최근 스타벅스, 워크넷 등이 해킹을 당하며 개인이 직접적으로 피해를 받는 경우가 늘고 있다. 이번 해킹에 활용된 '크리덴셜 스터핑(Credential Stuffing)' 공격을 피하려면 번거롭더라도 개인이 비밀번호를 신경써서 관리하는 것이 중요하다. 기업의 허술한 보안 시스템도 지적된다.
![[출처=게티이미지뱅크]](/news/photo/202307/235567_238780_2520.jpg)
속수무책으로 뚫리는 크리덴셜 스터핑
크리덴셜 스터핑은 해커가 특정 경로로 유출된 개인의 로그인 정보를 다른 사이트나 계정에 무작위로 대입해 개인정보를 탈취하는 수법이다. 이러한 공격은 개인이 여러 계정에서 동일한 비밀번호를 사용하는 것을 악용한 사례다. 해커는 훔친 아이디와 비밀번호로 사이트에 로그인을 반복적으로 시도한다. 로그인에 성공하면 계정을 탈취해 금전적 이득을 취하거나 다크 웹에서 다른 범죄자에게 인증정보를 판매한다.
크리덴셜 스터핑은 탐지하기 어렵다. 해커는 방어 체계를 우회하고, 수백 및 수천 개의 서로 다른 IP 주소에서 로그인을 시도하는 경우 공격을 차단하기 어렵다. 크리덴셜 스터핑 공격과 단순히 비밀번호를 잘못 입력하거나 잘못된 인증정보를 사용하는 고객을 구분하기 어렵다.
크리덴셜 스터핑은 ‘초기 침투 전문 브로커’(IAB, 인포스틸러)의 등장으로 급격하게 늘고 있는 공격 방법이다. IAB로부터 아이디와 패스워드, 해킹툴만 구입하면 바로 시도할 수 있을 정도로 구조가 간단하다. 헬프넷시큐리티에 의하면 2020년 전 세계적으로 1930억 번의 크리덴셜 스터핑 공격이 있었다. 특히 금융서비스 기업들은 34억 번의 공격 피해를 받았는데, 이는 전년 대비 45% 증가한 수치다.
허술한 기업 보안 지적돼
일반적으로 기업들은 크리덴셜 스터핑과 같은 무차별 대입 공격을 감지하기 위해 이상로그인탐지시스템(IPS)이나, 일정 횟수 이상 비밀번호가 맞지 않을 시 보안 문자나 그림을 입력하게 하는 캡차(CAPCHA) 등을 도입하고 있다. 그러나 최근 발생한 해킹 사례에서는 기업의 보안이 허술했다는 지적이다.
스타벅스코리아는 공식 홈페이지를 통해 7월 10일 외부에서 불법 취득한 아이디와 패스워드를 무작위로 조합한 후 해외 IP를 통해 앱에 부정 로그인한 시도가 있었다고 밝혔다. 크리덴셜 스터핑 공격이 사용됐는데 이를 통해 로그인에 성공한 계정에서 충전금을 무단 사용했다. 스타벅스 코리아에 따르면 이용자 90여 명의 계정이 해킹돼 충전금 약 800만 원이 부정 결제 된 것으로 나타났다.
스타벅스 모바일 앱은 아이디와 비밀번호만 입력하면 별도 인증 절차 없이 앱카드에 충전한 금액을 결제할 수 있다는 점이 문제를 키웠다고 지적된다. 또한 스타벅스는 지난 8일 크리덴셜 스터핑으로 인한 충전금 부정 사용이 확인됐음에도 이틀이 지나서야 이를 한국인터넷진흥원(KISA) 등 관계 기관에 신고한 것으로 나타났다. 스타벅스 해킹 사건은 이번이 처음이 아니다. 2019년에도 동일한 공격으로 인해 사용자 피해가 발생한 바 있다.
워크넷 또한 7월 개인정보 유출 피해가 발생했다. 이번 사건으로 23만 명에 달하는 고객 개인 정보가 유출됐다. 워크넷의 경우, 크리덴셜 스터핑과 같은 무차별 대입 공격을 방지하기 위한 보안 기술인 캡차조차 적용돼 있지 않았던 것으로 확인됐다.
지난 1월에는 인터파크가 동일 접속 주소(IP)에서 발생한 대규모 로그인 시도를 제때 차단하지 않아 이용자 개인정보 78만여 건을 유출되는 사고가 있었다. 인터파크는 지난해 정보 보호 부문 투자액 규모를 크게 줄인 것으로 나타났다.
정보 보호 공시 종합 포털에 따르면 정보 보호 부문 투자액은 전년 동기 대비 20.8% 감소했다. 정보 보안 부문 전담 인력도 감소했다. 또한 동일한 IP 주소에서 대규모 접속을 시도하는 경우와 같이 비정상적인 접속 시도에 대응할 수 있는 차단 정책을 적용하지 않아 피해가 큰 것으로 나타났다.
개인과 기업·기관의 보안 강화 노력 필요해
전문가들은 공격 예방을 위해 비밀번호를 길게 만들고 자주 변경하거나 같은 번호를 돌려쓰지 않는 등 사용자가 경각심을 가지고 노력하는 것이 중요하다고 입을 모아 말한다.
2014년 크리덴셜 스터핑으로 할리우드 연예인 다수의 아이클라우드를 해킹해 개인정보를 유포한 사건이 있었는데, 미국 연방수사국(FBI)은 '패스프레이즈(Passphrase)'를 사용할 것을 추천했다. 패스프레이즈는 여러 단어를 섞어 만든 비밀번호로 FBI는 짧고 복잡한 비밀번호보다 15자 이상의 긴 비밀번호를 쓰는 게 해독하기에 더 어렵다고 설명했다.
개인이 개인정보 보호를 위해 주의해야 하는 것도 중요하지만 기업 차원에서의 노력도 더 필요할 것으로 보인다.
애플은 해당 사건 이후 클라우드 보안성을 강화하고자 3단계 인증에 기반한 로그인 방식을 도입했다. 클라우드 계정 아이디와 비밀번호, 문자로 전송된 보안 코드와 스마트폰 잠금 비밀번호까지 인증하는 방법이다.
전문가들은 크리덴셜 스터핑 공격을 사전에 방지할 수 있는 조치로 '다중 인증(MFA, Multi Factor Authentication)'을 사용할 것을 권장하고 있다. 다중 인증은 계정 로그인 시 아이디와 비밀번호를 입력하는 1차 인증 외에 지문 인식 등 추가적인 본인 인증을 요구하는 방식이다. 구글, 네이버 등 검색 포털이 사용자들에게 다중 인증을 지원하고 있다. 허술한 보안으로 지적받는 기업에도 고객들의 개인정보 유출 피해를 줄이기 위한 보안 강화가 필요하다.
