KISA, ‘포털 사칭 팝업형 피싱 분석 기술보고서’ 발표

웹사이트 로그인 시 더블 체크, 패스워드 사용 강화, 해외 로그인 차단, 다중인증 사용

[보안뉴스 김영명 기자] 포털(portal)은 인터넷에 접속하기 위해 꼭 거쳐야 하는 사이트로, 영어 ‘portal’은 ‘관문’, ‘정문’, ‘입구’란 의미가 있다. 포털 사이트는 정보검색, 메일, 커뮤니티, 블로그, 뉴스 등 다양한 정보를 종합적으로 제공하는 사이트이며, 사용자는 하나의 계정으로 다양한 서비스 이용과 함께 간편 로그인(Single Sign On, SSO) 기능을 통해 B2B 서비스의 연계 이용이 가능하다.

​

[이미지=utoimage]

하지만 포털 사이트 사용자 계정이 해킹당한다면 파급력은 높다. 공격자는 탈취한 사용자 계정을 이용해 지인에게 스피어피싱 메일을 발송할 수 있고, 인터넷 사기 등 범죄에 악용될 수도 있다. 실제 다크웹 등에서 국내 포털사의 사용자 계정을 판매하는 사례도 확인되고 있다.

계정 유출의 원인은 사용자 PC가 악성코드에 감염되거나 포털을 사칭한 피싱으로 유출되는 경우가 가장 많다. 한국인터넷진흥원(KISA)에서는 2021년 말부터 같은 수법을 이용한 피싱 공격 그룹을 확인한 후 대응을 이어가고 있다. 공격자들은 주로 네이버, 카카오를 사칭하는 특징을 보이며, 인프라와 소셜 로그인에 익숙한 이용자들의 부주의를 노리는 것으로 분석됐다.

이러한 가운데 KISA에서 ‘포털 사칭 팝업형 피싱 분석 기술보고서’를 발표했다. 이번 보고서는 기존 피싱 공격과 팝업형 피싱 공격의 차이, 팝업형 피싱 공격 침해사고 사례를 바탕으로 이용자와 웹사이트 관리자가 피싱 공격 예방과 피해를 줄이는 방안을 안내한다.

​

▲피싱 공격 개요[이미지=KISA]

피싱 공격, 정교하게 제작돼 피해 발생 우려 커

기존의 피싱 공격과 팝업형 피싱 공격은 △피싱 사이트 제작 △피싱 사이트 유도 △계정정보 탈취 등에서 각각 차이점이 있다. 먼저 기존 피싱에서 일반적으로 피싱 공격은 사칭하고자 하는 사이트와 동일한 디자인의 사이트를 제작하는 것부터 시작한다. 보통 피싱에 이용되는 문구는 ‘보안 경고’나 ‘로그인 실패’ 등 피해자들의 심리적 불안을 유도해 계정 입력을 유도하며, 피싱 도메인을 숨기기 위해 단축 URL도 사용한다. 이러한 방식은 사용자들이 유심하게 관찰하지 않으면 차이를 알 수 없을 정도로 정교하게 제작돼 피해가 발생하기 쉽다.

기존 피싱 공격, 똑같이 만든 피싱 사이트로 접속 유도

기존 피싱 공격에서 피싱 사이트를 유도하는 방법은 △메일 및 SNS를 활용한 피싱 △타이포스쿼팅(Typosquatting) △파밍(Pharming) 등이 있다. 먼저, 메일 및 SNS를 활용한 피싱에서 공격자는 이용자에게 피싱 메일을 보내거나 문자메시지, SNS 등을 통해 자신이 만든 피싱 사이트로 접속하도록 유도한다.

타이포스쿼팅(Typosquatting)이란 본래 이용하고자 했던 도메인과 약간 다른 이름의 도메인을 등록하는 경우다. 이는 url의 단어 가운데 ‘i’를 ‘1’로 바꾸거나, 중간에 닷(.) 하나를 삭제한 도메인으로 사이트를 만들어 둔다. 이용자가 이용하고자 했던 사이트와는 다른 도메인이지만, 차이가 크지 않아 이용자가 오타를 내거나 URL을 제대로 확인하지 않고 링크를 누르는 경우, 타이포스쿼팅을 노린 사이트로 연결되기도 한다.

