.jpg)
금융보안원 김규연 수석, 쇼핑몰 피싱 페이지 및 크리덴셜 스터핑 통한 개인정보 유출사례와 대응방안 공유
크리덴셜 스터핑 자체를 방어하기 어려워...2차 인증 등 인증 절차 강화 필요
[보안뉴스 박은주 기자] 개인정보 유출은 소리 없이 벌어지는 ‘디지털 재난’이다. 온라인에서 벌어지며 당장 피부로 느껴지는 위협은 아니지만, 속도가 느릴 뿐 위협은 언제 어디서나 도사리고 있다. 유출된 개인정보는 공격자 서버나 다크웹, 사이버 범죄 포럼·마켓 등에 흘러 들어간다. 정보를 활용해 현금을 갈취하거나 신원 도용, 금융 사기 등 심각한 범죄로 이어진다.
[이미지=gettyimagesbank]
PIS FAIR 2024에서 해킹을 통한 개인정보 유출사례를 공유하고 개인정보 유출에 대비한 인증 절차 강화 및 보안 체계 마련 필요성을 논의하는 시간이 마련됐다. 2022년 9월, 11월 국내 중소 규모 온라인 쇼핑몰에서 결제 페이지로 위장한 피싱 페이지로 인한 개인정보 유출사건이 발생했다. 공격자는 탈취한 카드 정보를 통해 중고거래 플랫폼·오픈마켓·애플스토어를 이용해 부정 결제했고, 현금화를 진행했다.
피싱 페이지에서는 △카드번호 △카드 유효기간 △CVC △주민등록번호 △카드 비밀번호 △일반결제 비밀번호 등을 요구했고, 이렇게 탈취한 정보는 공격자 페이지로 전송됐다. 애플스토어 ‘대리인 수령’ 정책을 악용한 사례를 살펴보면, 탈취한 카드 정보로 애플스토어 홈페이지에서 전자기기를 부정 결제했다. 해당 전자기기를 중고거래 플랫폼에 시중가보다 저렴하게 판매하고, 구매자가 나타나면 애플스토어 매장에서 직접 수령 방식을 안내한다. 구매자에게 대리수령 영수증과 사기 계좌를 제공한 후, 물품 금액을 입금 받는 방식으로 현금화가 이뤄진 것. 결제는 탈취한 정보를 악용해서 진행하고, 현금은 범죄자가 편취한 상황이다. 과거 수익화 방식이 다크웹 판매와 불법 복제라면, 이번은 한국 온라인 결제 환경을 악용하고 사전 정보를 수집해 수익화 구조를 마련했다는 데 주목할 만하다.
이 밖에도 아울렛을 사칭한 피싱 사이트를 구축해 결제 과정에서 카드 정보를 탈취하거나 부고 안내문을 이용한 악성 앱을 유포해 휴대폰 내 주요 정보 탈취 및 제어권을 획득하는 경우도 발견됐다.
금융보안원은 피싱 페이지 URI 특징을 활용한 탐지 프로그램을 개발해 5,000여개 쇼핑몰 도메인을 분석했다. 그 결과 동일한 피싱 결제 페이지가 삽입된 50여개 피해 쇼핑몰을 확인할 수 있었다. 공격자는 취약하게 운영되고 있는 쇼핑몰을 대상으로 SQL 인젝션(Injection) 등의 공격을 통해 침투했다. 플랫폼 자체 취약점을 통해 웹쉘을 올리고, 취약한 관리자 페이지 웹 해킹을 시도한 것으로 드러났다. 공격자는 오전 9시부터 오후 6시 평일 업무시간을 제외한 시간에 최초 1회 접속한 모바일 브라우저에서만 피싱 페이지를 노출하는 교묘함을 보였다.
▲금융보안원 김규연 수석[사진=보안뉴스]
PIS FAIR 2024에서 발표를 진행한 금융보안원 김규연 수석은 “대부분 사고는 기본적인 보안 요소 누락으로 인해 발생한다”며, 피해 쇼핑몰은 대부분 플랫폼을 독립적으로 운영하고 관리자 페이지 MFA 미적용, 원격 서비스 외부 노출, 취약한 파일 업로드 페이지 외부 노출 등 기본적인 보안이 미흡했다”고 지적했다.
김 수석은 “개인정보를 노리는 정교한 사이버 공격이 지속해서 진화하는 만큼, 동종 업계 대상으로 한 공격 사례와 방식에 대한 지속적 모니터링이 중요하다”며 “개인정보 처리 흐름도에서 공격 벡터가 될 만한 부분을 점검하고 보안을 강화할 필요가 있다”고 말했다.
