평소에 사무실 컴퓨터를 켜놓고 퇴근을 합니다.
가끔씩 집에서 회사컴퓨터에서 필요한 파일이나 업무를 하기 위해서 원격프로그램인 팀뷰어를 사용하고 있습니다.
컴퓨터나 스마트폰으로도 원격접속이 가능해서 편리하더라구요.
어제 집에서 밤 10시정도에 팀뷰어로 회사컴퓨터에 들어갔더니
이상한 창들이 띄워져 있었습니다.
이게 뭔가 하고 봤더니 WebBrowserPassView라는 프로그램이 실행되어 있고
익스플로러에 vp.co.kr 사이트와 인증서 목록이 나와 있는 화면이 있더라구요.
잠깐동안 이게 왜 떠있나 하는 생각이 들었는데 WebBrowserPassView 화면을 보니 섬짓하더라구요.
익스플로러와 크롬에 저장되어 있는 아이디와 비밀번호가 떠있는 걸 보니 누군가 해킹을 했구나 하는 생각이 들더라구요.
바탕화면에 떠있는 인터넷창과 공인인증서목록은 별 생각없이 지워서 캡쳐를 안했는데 나중에 방문기록으로 접속해보니 아래 사이트였습니다.
부랴부랴 네이버에서 검색을 해보니 팀뷰어 해킹인 것을 알았습니다.
누군가 회사의 내 컴퓨터에 들어와서 익스플로러와 크롬에 저장된 아이디와 비밀번호를 이용해서 공인인증서 암호를 유추해서 돈을 빼가려고 한 것 같았습니다. 비슷한 수법으로 ISP결제 같은 걸 해서 피해를 본 분들이 있더라구요.
그래서 노출된 비번과 공인인증서 암호들을 바꿨습니다.
아침에 출근해서도 회사 공인인증서도 폐기하고 다시 재발급 받았습니다.
어제 처음 발견했을 때는 누군가 해킹을 시도하는 중에 운좋게(?) 내가 들어가서 실패한줄 알았는데
오늘 출근해서 팀뷰어로그를 보니까 어제 밤 9시45분에 들어와서 9시53분에 나갔더라구요.
바탕화면에 WebBrowserPassView프로그램 폴더가 생성된 시간은 9시 49분.
내가 접속한 것은 10시 4분이었고 이미 들어왔다가 나간 뒤라서 8분동안 뭘 하고 갔는지는 모르겠습니다.
그것도 창들을 안닫고 나가서 알았지 창을 닫고 프로그램 지우고 갔으면 해킹당한 사실조차 모를 뻔 했습니다.
통장이나 카드 결제된 것은 없는 것 같은데...
팀뷰어 로그에 나와있는 아이피를 조회해보니 중국 베이징입니다.
팀뷰어 비밀번호도 6자리 랜덤으로 나오는데 어떻게 접속해서 들어왔는지 의문입니다.
앞으로 익스플로러나 크롬에도 비번 저장을 하면 안될 것 같네요.
팀뷰어 쓰시는 분들 해킹 조심하세요.
글쓰기