파밍(Pharming)이란 이용자의 PC나 공유기 등의 정보를 조작해 피싱 사이트로 연결하는 공격이다. 윈도 PC의 경우, PC 내에 도메인과 IP 정보가 저장된 hosts 파일을 변조하는 경우가 대표적이다. PC에서 도메인을 연결할 때, hosts 파일이 먼저 적용된다. 만약 hosts 파일에 피싱 사이트의 IP가 있다면 이용자는 올바른 도메인을 입력하더라도 피싱 사이트로 연결된다.

공유기의 정보를 변조하는 경우, 공유기의 설정에서 도메인을 IP로 변환해주는 DNS(Domain Name Service)를 공격자가 사용하는 DNS로 바꾼다. 해당 공유기를 쓰는 기기에서는 올바른 도메인에 접속하고자 해도, 공격자의 DNS에서는 피싱 사이트의 IP를 응답하기 때문에 기기에서는 피싱 사이트의 IP로 연결된다. 파밍의 경우는 타이포스쿼팅과 달리, URL은 정상적인 도메인으로 보이기 때문에 알아채기 쉽지 않다.

계정정보를 탈취하는 방법은 피싱 메일, 타이포스쿼팅, 파밍 등을 통해 피싱 사이트에 접속한 이용자가 계정 정보를 입력 시 공격자가 설정한 사이트로 정보가 저장되면서 가능하다.

​

▲이용자 관점에서 보는 팝업형 피싱 공격(좌)과 네이버 사칭 팝업형 피싱공격 인프라 구조 및 역할(우)[이미지=KISA]

팝업형 피싱, 로그인 페이지만 유사하게 수정하는 방식 사용

팝업(popup)이란 기술적으로는 ‘팝업(popup)’과 ‘모달(modal)’로 세분할 수 있다. 먼저 ‘팝업’은 기존 화면에 새로운 창(window)이 생성되며, 기존 화면과 창은 개별의 창이기 때문에 별도로 작동한다. ‘모달(modal)’이란 기존 화면 위에 새로운 대화 상자(dialog)가 겹치는 것으로 대화 상자와 기존 화면은 하나의 창이기 때문에 같이 작동한다.

팝업형 피싱의 종류는 △피싱 페이지 제작 △피싱 사이트 유도 △피싱 페이지 팝업 △계정 정보 탈취 등으로 나눌 수 있다. 먼저 피싱 페이지 제작에서 이번에 발견된 피싱 공격조직은 네이버를 사칭했으며 기존 피싱과 같이 로그인 입력창을 포함한 모든 콘텐츠가 아닌 로그인 페이지만 유사하다는 특징이 있다. 피싱 사이트 유도에서 공격자는 이용자 접속이 많은 사이트를 해킹한 후 네이버 로그인 사칭 피싱 페이지가 팝업으로 보이도록 웹 소스코드를 수정했다.

피싱 페이지 팝업에서 기존의 피싱 공격은 이용자를 공격자 자신이 구축한 인프라로 유도하지만, 팝업형 피싱 공격은 정상 사이트를 악용하며 이용자는 피싱에 감염된 사이트 접속 시 정상 콘텐츠 위의 피싱 로그인 페이지 팝업을 만난다. 이와 같은 공격전략은 △이용자들이 자신이 접속한 사이트가 정상적임을 보여주어 안심하게 하는 전략으로 추정되며 △최근 소셜 로그인에 길들여진 사용자들의 로그인 습관의 취약한 부분을 노린 것으로 판단된다.

소셜 로그인은 소셜 로그온(Single Sign-On, SSO)이라고도 불리는데, 이들의 공통된 개념은 한 번의 인증을 통해 여러 서비스를 이용하는 것이다. 소셜 로그인은 주로 포털 사이트를 통해 다른 웹사이트의 번거로운 회원 가입 과정을 생략하고, 포털 사이트의 계정만으로 서비스를 사용할 수 있도록 만든 방법이다. 소셜 로그인은 계정 관리가 쉽고 회원 가입이 필요 없다는 장점이 있다. 다만 포털 사이트에 제공한 정보가 다른 서비스로 공유될 우려가 있다. 계정 정보 탈취는 이용자가 팝업을 소셜 로그인으로 착각해 계정 정보를 입력할 때, 입력된 계정 정보는 공격자가 설정한 사이트로 정보가 저장, 악용되는 것이다.

