유출된 로그인 정보로 다른 계정들에 무차별 대입해
전문성 딱히 필요 없는 데다 나쁜 보안 습관도 공격 도와
호텔, 온라인 상점 등 산업 전반으로 공격 확대되는 중
[보안뉴스 오다인 기자] 하나의 비밀번호를 여러 계정에 걸쳐 동일하게 사용하는가? 그렇다면 크리덴셜 스터핑 공격에 당할 가능성이 매우 높아 보인다. 어느 한 군데 로그인 정보만 뚫으면 다른 모든 계정도 같이 공격할 수 있는 이 절호의 기회를 점점 더 많은 공격자들이 포착하고 있기 때문이다.
[이미지=iclickart]
로그인 정보 등 개인 신상과 관련해 암호화한 정보를 폭넓게 아울러 ‘크리덴셜(credential)’이라고 한다. 크리덴셜은 사용자가 본인을 증명하는 수단으로서의 의미를 갖는데, ‘크리덴셜 스터핑’ 공격이란 공격자가 이미 확보한 크리덴셜을 다른 계정들에 마구 쑤셔 넣는(stuffing) 방식으로 사용자 정보를 침해하고 공격하는 것을 가리킨다.
만약 어떤 사람이 동일한 비밀번호를 여러 계정에서 함께 사용하고 있거나 예전에 사용했던 비밀번호를 다시 사용하고 있다면, 언제 어디서 유출됐을지 모를 크리덴셜을 통해 공격자가 여러 계정에 그 사람의 비밀번호를 대입해 공격하고 성공할 가능성이 매우 높은 것이다.
공격자가 활용할 수 있는 크리덴셜은 현재 무한한 수준으로 시중에 나와 있다. 보안 전문업체 디지털 셰도우스(Digital Shadows)가 계정 탈취 공격 및 감소에 대해 최근 발표한 연구에 따르면, 사실상 전체라고 할 수 있는 세계 1,000대 기업의 97%가 자사 크리덴셜을 유출당한 것으로 드러났다.
해커들이 크리덴셜을 활용하는 방법은 주로 6가지다. 1) 봇넷 구축, 2) 정보 유출 협박(post-breach extortion: 돈을 주지 않으면 SNS 등 타 채널에 정보를 유출하겠다고 협박하는 공격 수법), 3) 크리덴셜 수확(credential harvesting), 4) 스피어 피싱, 5) 계정 탈취, 6)크리덴셜 스터핑 등이다. 디지털 셰도우스의 연구는 크리덴셜 스터핑 툴 사용을 늘린 계정 탈취에 주력했다.
크리덴셜 스터핑은 한 웹사이트에서 훔친 로그인 정보를 다른 웹사이트에 무차별 대입(brute-force)하는 자동화 시스템으로, 하나의 계정 정보가 다른 계정 정보와도 일치할 것을 노린 공격 프로세스다. 사용자가 동일한 크리덴셜을 다중의 웹사이트에서 사용한다는 사실을 파악한 공격자는 계정 탈취를 쉽게 자동화할 수 있고 추후 더 많은 계정을 공격하는 데도 활용할 수 있다.
디지털 셰도우스 리서치 분석가 마이클 매리엇(Michael Marriott)은 이 같은 계정 탈취 공격에 대해 “진입 장벽이 나날이 낮아지고 있다”고 말한다. 공격자가 계정을 침투하는 데는 대단한 전문성이 필요치 않고, 사용자의 보안 습관이 좋지 않다는 사실도 공격이 성공하는 큰 요인이라는 것이다. 온라인에 “터무니없이 많은 양”의 데이터가 있기 때문에 공격자들이 일치하는 계정을 찾을 가능성은 높다고 매리엇은 설명했다.