이렇듯 한 번 탈취 당한 계정정보는 사용자가 모르는 사이 거래되고 N차로 악용된다. 그중 하나가 계정정보를 무작위로 대입해 이용자 계정을 탈취하는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격이다. 다크웹이나 피싱 사이트, 악성코드, 웹 해킹 등 다양한 경로를 통해 계정정보를 수집한 공격자는 여러 시스템에 무작위로 계정정보를 대입해 이용자 계정을 탈취한다. 특히 다크웹에서는 피해 기업 대상 크리덴셜 스터핑 공격을 할 수 있는 전용 도구를 판매하고 있는데, 계정정보·캐쉬·포인트·쿠폰 정보까지 확인할 수 있었다.
김규연 수석이 공유한 사례에 따르면 유사한 시기, 같은 업종을 대상으로 대규모 크리덴셜 스터핑 공격이 발생했다. 크리덴셜 스터핑 공격의 특징으로는 이용자 계정별 비밀번호가 1~5개를 보유하고 있어 로그인 시도 대비 성공률이 높았고, VPN이나 봇넷 등 대규모 IP 자원을 활용했다. 하나의 IP에서 1~2개 계정에 대해서만 로그인을 시도해 계정탈취 시스템(ATO) 탐지를 우회하려는 시도로 보인다.
크리덴셜 스터핑 자체를 방어하기란 현실적으로 불가능하다. 공격 시도를 인지할 수는 있으나, 패턴 기반 차단이 어려운 상황이다. 따라서 2차 인증처럼 로그인 시 인증 절차를 강화하는 것이 더욱 중요하다는 게 김 수석의 설명이다.
만일 계정이 유출됐다면, 같은 아이디나 패스워드를 사용하는 계정의 비밀번호를 변경하는 것이 안전하다. 개인정보보호위원회에서 제공하는 ‘털린 내 정보 찾기 서비스’를 통해 정보 유출 여부를 확인할 수 있다. 장기적으로는 로그인 시 생체인식 등을 이용하는 패스워드리스(Passwordless)가 강화되는 추세다. 기업에서는 다크웹에 유통되는 기업 관련 정보를 수시로 모니터링하는 일이 필요하다.
[박은주 기자(boan5@boannews.com)]
크리덴셜 스터핑 자체를 방어하기 어려워...2차 인증 등 인증 절차 강화 필요
[보안뉴스 박은주 기자] 개인정보 유출은 소리 없이 벌어지는 ‘디지털 재난’이다. 온라인에서 벌어지며 당장 피부로 느껴지는 위협은 아니지만, 속도가 느릴 뿐 위협은 언제 어디서나 도사리고 있다. 유출된 개인정보는 공격자 서버나 다크웹, 사이버 범죄 포럼·마켓 등에 흘러 들어간다. 정보를 활용해 현금을 갈취하거나 신원 도용, 금융 사기 등 심각한 범죄로 이어진다.
[이미지=gettyimagesbank]
PIS FAIR 2024에서 해킹을 통한 개인정보 유출사례를 공유하고 개인정보 유출에 대비한 인증 절차 강화 및 보안 체계 마련 필요성을 논의하는 시간이 마련됐다. 2022년 9월, 11월 국내 중소 규모 온라인 쇼핑몰에서 결제 페이지로 위장한 피싱 페이지로 인한 개인정보 유출사건이 발생했다. 공격자는 탈취한 카드 정보를 통해 중고거래 플랫폼·오픈마켓·애플스토어를 이용해 부정 결제했고, 현금화를 진행했다.
피싱 페이지에서는 △카드번호 △카드 유효기간 △CVC △주민등록번호 △카드 비밀번호 △일반결제 비밀번호 등을 요구했고, 이렇게 탈취한 정보는 공격자 페이지로 전송됐다. 애플스토어 ‘대리인 수령’ 정책을 악용한 사례를 살펴보면, 탈취한 카드 정보로 애플스토어 홈페이지에서 전자기기를 부정 결제했다. 해당 전자기기를 중고거래 플랫폼에 시중가보다 저렴하게 판매하고, 구매자가 나타나면 애플스토어 매장에서 직접 수령 방식을 안내한다. 구매자에게 대리수령 영수증과 사기 계좌를 제공한 후, 물품 금액을 입금 받는 방식으로 현금화가 이뤄진 것. 결제는 탈취한 정보를 악용해서 진행하고, 현금은 범죄자가 편취한 상황이다. 과거 수익화 방식이 다크웹 판매와 불법 복제라면, 이번은 한국 온라인 결제 환경을 악용하고 사전 정보를 수집해 수익화 구조를 마련했다는 데 주목할 만하다.