네이버 사칭 팝업형 피싱 사이트, 공격 유형에 따라 4개로 구분

네이버 사칭 팝업형 피싱 공격은 단일 피싱 사이트의 생성과는 다르게 구조가 복잡하다. 이용자는 이 피싱 팝업 사이트에 접근해도 기존 네이버 로그인 창으로 단순하게 보이지만, 공격자는 최소 4개 유형의 사이트를 이용해 공격을 수행한다. 침해사고 대응에 따라 사이트가 조치가 되더라도 지속해서 공격하기 위해 다양한 유형의 인프라를 구성하는 것으로 추정된다.

네이버 사칭 피싱 사이트는 공격자가 사용하고 있는 유형에 따라 △피싱 팝업 사이트 △피싱 경유 사이트 △계정정보 저장 사이트 △공격지 등 4개로 구분한다. 이때, 피싱 팝업 사이트란 이용자가 사이트에 접근하였을 때 네이버 사칭 로그인 팝업 창이 뜨는 사이트를, 피싱 경유 사이트란 피싱 팝업 사이트에서 로그인 팝업창을 로딩하는 사이트를 말한다. 계정정보 저장 사이트는 실제 로그인 팝업창이 존재하는 사이트로 해당 사이트에 이용자가 입력한 계정정보가 저장되며, 공격지란 계정정보 저장 사이트에서 계정 정보 파일을 수집하는 사이트로 공격자는 공격지를 이용해 다음 공격 대상을 탐색한다.

피싱 팝업 사이트에 접속하면 정상 사이트의 첫 화면이 배경으로 깔리며, 그 위에 네이버를 사칭한 로그인 팝업이 표시된다. 이때 로그인을 하면 해당 계정 정보가 사이트에 저장된다. 특히, 피싱 팝업 사이트 분석 중 발견된 공격자의 공격 대상 리스트 흔적에서는 국내 사이트 업종과 접속 순위 정보제공 사이트인 랭키닷컴에서 도메인 정보를 참조해 공격하는 것이 확인돼 공격자가 한국 현황을 파악하고 있는 것으로 분석됐다.

공격자는 피싱 팝업 사이트를 제작하기 위해 게시판 프로그램 구버전의 웹 취약점을 악용해 웹셸을 업로드한 후 정상 자바스크립트 파일에 피싱 경유 사이트를 난독화해 삽입한다. 이후 공격을 효율적으로 이용하기 위해 홈페이지 소스코드 구조와 업종이 유사한 웹 호스팅 서버 한 대를 공격하는데, 한 번의 공격으로 최대 600여개 도메인이 감염되는 것으로 분석됐다.

​

▲정상 JS 파일 내 삽입된 악성 스크립트(좌)와 피싱 경유 사이트 스크립트 일부(우)[이미지=KISA]

피싱 경유 사이트는 피싱 팝업 사이트에서 팝업 로그인 창을 로딩하며, 계정정보 저장 사이트의 로더(Loader) 역할을 하고 있다. 공격자는 리퍼러(Referer)를 체크, ‘naver’, ‘google’, ‘daum’, ‘zum’, ‘bing’ 등과 같이 포털 검색을 통해 접근했을 때만 로그인 창이 뜨도록 구성했다. 올해 상반기에는 ‘naver’, ‘google’, ‘daum’ 3개의 포털 이용자를 대상으로 계정 정보를 수집했지만, 현재는 더 많은 계정 정보를 수집하기 위해 Referer 체크 대상을 확장했다.

공격자는 이용자가 처음 접근할 때만 피싱 팝업이 뜨게 하기 위해 이용자의 쿠키 값을 확인하고 있다. 이용자의 의심을 피해 정상적인 로그인 창처럼 보이기 위해 포털 사이트 검색을 통해서 들어오고 처음 방문할 때만 팝업을 띄우는 것이다. 현재까지는 네이버를 사칭한 팝업창만 확인됐지만 다른 포털 사이트로도 확장이 가능하다.

계정정보 저장 사이트는 △이용자가 보는 피싱 팝업 사이트의 로그인 페이지를 제공하고 △피해자들이 입력한 네이버 아이디와 패스워드, 접속한 IP와 시간 정보를 특정 텍스트 파일로 저장하게 하며, △공격자는 공격지를 통해 수집된 계정 정보 파일을 실시간으로 자동 수집한다. 이용자가 입력한 아이디와 패스워드는 $user, $pass 변수에 ‘아이디—-패스워드—-IP—-시간’ 형식으로 1.txt에 저장된다.