수많은 크리덴셜이 공공연하게 이용가능하며, 나이별로 비용이 달라진다. 예컨대, 디지털 셰도우스는 2016년 4월 기준 링크드인의 데이터베이스가 2백2십8만 원이었지만 지금은 달랑 4천 원 선에서 살 수 있다고 보고했다. 정보량이 가장 많은 패키지들 중 하나는 1,074개의 데이터베이스에서 수집한 총 3,825,302,948건의 크리덴셜을 약 3백만 원에 내놓고 있다.
공격자들은 크리덴셜 스터핑 공격을 펼치는 데 몇 가지 다른 툴을 사용하는데, 주요 툴은 센트리엠비에이(SentryMBA), 베르텍스크래커(Vertex Cracker), 어카운트히트맨(Account Hitman) 등이 있다. 매리엇은 이 중에서 센트리엠비에이가 가장 많이 사용된다며, 자동 로그인을 막는 CAPTCHA 제어를 피할 수 있도록 설계됐고 무료로 사용할 수 있기 때문이라고 설명했다.
“여러 동기가 있겠지만, 돈을 벌 수 있다는 게 분명한 이유겠죠.” 이런 공격들이 일어나는 이유에 대해 매리엇은 이렇게 말한다. “공격자들은 사용자들에 대해 더 많은 정보를 캐내기 위해 계정 탈취 공격을 펼치기도 합니다. 공격을 더 특정화하고 싶다면, 다른 계정들에 추가적으로 로그인을 해보면 됩니다.”
기술적으로 숙련된 사람들은 웹사이트 구성 파일(configuration file)을 팔아서 돈을 벌 수도 있다. 이런 구성 파일은 웹사이트 내 특정 부분들의 배치를 보여주기 때문에 크리덴셜 스터핑 소프트웨어를 쓰는 공격자가 어디에서 로그인을 시도할지 파악하는 데 도움을 준다. 이런 파일을 만들만큼 기술적 요령이 없는 공격자들은 온라인 시장이나 소셜 미디어 등의 장소에서 사서 쓸 수 있다.
크리덴셜 스터핑은 기업 규모와 관계없이 산업 전반에 걸쳐 영향을 미친다. 예전에는 게임 회사나 기술 회사들이 가장 많이 공격 받았지만, 이제는 기프트카드 회사, 호텔, 피자가게, 온라인 상점들도 빈번하게 공격 대상이 되고 있다. 가장 취약한 웹사이트는 계정 탈취 시도에 당할 수 있는 직원이나 고객의 로그인 페이지가 있는 곳이다.
다중 인증은 계정 탈취 공격을 물리칠 수 있는 한 가지 방법이다. 그러나 다중 인증이 완벽하게 계정을 보호하는 “특효약”으로 쓰여서는 안 된다고 매리엇은 경고한다.
“어떤 회사가 다중 인증을 사용하지 않는 건, 이에 대해 생각해본 적이 없어서가 아닙니다.” 매리엇은 회사들이 다중 인증을 사용하지 않는 이유는 이것이 고객을 잃어버리는 결과를 낳기 때문이라고 설명한다. SMS 인증 같은 것도 생각만큼 그렇게 효과적이지 않을 수 있다.
계정 탈취 시도를 감지하고 계정을 보호할 수 있는 다른 방법들이 있다. 매리엇은 자신의 계정이 침해됐는지 알아볼 수 있는 웹사이트 ‘해브 아이 빈 폰드(Have I been pwned)’에서 이메일 침해의 징후들을 파악해볼 것을 권고한다. 또한, ‘구글 알리미(Google Alerts)’를 사용해 크래킹 포럼 상에서 자신의 회사나 회사 브랜드명이 언급됐는지 알아보라고 권고한다. 이런 방법들을 동원한다면, 누가 회사에 대해 공격을 모의할 때 미리 파악할 수 있을 것이다.
매리엇은 크리덴셜 스터핑 툴에 대해 조직들이 더 많이 공부해야 한다는 조언을 덧붙이기도 했다. 직원과 소비자에게도 비밀번호 재사용이나 회사 이메일 주소를 개인 계정으로 사용하는 것의 위험을 알려야 한다고도 강조했다.
