KISA, 크롬·엣지·파이어폭스 브라우저 자동 로그인 비활성화 및 사용자 주의 권고
계정정보 탈취 후 2차 공격 이어질 수 있어...사이트별 계정정보 달리하고 2차 인증 필요

[보안뉴스 박은주 기자] 최근 브라우저 자동 로그인 기능을 악용한 계정정보 탈취 범죄가 급증하고 있다. 자동 로그인된 PC가 악성코드에 감염됐거나 공용 PC에서 자동 로그인 기능을 사용할 경우 개인정보 유출 및 피해가 발생할 수 있다. 따라서 사용자는 자동 로그인 기능을 비활성화하고 계정정보 유출에 주의를 기울여야 한다.


[이미지=gettyimagesbank]

한국인터넷진흥원(KISA)은 5일 보안공지를 통해 브라우저 자동 로그인 기능을 악용한 계정 탈취 범죄가 급증하고 있다고 밝히며, 자동 로그인 기능 비활성화 및 사용자 주의를 당부했다.


▲MS 엣지 자동 로그인 설정 페이지[캡처=보안뉴스]

해당 위협에 영향받는 브라우저는 △구글 크롬(Google Chrome) △MS 엣지(Microsoft Edge) △모질라 파이어폭스(Mozilla FireFox)이다. KISA에서 권고하는 대응방안은 다음과 같다. ‘구글 크롬’은 페이지 오른쪽 상단 프로필 비밀번호를 선택해 설정 메뉴에서 자동 로그인 사용을 중지한다. ‘MS 엣지’는 오른쪽 상단 더보기 클릭 후, 설정에 들어가 프로필을 선택한다. 이후 암호를 선택해 자동으로 로그인 및 암호 필드에 암호 나타내기 단추 옵션을 모두 ‘사용 안함’으로 변경한다. ‘모질라 파이어폭스’는 오른쪽 상단 더보기 클릭 후 설정을 선택해 개인정보 및 보안 메뉴에 접속한다. 이후 저장된 로그인을 선택해 목록에 있는 정보를 모두 제거하는 방법이다.

일례로 지난 2월 국가정보원은 국가·공공기관 정보 서비스 이용자 1만 3,000개 가량의 개인정보가 다크웹에 유출됐다고 밝혔다. 해당 공격은 사용자의 아이디와 비밀번호 등 개인정보를 탈취하는 악성코드인 인포스틸러(Infostealer)를 활용한 것으로 드러났다. 공격자는 각종 콘텐츠 및 파일이 오가는 웹하드, P2P 사이트, 블로그 등에 인포스틸러를 은닉한 불법 소프트웨어를 유통하는 방식으로 악성코드를 퍼트렸다. 인포스틸러를 활용해 사용자의 아이디, 패스워드 등 개인정보를 탈취한 것이다.

이때 자동 로그인 기능을 사용할 경우 각별한 주의가 필요하다. 이미 로그인된 계정의 경우 공격자가 더 빠르게 쿠키 및 세션 등 계정정보를 탈취할 수 있기 때문이다.

공격자가 인포스틸러로 탈취한 개인정보를 토대로 크리덴셜 스터핑(Credential Stuffing) 공격을 시도할 수 있다. 크리덴셜 스터핑은 유출된 아이디와 비밀번호를 여러 웹사이트나 애플리케이션에 대입해 로그인되면 개인정보나 자료를 탈취하는 공격 기법이다. 편리하다는 이유로 사이트마다 똑같은 아이디와 패스워드를 사용했을 경우 연쇄적인 피해를 볼 수 있다.

지난 1월 엔씨소프트 게임 ‘쓰론 앤 리버티(THRONE AND LIBERTY)’에서 크리덴셜 스터핑으로 일부 계정과 게임 머니가 탈취됐고, 2023년 7월 스타벅스코리아에서 부정 로그인 및 충전금 결제 도용 사건이 벌어지기도 했다. 과학기술정보통신부의 침해사고 조사결과 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 정도로 집계된 바 있다.

따라서 계정정보 탈취를 예방하기 위해서는 자동 로그인 기능을 비활성화하고 사이트마다 다른 아이디와 비밀번호를 사용해야 한다. 더불어 2차 인증을 사용하는 것이 안전하다. 만일 해외에서 로그인을 시도했다는 알림을 받거나, 여러 웹사이트에서 유출된 아이디와 비밀번호로 계속해서 피해가 발생하는 경우 계정정보 유출을 의심해 볼 수 있다. 자주 사용하는 계정의 정보 유출 여부는 개인정보보호위원회와 KISA에서 운용하는 ‘털린 내 정보 찾기 서비스’를 통해 확인할 수 있다.

이와 함께 기관과 기업에서는 로그인 시도 횟수를 제한하거나 2차 인증 기능을 제공하는 등 이용자 인증 보안을 강화할 필요가 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>