공격자는 공격지 내의 계정 생성을 통해 지속성을 확보하는 한편, 계정 정보를 수집하고 추가 인프라 확보를 위한 공격을 수행하고 있다. 계정정보 수집을 위해서 공격자는 AutoSave 실행파일 도구를 통해 특정 시간마다 정보유출지에 기록되고 있는 파일을 지속해서 수집한다.

공격자는 추가로 공격할 대상을 찾기 위해 국내 웹사이트 분석 사이트인 랭키닷컴을 이용, 키워드를 지속해서 변경하고 있다. 공격지를 분석해 공격자가 확보한 도메인 리스트를 확인할 수 있었고, 실제로 그 중 몇몇은 공격자가 공격에 성공해 피싱 공격에 사용된 것을 확인했다.

공격자는 도메인을 확보하게 되면 스캔도구를 이용해 웹 서버 내 업로드 페이지를 찾고 추가 공격을 시도한다. 웹 에디터가 많이 사용하는 경로를 이용해서 웹 서버 내 업로드 페이지를 찾는다. 실제 해당 URL로 접근하면 파일을 업로드할 수 있는 페이지에 접근할 수 있었다.

​

▲계정 수집 도구 배치 파일(좌) 및 계정정보 수집지 웹로그(우)[이미지=KISA]

팝업형 피싱 공격...웹 취약점 및 시스템 취약점 수법 악용

공격자가 팝업형 피싱 공격을 성공하기 위해 △피싱 페이지 삽입을 위한 웹 취약점 공격 △공격 지속 및 은닉을 위한 시스템 취약점 공격 △공격지 확보를 위한 시스템 취약점 공격 등의 수법을 동원한다.

첫 번째로, ‘피싱 페이지 삽입을 위한 웹 취약점 공격’에서 공격자는 피싱 팝업 및 경유, 계정정보 사이트 공격을 위해 구버전의 게시판 프로그램의 파일 업로드 취약점을 이용해 웹 페이지의 생성, 수정, 삭제 및 시스템 명령을 수행할 수 있는 웹셸을 업로드한다.

​

▲공격에 사용한 웹셸 소스코드(좌)와 피싱 팝업 사이트내 스크립트 생성 파일 및 스케줄러 등록(우)[이미지=KISA]

두 번째로 ‘공격 지속 및 은닉을 위한 시스템 취약점 공격’에서 공격자는 방어자가 피싱과 관련된 페이지에서 악성 스크립트를 삭제하더라도 일정 시간마다 자동으로 다시 악성 스크립트가 삽입되도록 스케줄러에 등록했다. 이 같은 수법은 시스템 관리자 권한으로만 가능해 지난해에 발표된 인증관련 권한상승 취약점(PwnKit, CVE-2021-4034)을 활용한 것으로 분석됐다.

세 번째는 ‘공격지 확보를 위한 시스템 취약점 공격’이다. 공격자는 공격지 확보를 위해 취약한 윈도 운영체제를 사용하는 웹 서버들을 공격하며 관리자 권한을 획득, 백도어 계정도 생성한다. 이때 윈도 기본 백신이 사용하는 계정과 동일한 계정명을 사용하는 치밀함도 보였다.

KISA, 탐지-분석-조치 등 세 단계로 대응 강화

한국인터넷진흥원은 지난해 11월부터 팝업형 피싱 공격을 확인했으며, 유관기관들과 실시간 공조를 통해 다방면으로 대응하고 있다.

​

▲팝업형 피싱 공격 대응 프로세스[이미지=KISA]

먼저 ‘탐지 대응’에서는 네이버 등 외부기관 신고나 자체 탐지 시스템과 분석 중 추가 발견된 피싱 사이트 등 자체 탐지를 통해 대응한다. ‘분석 대응’에서는 침해사고가 발생한 피해 시스템을 상세 조사해 사고원인 조사, 위협 제거 지원과 공격자가 실시간 수집 중인 약 24만개의 계정(올해 11월 기준)들을 확보하고 있다. ‘조치 대응’에서 수집된 피해 계정들은 ‘네이버’와 ‘개인정보보호위원회’에 실시간 제공해 사용자들이 네이버 로그인 시 강제적으로 패스워드를 변경하게 하고 ‘털린 내 정보 찾기 서비스’를 통해 피해를 확인할 수 있도록 대응하고 있다.