[국제부 오다인 기자(boan2@boannews.com)]
전문성 딱히 필요 없는 데다 나쁜 보안 습관도 공격 도와
호텔, 온라인 상점 등 산업 전반으로 공격 확대되는 중
[보안뉴스 오다인 기자] 하나의 비밀번호를 여러 계정에 걸쳐 동일하게 사용하는가? 그렇다면 크리덴셜 스터핑 공격에 당할 가능성이 매우 높아 보인다. 어느 한 군데 로그인 정보만 뚫으면 다른 모든 계정도 같이 공격할 수 있는 이 절호의 기회를 점점 더 많은 공격자들이 포착하고 있기 때문이다.
[이미지=iclickart]
로그인 정보 등 개인 신상과 관련해 암호화한 정보를 폭넓게 아울러 ‘크리덴셜(credential)’이라고 한다. 크리덴셜은 사용자가 본인을 증명하는 수단으로서의 의미를 갖는데, ‘크리덴셜 스터핑’ 공격이란 공격자가 이미 확보한 크리덴셜을 다른 계정들에 마구 쑤셔 넣는(stuffing) 방식으로 사용자 정보를 침해하고 공격하는 것을 가리킨다.
만약 어떤 사람이 동일한 비밀번호를 여러 계정에서 함께 사용하고 있거나 예전에 사용했던 비밀번호를 다시 사용하고 있다면, 언제 어디서 유출됐을지 모를 크리덴셜을 통해 공격자가 여러 계정에 그 사람의 비밀번호를 대입해 공격하고 성공할 가능성이 매우 높은 것이다.
공격자가 활용할 수 있는 크리덴셜은 현재 무한한 수준으로 시중에 나와 있다. 보안 전문업체 디지털 셰도우스(Digital Shadows)가 계정 탈취 공격 및 감소에 대해 최근 발표한 연구에 따르면, 사실상 전체라고 할 수 있는 세계 1,000대 기업의 97%가 자사 크리덴셜을 유출당한 것으로 드러났다.
해커들이 크리덴셜을 활용하는 방법은 주로 6가지다. 1) 봇넷 구축, 2) 정보 유출 협박(post-breach extortion: 돈을 주지 않으면 SNS 등 타 채널에 정보를 유출하겠다고 협박하는 공격 수법), 3) 크리덴셜 수확(credential harvesting), 4) 스피어 피싱, 5) 계정 탈취, 6)크리덴셜 스터핑 등이다. 디지털 셰도우스의 연구는 크리덴셜 스터핑 툴 사용을 늘린 계정 탈취에 주력했다.
크리덴셜 스터핑은 한 웹사이트에서 훔친 로그인 정보를 다른 웹사이트에 무차별 대입(brute-force)하는 자동화 시스템으로, 하나의 계정 정보가 다른 계정 정보와도 일치할 것을 노린 공격 프로세스다. 사용자가 동일한 크리덴셜을 다중의 웹사이트에서 사용한다는 사실을 파악한 공격자는 계정 탈취를 쉽게 자동화할 수 있고 추후 더 많은 계정을 공격하는 데도 활용할 수 있다.
디지털 셰도우스 리서치 분석가 마이클 매리엇(Michael Marriott)은 이 같은 계정 탈취 공격에 대해 “진입 장벽이 나날이 낮아지고 있다”고 말한다. 공격자가 계정을 침투하는 데는 대단한 전문성이 필요치 않고, 사용자의 보안 습관이 좋지 않다는 사실도 공격이 성공하는 큰 요인이라는 것이다. 온라인에 “터무니없이 많은 양”의 데이터가 있기 때문에 공격자들이 일치하는 계정을 찾을 가능성은 높다고 매리엇은 설명했다.
