 기자 = 교육부와 한국대학교육협의회는 2026년 4월 대학정보공시 분석 결과, 4년제 일반·교육대학의 연간 1인당 평균 등록금이 727만300원으로 전년보다 14만7100원 올랐다고 29일 밝혔다. 올해 대학정보공시 대상은 총 403개 대학이다. 교육부는 이 가운데 4년제 일반·교육대학 192개교와 전문대학 125개교를 대상으로 등록금 현황을 분석했다. 사이버대학, 폴리텍대학, 대학원대학 등 86개교는 분석 대상에서 제외됐다. 2026년 대학 평균 등록금 현황. (명령어: 기자가 관련 내용을 입력한 후 기사용 인포그래픽 제작을 주문했음). [일러스트=퍼플렉시티] 4년제 일반·교육대학 192개교 중 130개교가 2026학년도 등록금을 인상했다. 전체의 67.7%에 해당한다. 나머지 62개교, 32.3%는 등록금을 동결했다. 4년제 일반·교육대학의 연간 1인당 평균 등록금은 727만300원으로 집계됐다. 지난해 712만3100원보다 14만7100원 올라 2.1% 상승했다. 설립 유형별로는 사립대 평균 등록금이 823만1500원으로 국·공립대 425만원의 약 1.9배 수준이었다. 사립대 등록금은 전년보다 22만7500원 올라 2.8% 상승했고, 국·공립대는 1만2200원 올라 0.3% 상승하는 데 그쳤다. 소재지별 격차도 나타났다. 수도권 대학의 평균 등록금은 827만원으로, 비수도권 대학 661만9600원보다 165만400원 높았다. 전년 대비 상승률은 수도권이 2.7%, 비수도권이 1.6%였다. 계열별로는 의학계열 등록금이 가장 높았다. 4년제 일반·교육대학의 계열별 평균 등록금은 의학 1032만5900원, 예체능 833만8100원, 공학 767만7400원, 자연과학 732만3300원, 인문사회 643만3700원 순이었다. 전문대학 등록금도 올랐다. 전문대학 125개교 가운데 102개교가 2026학년도 등록금을 인상했고 23개교는 동결했다. 등록금을 올린 전문대학은 전체의 81.6%로, 4년제 일반·교육대학보다 인상 비율이 높았다. 전문대학의 연간 1인당 평균 등록금은 665만3100원으로 전년 647만8700원보다 17만4400원 올랐다. 상승률은 2.7%다. 전문대학도 사립과 공립 간 차이가 컸다. 사립 전문대 평균 등록금은 668만6600원으로 전년보다 17만5700원 올랐다. 반면 공립 전문대는 223만1200원으로 전년보다 4700원 낮아졌다. 소재지별로는 수도권 전문대학 평균 등록금이 708만1900원, 비수도권은 628만7800원으로 집계됐다. 두 권역 모두 전년보다 2.7% 상승했다. 전문대학 계열별 평균 등록금은 예체능 722만9300원, 공학 678만8600원, 자연과학 671만8700원, 인문사회 592만4200원 순이었다. 대학별 세부 공시자료는 이날 12시부터 대학알리미 누리집에 공개된다. 이번 4월 공시에는 등록금 현황, 등록금 납부제도 현황, 등록금 산정 근거, 대학의 사회봉사 역량 등 4개 세부항목이 포함됐다. jane94@newspim.com 2026-04-29 12:00