이 밖에도 아울렛을 사칭한 피싱 사이트를 구축해 결제 과정에서 카드 정보를 탈취하거나 부고 안내문을 이용한 악성 앱을 유포해 휴대폰 내 주요 정보 탈취 및 제어권을 획득하는 경우도 발견됐다.
금융보안원은 피싱 페이지 URI 특징을 활용한 탐지 프로그램을 개발해 5,000여개 쇼핑몰 도메인을 분석했다. 그 결과 동일한 피싱 결제 페이지가 삽입된 50여개 피해 쇼핑몰을 확인할 수 있었다. 공격자는 취약하게 운영되고 있는 쇼핑몰을 대상으로 SQL 인젝션(Injection) 등의 공격을 통해 침투했다. 플랫폼 자체 취약점을 통해 웹쉘을 올리고, 취약한 관리자 페이지 웹 해킹을 시도한 것으로 드러났다. 공격자는 오전 9시부터 오후 6시 평일 업무시간을 제외한 시간에 최초 1회 접속한 모바일 브라우저에서만 피싱 페이지를 노출하는 교묘함을 보였다.
▲금융보안원 김규연 수석[사진=보안뉴스]
PIS FAIR 2024에서 발표를 진행한 금융보안원 김규연 수석은 “대부분 사고는 기본적인 보안 요소 누락으로 인해 발생한다”며, 피해 쇼핑몰은 대부분 플랫폼을 독립적으로 운영하고 관리자 페이지 MFA 미적용, 원격 서비스 외부 노출, 취약한 파일 업로드 페이지 외부 노출 등 기본적인 보안이 미흡했다”고 지적했다.
김 수석은 “개인정보를 노리는 정교한 사이버 공격이 지속해서 진화하는 만큼, 동종 업계 대상으로 한 공격 사례와 방식에 대한 지속적 모니터링이 중요하다”며 “개인정보 처리 흐름도에서 공격 벡터가 될 만한 부분을 점검하고 보안을 강화할 필요가 있다”고 말했다.
이렇듯 한 번 탈취 당한 계정정보는 사용자가 모르는 사이 거래되고 N차로 악용된다. 그중 하나가 계정정보를 무작위로 대입해 이용자 계정을 탈취하는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격이다. 다크웹이나 피싱 사이트, 악성코드, 웹 해킹 등 다양한 경로를 통해 계정정보를 수집한 공격자는 여러 시스템에 무작위로 계정정보를 대입해 이용자 계정을 탈취한다. 특히 다크웹에서는 피해 기업 대상 크리덴셜 스터핑 공격을 할 수 있는 전용 도구를 판매하고 있는데, 계정정보·캐쉬·포인트·쿠폰 정보까지 확인할 수 있었다.
김규연 수석이 공유한 사례에 따르면 유사한 시기, 같은 업종을 대상으로 대규모 크리덴셜 스터핑 공격이 발생했다. 크리덴셜 스터핑 공격의 특징으로는 이용자 계정별 비밀번호가 1~5개를 보유하고 있어 로그인 시도 대비 성공률이 높았고, VPN이나 봇넷 등 대규모 IP 자원을 활용했다. 하나의 IP에서 1~2개 계정에 대해서만 로그인을 시도해 계정탈취 시스템(ATO) 탐지를 우회하려는 시도로 보인다.
크리덴셜 스터핑 자체를 방어하기란 현실적으로 불가능하다. 공격 시도를 인지할 수는 있으나, 패턴 기반 차단이 어려운 상황이다. 따라서 2차 인증처럼 로그인 시 인증 절차를 강화하는 것이 더욱 중요하다는 게 김 수석의 설명이다.
만일 계정이 유출됐다면, 같은 아이디나 패스워드를 사용하는 계정의 비밀번호를 변경하는 것이 안전하다. 개인정보보호위원회에서 제공하는 ‘털린 내 정보 찾기 서비스’를 통해 정보 유출 여부를 확인할 수 있다. 장기적으로는 로그인 시 생체인식 등을 이용하는 패스워드리스(Passwordless)가 강화되는 추세다. 기업에서는 다크웹에 유통되는 기업 관련 정보를 수시로 모니터링하는 일이 필요하다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
