꼰머의 보안공부

아침에 일어나 보니 카카오톡으로부터 "카카오계정 보호조치 안내" 톡을 받았다. 내용을 보아하니 카카오 계정에 의심스러운 로그인 시도 등 비정상적인 시도가 감지되었고, 보호를 위한 일종의  조치가 취해진 것 같다.

자세히 알아보기를 통해 확인한 내용을 요약하면 유출된 비밀번호 사용, 비정상적 로그인 시도, 다수의 어뷰징이 발생한 환경에서 로그인 등이 발생하여 보호 조치가 취해졌으며, 비밀번호 변경, 로그인 기록 관리, 2단계 인증 설정, 국가별 로그인 설정을 대응 방안으로 안내하고 있다.

크게 의심되는 정황은 없어 우선 로그인 이력 조회(모바일 카카오톡 > 더보기 > 설정 > 카카오계정 > 로그인 관리 > 로그인 이력 조회)를 확인해 보았더니, 일반 로그인 이력에서는 특이사항이 없었으나, POP3/IMAP 이력에서 IP 27.255.91.225 (대한민국)에서의 로그인 시도가 확인되었다. 여러 사이트에 IP 조회를 해보니 모두 대한민국으로 조회되었고, ISP 업체는 국내 IT 기업으로 확인되나, 100% 신뢰하지는 않는다.

POP3 설정 안내를 확인해보니 설정 OFF의 경우, 로그인 시도는 있었지만 메일 서비스 이용은 실패한 상태라는 안내가 확인되었다. 좀 더 구글링을 해보니 POP3/IMAP을 사용할 경우 외부 메일을 끌어와서 볼 수 있는 기능으로 확인되었다. 예를 들어 네이버 메일에 POP3/IMAP 기능을 설정하면 스마트폰, 아웃룩 등에서 네이버 메일을 확인할 수 있게 된다. 정리하면 외부의 아무개가 다음메일의 POP3/IMAP 기능을 이용해 외부 메일과 연동하려는 시도가 있었던 것으로 판단된다.

그래서, 비밀번호 변경, 2단계 인증 사용, 국가별 로그인 제한을 설정했고, 이메일과 전화번호 또한 변경하였다. 다음 메일을 확인(다음 메일 > 설정 > IMAP/POP3)해 보니 POP3/IMAP을 사용 안 함으로 설정되어 있었다(디폴트로 사용 안 함으로 설정되어 있는 것으로 판단된다).  

또, 네이버 메일을 확인(메일 > 환경설정 > POP3/IMAP 설정)해 보니 역시 POP3/IMAP 사용 안 함으로 설정되어 있었다. 마찬가지로 기존에 사용 중이던 2단계 인증을 제외하고, 타 지역 로그인 차단, 해외 로그인 차단, 새 기기 로그인 알람, 새로운 환경 로그인 알림을 다시 설정해 적용하였다(과정 중에 로그인 전용 아이디라는 것이 있던데 오직 로그인만을 위한 아이디로써, 관련 정보를 좀 더 찾아봐야겠다). 추가적으로 만약 네이버 메일에서 POP3/IMAP을 사용할 경우 2단계 인증을 사용할 것을 권장하며, 이 경우 애플리케이션 비밀번호를 생성한 후 해당 비밀번호를 이용해야만 외부 메일 등록이 가능하다고 한다.

POP3/IMAP을 이용한 해킹 시도는 처음 겪어봐 무서우면서도 한편으로 어떻게든 해킹하려는 아무개가 대단하게 느껴지기도 했다. 보안을 전공하면서, 안전하게 인터넷 서비스를 이용하려 여러 노력을 하고 있지만, 좀 더 많은 주의가 필요하다는 것을 느끼게 된 하루였다.