포털 운영자 및 이용자, 다중인증 사용 및 주기적 보안 업데이트 중요

포털 사이트 이용자가 팝업형 포탈 피싱 공격을 포함해 피싱 피해를 최소화할 수 있는 방안으로는 △로그인 요구 시 한 번 더 체크 △패스워드 사용 강화 △해외 로그인 차단 △다중 인증 사용 등이 제시됐다.

먼저 포털에서 로그인을 요구할 때 해당 사이트의 바탕 배경이 흐리게 보이고 로그인 창이 팝업되면 피싱으로 의심할 수 있다. 네이버 로그인 창의 인터넷 주소를 꼭 확인하며, 로그인 화면 상단에 주소(URL)가 표시되지 않거나 다른 주소로 표시되면 피싱이니 주의해야 한다.

자신이 의도하지 않았으나 네이버 계정 로그인 창이 확인되면, 피싱으로 의심할 수 있다. 로그인 창은 사용자가 로그아웃하거나 웹 브라우저 종료 후 재실행 전까지는 재요청이 없기 때문에 로그인 이후 다른 사이트 접속 시 로그인 팝업이 다시 뜨면 피싱으로 의심할 수 있다.

로그인 창에 임의의 아이디와 패스워드를 넣어 로그인 실패 창이 나오지 않는 경우에도 피싱으로 의심해야 한다. 피싱 피해 확산을 위해서는 패스워드 사용 강화, 해외 로그인 차단, 다중 인증 사용 등을 통해 보안조치를 강화하는 것이 필요하다.

포털 사이트가 피싱되면 다른 사이트를 통해 계정 정보가 유출될 수 있다. 패스워드를 설정할 때는 △영문자, 숫자, 특수문자를 혼합해 패스워드 구성 △사이트별 다른 패스워드 설정 △주기적인 패스워드 변경, 사용한 패스워드의 재사용 금지 등의 기본원칙을 지켜야 한다.

세 번째로 해외 로그인을 차단해야 한다. 대부분의 포털 사이트에서는 해외 로그인 차단 기능을 제공한다. 많은 공격자는 추적을 피하려고 해외의 IP 주소에서 로그인한다. 해외 사용이 필요한 경우가 아니라면 해외 로그인을 차단해 계정이 악용되지 않도록 예방해야 한다.

​

▲네이버의 다중인증 설정[이미지=KISA]

다중인증(Multi-Factor Authentication, MFA)을 사용해야 한다. 다중인증이란 계정에 로그인할 때 아이디와 패스워드 외에 추가적인 인증 수단을 사용하는 방법이다. 사전에 설정한 인증 수단을 거쳐야지만 로그인이 가능하기 때문에 아이디와 패스워드가 탈취되더라도 공격자가 포털사이트에 로그인해 악용하는 피해를 방지할 수 있다.

네이버는 모바일 앱을 통해 OTP(One-Time Password, 일회성 패스워드) 기능을 제공하는데, 이용자가 로그인 때 OTP를 활성화하면 계정명과 패스워드가 일치하더라도 OTP를 입력해야 로그인을 할 수 있다.

포탈 사이트 중 네이버와 다음은 자체 모바일 앱을 통한 보안 로그인 방법을 제공한다. 네이버는 모바일 앱을 통해 일회용 번호를 생성, 로그인과 QR코드를 통해 PC 화면에 나온 숫자를 모바일앱에서 선택, 일치시켜 로그인하는 방식이 있다. 다음도 QR코드를 통한 로그인 방법을 제공하며, 카카오톡 앱을 통해 QR코드를 스캔하면 된다. 보안 로그인 방법은 이미 인증된 모바일 앱을 통해 로그인하기 때문에 계정 정보가 노출되지 않는다.

일부 웹 브라우저는 악성·피싱으로 판단된 사이트에 접근 시, 이용자에게 경고를 보낸다. 보안이 강화된 웹 브라우저를 사용하면, 이미 알려진 피싱 사이트로 인한 피해를 예방할 수 있다.

