다음 블로그, "해킹 당한건가, 개인정보 도용당한건가"

‘다음(daum.net)’ 고객센터 직원과 마침내 통화가 이뤄졌다. 6월 28일 오전과 오후 2차례였다. 다음 블로그가 해킹된 것인지, ID와 비밀번호가 도용된 것인지 확인하기 위해서였다. 내가 게시하지 않은 글이 블로그에 게시된데다가 게시일이 하루, 이틀 후까지 나타났기 때문이다.

‘일수대출’ 제목이 달린 스팸성 글 수개가 '행군의 아침' 블로그에 게시된 사실은 6월26일 오후 6시19분경 발견됐다. ‘이런 일을 나도 당하는 구나’하면서 살펴보니, 전체 보기 상단 글 가운데는 6월28일, 6월27일자 글도 올라와 있었다. 게시일 날짜가 하루, 이틀 후까지 표시되어 있는 걸 보고, 다음 시스템에도 문제가 생긴 건 아닌지 의문이 일었다. 해킹도 문제지만, 다음 시스템이 허술하게 관리되는 것 아닌지 확인하고 싶었다.

<스팸글이 올라온 '행군의 아침' 블로그 첫 화면 중 일부>

우선, 스팸성 게시글 목록과 일자가 포함된 화면을 캡처하고, 외부 로그인을 차단시켰다. 다음 고객센터(1577—3357)의 전화번호를 찾아 전화를 걸었다. 업무시간이 오전 9시부터 오후6시까지라는 알림 메시지만 나왔다. 고객센터 연결을 포기해야 했다. 스팸 게시글을 추가로 캡처하고, 접근 IP를 조사하여 캡처했다. 내가 사용하는 IP가 아닌 IP가 발견됐다. 26일 오후 3시39분에 접속한 IP였다. <211.36.141.194>, 외부에서 접속된 아이피는 하나 밖에 없었다. 이 IP로 스팸글을 올렸을 것이라는 정황이 100%인셈이다.

<외부 침입 의심 아이피>

6월 27일(수), 다음고객센터에 연락을 취하려고 했으나, 다른 일정 때문에 업무 시간을 맞추지 못했다. 대신, 비밀번호를 바꾸고, '2단계 인증설정'으로 보안을 강화했다. 이 단계는 ID와 패스워드로 로그인한 후, 핸드폰으로 수신받은 문자를 입력해야 블로그 관리가 가능해진다. 지역도 해외에서 접근할 수 없도록 차단했다. 일반 보안을 강화한 것이다. 불편하지만, 감수해야할 상황이 됐다. 누군가가 악성프로그램으로 아이디와 패스워드를 빼갔거나, 어떤 경로에서든 도용된 것이므로 차단이 우선이기 때문이다.

<보안 강화, 2단게 설정>

6월 28일(목), 오전. 사고 발생 이틀만에 다음고객센터(1577-3321, 내선4)와 연결이 됐다. 10분이상 통화가 길어지자 전문가가 전화하도록 해주겠다고 해서 끊었다. 그리고 오후에 다음에서 전화(1577-3321)가 왔다. 전화 내용을 종합하면 대화 요지는 3가지였다.

1. 아이디와 패스워드 도용 -> 비밀번호 변경 및 해외 차단 필요

2. 해킹 여부는 알 수 없음 -> 다음 고객센터의 소관이 아님

3. 6월26일에 27, 28일 게시물이 보이는 이유 -> 다음 블로그에 게시글을 ‘예정’으로 올릴 수 있는데, ‘예정’ 설정을 하면 로그인 한 상태에서 관리자만 볼 수 있고, 로그인을 할 수 없는 외부인은 ‘예정’ 게시물을 보지 못한다고 함(오늘 처음으로 알았음. 글쓰기 하단에 보니 ‘날짜 설정’ 기능이 있음). 결국 6월26일 ID와 PW를 도용한 무단 침입자는 ‘날짜 설정’ 기능을 통해 26일, 27일, 28일치의 글을 게시했다는 결론에 이르게 됨).

4. 경찰청 사이버 수사대(국번없이 182번)에 신고 -> ‘다음’ 고객센터의 업무가 아니라고 함. 신고 여부는 피해자(관리자)의 몫임. 사이버수사대의 연락처를 물었더니 국번없이 182번이라고 알려줌.

결론적으로 누군가가 2018년 6월 26일 오후 3시 39분 IP<221.36.141.194>를 통해 아이디와 패스워드를 도용하여 ‘행군의 아침’ 블로그에 침입, 일수대출 광고 게시물 3일치 총 9건(하루에 3건씩)를 올려놓고 나간 것으로 간주된다. 사이버수사대에서 연락오면 증거로 제공하기 위해 스팸 게시물과 의심 IP의 접근 시간대 내용을 캡처하여 보관하고, 관련 스팸글은 모두 삭제했다. 이런 일을 또 겪지 않으려면 불편하더라도 비밀번호 자주 바꾸고, 보안에 신경써야 하겠다. 

그런데, 이런 일을 벌이는 작자는 도대체 어떤 인격을 가진 자일까, 궁금하다.