[일상] 해킹을 당했습니다. 해킹 방지 방법 hoax 메일

미안하다.. 이거 어그로 아니다 진짜다..

너무 부끄럽습니다..

얼마전에 해킹을 당했습니다. 심지어 제가 10년간 사용한 메일이라 더 충격입니다. 

 

어떤 피해를 봤고 어떻게 대처했는지 알려드리겠습니다.

여러분들께 경각심을 드리고자 글을 작성합니다.

 

 

저는 네이버 메일을 메인으로 사용하고 있고, 블로그 때문에 거의 하루에 한번 이상은 계속 접속합니다.

지난주 일요일 네이버 메일에 들어갔는데 깜짝 놀랐습니다.

 

갑자기 '내게 쓴 메일'로 저런 형태로 이메일이 와 있었습니다.

 

** 직접 내게 쓰기로 써본 결과 위의 메일과 같은 형태가 아니었습니다.

실제로 접속해서 쓴 것 같진 않고, 노출된 비밀번호 또한 이미 해킹당해서 퍼져있는 비밀번호 입니다.

해커는 그냥 이때다 싶어서 모든 계정들에 접근해본것 같습니다.

 

내용을 요약하면 다음과 같습니다.

 

너의 계정을 해킹했어. 비밀번호 'xxxxx' 맞지? 진짜야.

그리고 넌 이 이메일을 여는 순간 트로이 목마에 감염이 되었어.

너의 웹캠을 통해서 얼굴을 촬영했고 이걸 성인물에 합쳐서 너의 가족들에게 유포할거야.

 

같은 내용들이었습니다.

 

너무 당황스러웠습니다. 일단 컴퓨터 공부를 했으니 침착하게 읽어야지 해도 침착하기 어려웠습니다.

 

왜냐하면 비밀번호가 진짜 제 비밀번호가 맞았기 때문입니다.

그리고 그날 오전부터 계속 링크드인, 페이스북, 인스타그램 등에 로그인 시도가 되었다고 메일이 왔었습니다.

 

그때 미리 눈치를 챘어야 했는데, 전혀 비밀번호를 바꾸거나 할 생각을 못했습니다.

 

이때 바로 들어와서 확인한 내용은 블로그 였습니다.

열심히 쌓아온 블로그가 털리면 안되는데.. 하면서 확인해보니 정상이었습니다.

 

그리고 다시 글을 읽어봤습니다.

 

• 넌 이 이메일을 여는 순간 트로이 목마에 감염이 되었어.

이건 네이버 메일을 열면서 스크립트가 실행되어야 하는데, xss 같은것을 막지 않았을리가 없어서 말이 안된다고 생각했습니다. 

이때부터 일단 바이러스는 아닌것 같고.. 하고 넘어갔습니다.

 

• 너의 웹캠을 통해서 얼굴을 촬영했고 이걸 성인물에 합쳐서 너의 가족들에게 유포할거야.

이건 처음 봤을때도 별로 신경 안썼습니다. 하는김에 몸짱으로 합성 부탁드립니다. 

 

이 다음부터는 어떻게 해킹을 한 것인가? 이게 문제였습니다.

 

네이버 로그인 기록을 살펴봤습니다. 

 

이상한건 로그인 시도 감지, 해외 로그인 시도같은 알림이 하나도 오지 않았다는 점입니다.

 

실제로 PC로그인 기록은 하나도 나오지 않았습니다.

 

하지만, 아래 POP3 로그인 이라는 탭이 있어서 눌러봤습니다. 세상에나..

언제 유출된건지 감도 안옵니다. 3개월까지 기록을 보여주는데, 이미 3개월 내내 꽉 차있었습니다.

 

 

 

 

POP3/IMAP 로그인

 

POP3/IMAP 을 이용해 로그인 한것을 알 수 있었습니다. 메일 시스템을 모바일, 다른 기기 등 에서 접속할 수 있게 만들어주는 프로토콜입니다. 

 

이런 방식으로 로그인을 하면 페널티가 없는것 같습니다. brute-force로 비밀번호가 뚫린것 같았습니다.

 

대처 방법

• 네이버 메일 -> 환경설정 -> POP3/SMTP, IMAP/SMTP 모두 사용안함 처리

저는 저게 왜 ON 되어있나 생각해보니, 이메일 발송 시스템을 만들때 ON 해둔것 같았습니다.

저 부분을 OFF처리 한 이후로는 더이상 로그인 기록에 잡히는 일은 없었습니다.

 

 

• 비밀번호 변경 및 어려운 비밀번호 사용

 

10년동안 썼던 계정이라, 비밀번호를 굉장히 쉽게 만들고 여러개를 돌려서 사용했습니다.

 

하나가 털리니까 다음과 같이 문제가 생겼습니다.

 

- 모든 SNS에 전부 시도해봄  (페이스북, 인스타그램, 틱톡 등등..)

- AWS에도 로그인 시도. (현쟤까지 시도중)

 

 

느낀점

일단 저는 해킹을 당한지 3일정도가 지났는데, 계속 비정상 로그인 시도와 싸우고 있습니다.

아 여기도 이 비밀번호였어? 하는곳이 너무 많아서.. 어딘지도 감이 잘 안옵니다.

 

백엔드를 할 때 인증 시스템이 얼마나 중요한지 깨달았습니다.

 

일단 Meta, AWS, Linkedin, Microsoft는 비밀번호가 맞았지만 IP가 달라서 그런지 비정상 계정으로 처리된 상태였습니다.

 

알림이 오지 않은곳은 이미 털린곳도 있을것 같습니다.

 

로그인을 만들때 DB에서 해시값이 서로 같은지 확인하는 과정만 하면 된다고 생각했는데, 제가 털려보니 그런게 아닌것 같았습니다.

 

돈이나 개인정보 관련된 것들은 모두 2차 3차 인증까지 하는것이 낫다고 느꼈습니다. aws도 MFA 바로 등록하고, 네이버 메일도 2차인증 바로 등록했습니다..

 

원클릭 결제같은 시스템이 있을때, 저런식의 비정상 로그인 차단이 없었다면 어떻게 됐을지 상상만해도 끔찍합니다.

 

다른 분들도 경각심을 가지셨으면 좋겠습니다.

 

이상입니다