​

▲크롬 웹 브라우저 경고 화면(좌) 및 웨일 웹 브라우저 경고 화면(우)[이미지=KISA]

웹사이트 운영자가 조치할 보안 노하우는?

웹사이트 운영자는 자신의 웹사이트가 피싱 공격에 악용되지 않도록 보안을 강화할 필요가 있다. 정상 사이트에서 피싱 관련 스크립트가 삽입된 침해사고를 분석한 결과, 다수의 사이트가 취약한 웹 에디터의 파일 업로드 취약점이 악용된 것을 확인했다. KISA는 보고서를 통해 팝업형 피싱 공격의 원인분석 과정에서 확인된 웹사이트의 문제점에 대한 대응방안을 소개했다.

웹사이트 운영자는 △웹에디터 업데이트 △업로드 파일 실행 권한 제거 △주기적 웹 로그 모니터링 △웹서버의 최신 운영체제 사용 및 주요 프로그램의 보안 업데이트 적용 △웹서버 내 미사용 계정 생성 점검 △웹서버 보안 강화 등에서 조치를 강화해야 한다.

​

▲기존 피싱과 팝업형 피싱의 차이점[이미지=KISA]

먼저 ‘웹에디터 업데이트’는 KISA에서 제공하는 ‘웹에디터 보안 가이드’를 참고해 업데이트를 진행한다. 오픈소스 게시판(웹 에디터)은 설치와 사용은 쉽지만, 많은 사이트 운영자가 처음 설치 이후 업데이트를 수행하지 않는 경우가 많아 웹셸 업로드가 실행될 수 있다.

두 번째로 ‘업로드 파일 실행 권한 제거’는 웹사이트 이용자가 업로드하는 정상 파일은 주로 이미지나 문서와 같이 웹 서버를 통해 실행될 필요가 없는 경우가 대부분이다.

공격자는 취약한 게시판 에디터를 통해 웹셸을 업로드한다. 웹셸 업로드에 성공하더라도, 업로드 파일의 실행 권한이 없으면 웹셸은 작동하지 않는다. 리눅스 기반 웹 서버 실행 권한 제거 방법은 ①파일 업로드 디렉토리로 이동 ②root 권한으로 실행 권한 삭제 명령 ③실행 권한 제거 확인 순으로 이뤄진다. 또한, 윈도 기반 IIS 서버 실행 권한 제거 방법은 ①[관리 도구]-‘IIS(인터넷 정보 서비스) 관리자’ 실행 ②좌측의 사이트 목록에서 실행 권한을 제거할 업로드 폴더 선택 ③[처리기 매핑]을 클릭한 후 우측 [기능 사용 권한 편집] 클릭 ④‘스크립트’를 선택 해제하고 [확인] 버튼 클릭 순으로 진행하면 된다.

세 번째로 운영하는 사이트에 피싱 페이지 등이 삽입되면 페이지에 비정상 접속 질의가 증가하는데, 운영자는 웹 로그 분석 툴을 통해 ‘주기적 웹 로그 모니터링’을 시행하는 것이 좋다.

네 번째는 ‘웹서버의 최신 운영체제 사용 및 주요 프로그램의 보안 업데이트 적용’이 필요하다. 공격자는 자신의 공격을 지속하기 위해 앞서 분석한 다양한 권한상승 취약점을 사용하기 때문에 최신의 운영체제 버전과 프로그램 보안 업데이트를 해야 한다.

다섯 번째는 ‘웹서버 내 미사용 계정 생성 점검’이다. 공격자는 지속적인 공격을 위해 윈도 계정을 생성·사용하기 때문에 웹서버에 사용자가 만들지 않은 계정이 발견된다면, 공격자에게 악용되고 있을 수 있다. 따라서 주기적으로 계정 생성 유무를 점검해야 한다. 이밖에도 KISA의 ‘웹서버 보안 강화 안내서’를 참고해 웹서버의 보안을 강화하는 것도 좋은 예방법이 된다.

기존 피싱과 팝업형 피싱의 가장 큰 차이점은 공격자가 공격 대상을 특정하지 않고 불특정 다수를 대상으로 하기 때문에 파급력이 훨씬 더 높다는 점이다. 이에 이용자와 웹 서버 관리자의 각별한 주의가 필요하다.

[김영명 기자(boan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=112125&page=2&mkind=1&kind=1)]​