수많은 크리덴셜이 공공연하게 이용가능하며, 나이별로 비용이 달라진다. 예컨대, 디지털 셰도우스는 2016년 4월 기준 링크드인의 데이터베이스가 2백2십8만 원이었지만 지금은 달랑 4천 원 선에서 살 수 있다고 보고했다. 정보량이 가장 많은 패키지들 중 하나는 1,074개의 데이터베이스에서 수집한 총 3,825,302,948건의 크리덴셜을 약 3백만 원에 내놓고 있다.
공격자들은 크리덴셜 스터핑 공격을 펼치는 데 몇 가지 다른 툴을 사용하는데, 주요 툴은 센트리엠비에이(SentryMBA), 베르텍스크래커(Vertex Cracker), 어카운트히트맨(Account Hitman) 등이 있다. 매리엇은 이 중에서 센트리엠비에이가 가장 많이 사용된다며, 자동 로그인을 막는 CAPTCHA 제어를 피할 수 있도록 설계됐고 무료로 사용할 수 있기 때문이라고 설명했다.
“여러 동기가 있겠지만, 돈을 벌 수 있다는 게 분명한 이유겠죠.” 이런 공격들이 일어나는 이유에 대해 매리엇은 이렇게 말한다. “공격자들은 사용자들에 대해 더 많은 정보를 캐내기 위해 계정 탈취 공격을 펼치기도 합니다. 공격을 더 특정화하고 싶다면, 다른 계정들에 추가적으로 로그인을 해보면 됩니다.”
기술적으로 숙련된 사람들은 웹사이트 구성 파일(configuration file)을 팔아서 돈을 벌 수도 있다. 이런 구성 파일은 웹사이트 내 특정 부분들의 배치를 보여주기 때문에 크리덴셜 스터핑 소프트웨어를 쓰는 공격자가 어디에서 로그인을 시도할지 파악하는 데 도움을 준다. 이런 파일을 만들만큼 기술적 요령이 없는 공격자들은 온라인 시장이나 소셜 미디어 등의 장소에서 사서 쓸 수 있다.
크리덴셜 스터핑은 기업 규모와 관계없이 산업 전반에 걸쳐 영향을 미친다. 예전에는 게임 회사나 기술 회사들이 가장 많이 공격 받았지만, 이제는 기프트카드 회사, 호텔, 피자가게, 온라인 상점들도 빈번하게 공격 대상이 되고 있다. 가장 취약한 웹사이트는 계정 탈취 시도에 당할 수 있는 직원이나 고객의 로그인 페이지가 있는 곳이다.
다중 인증은 계정 탈취 공격을 물리칠 수 있는 한 가지 방법이다. 그러나 다중 인증이 완벽하게 계정을 보호하는 “특효약”으로 쓰여서는 안 된다고 매리엇은 경고한다.
“어떤 회사가 다중 인증을 사용하지 않는 건, 이에 대해 생각해본 적이 없어서가 아닙니다.” 매리엇은 회사들이 다중 인증을 사용하지 않는 이유는 이것이 고객을 잃어버리는 결과를 낳기 때문이라고 설명한다. SMS 인증 같은 것도 생각만큼 그렇게 효과적이지 않을 수 있다.
계정 탈취 시도를 감지하고 계정을 보호할 수 있는 다른 방법들이 있다. 매리엇은 자신의 계정이 침해됐는지 알아볼 수 있는 웹사이트 ‘해브 아이 빈 폰드(Have I been pwned)’에서 이메일 침해의 징후들을 파악해볼 것을 권고한다. 또한, ‘구글 알리미(Google Alerts)’를 사용해 크래킹 포럼 상에서 자신의 회사나 회사 브랜드명이 언급됐는지 알아보라고 권고한다. 이런 방법들을 동원한다면, 누가 회사에 대해 공격을 모의할 때 미리 파악할 수 있을 것이다.
매리엇은 크리덴셜 스터핑 툴에 대해 조직들이 더 많이 공부해야 한다는 조언을 덧붙이기도 했다. 직원과 소비자에게도 비밀번호 재사용이나 회사 이메일 주소를 개인 계정으로 사용하는 것의 위험을 알려야 한다고도 강조했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
