도난된 크리덴셜과 자동화 기술 악용한 범죄 급증

[보안뉴스 홍나경 기자] 2016년에 도난당한 수억 개의 온라인 크리덴셜이 자동 로그인 해킹 범죄에 불을 지피고 있다. 심지어 기업들의 웹사이트에 접속하는 트래픽 중 실제로 사람들이 접속해서 만들어내는 트래픽보다 자동 로그인 범죄로 발생하는 트래픽이 훨씬 많다고 한다.



오늘 사이버 보안 업체인 쉐이프시큐리티(Shape Security)에서 나온 보고서에 따르면 미국 경제잡지 포춘(Fortune)이 선정한 100개 기업의 인터넷에 연결된 시스템들에서 나타난 로그인 활동 90% 이상이 이러한 자동 로그인 해킹 범죄 시도였다. “리테일, 금융, 정부, 여행 업계 등을 조사해본 결과, 과거에 해킹 범죄를 통해 유출된 크리덴셜들이 자동 로그인 범죄에 대단히 많이 쓰이고 있다는 것을 알게 됐습니다.”

온라인 크리덴셜 유출은 개인정보처럼 눈에 보이는 중요 정보가 노출되는 것이 아니기 때문에 무수히 많은 보안 관련 사건들 속에서 그다지 신경 쓸 필요가 없는 것처럼 보였다. 하지만 오늘 나온 보고서 덕분에 덜 중요해 보였던 크리덴셜이라도 자동화 기술과 접목되었을 때 상당한 위협으로 변모할 수 있다는 게 드러났다.

원리는 간단하다. 일반 사용자들이 여러 웹사이트에 같은 크리덴셜을 사용한다는 걸 응용한 것뿐이다. 한 곳에서 크리덴셜을 훔쳐, 그걸 여러 웹사이트에 막 대입하는 것인데, 여기에 자동화 기술을 접목해 시간을 단축하는 것이다. 시간이 단축되니 더 많은 사이트에서 크리덴셜을 시험해볼 수 있게 되고, 그러니 성공률이 의미 있게 올라간다.

2016년 한 해에만 야후의 15억 계정을 비롯해 전 세계 기업들의 크리덴셜 30억 건이 암시장 어딘가로 흘러갔다. 쉐이프시큐리티는 해커들이 훔친 크리덴셜 정보와 자동화 크리덴셜 대입 도구들을 이용해 다른 웹사이트를 겨냥하는 공격의 성공률을 2%정도로 예측한다고 했다.

이 말은 즉, 사이트 A로부터 훔친 100만개의 크리덴셜과 해커의 자동화 기술을 가지고 사이트 B를 공격한다면 몇 시간 내에 20,000개의 계정을 해킹할 수 있다는 것이다. 또한, 계속해서 사이트 C~Z까지 이러한 수법을 사용할 수 있다는 것은 말 할 필요도 없다. 훔친 아이디와 비밀번호 조합과 자동화 도구만 있으면 수 십 만개의 계정을 짧은 시간 내에 해킹할 수 있다.

쉐이프시큐리티의 CTO인 슈먼 고셈마줌더(Shuman Ghosemajumder)는 “2016년에 크리덴셜 유출이 크게 유행했습니다. 그 전에도 크리덴셜 유출과 자동 대입 공격을 수년간 지켜봐왔는데 2016년도의 활약이 특히 주목할 만했습니다. 크리덴셜 유출의 규모와 발생 횟수는 점점 증가하고 있습니다. 지난 3년 동안 크리덴셜 유출 기록은 역대 기록들을 갈아치우고 있습니다”라고 언급했다.

쉐이프시큐리티 보고서에는 소매, 금융, 정부, 여행 등 다양한 산업을 관찰한 내용을 다뤘고 수백만 개의 유출된 크리덴셜이 이러한 공격에 쓰이고 있다는 것을 알게 됐다는 내용이 언급됐다. 자동 로그인 해킹 공격의 문제는 해커들이 취약점을 노리고 감행하는 공격이 아니라 일반 사용자들이 로그인 하는 방식을 사용해서 공격을 감행하는 것이기 때문에 많은 기업들이 이러한 자동 로그인 트래픽을 파악하기 힘들다는 것이다.

즉, 일반적인 방식을 사용하여 단순히 성공률을 높이는 것이 문제이다. 또한, 이러한 공격들은 사용자에게만 악영향을 끼치는 것이 아니라 인프라에도 트래픽 부담을 주게 된다. 그리고 이로 인해 실제 사용자들이 사이트에 접속할 때 지연을 겪는 상황이 나타날 수도 있다. “기업의 소비자 정보 보호의 범위가 넓어지고 있습니다. 회사 내 저장되어 있는 개인정보를 보호하는 걸 넘어, 이미 유출된 크리덴셜도 관리해야만 한다는 것이죠. 이미 과거의 일이라고 여겨졌던 것이 번듯이 되살아나 고객들을 공격하고 있으니까요.”
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>