Akamai Diversity

Akamai 블로그

COVID-19 팬데믹 기간의 크리덴셜 스터핑 공격 증가

미국이 3월 초 COVID-19로 인해 격리 조치에 들어간 후 악의적 공격자들은 공격을 감행할 수 있는 많은 시간과 피해자를 손에 넣게 되었습니다. 전 세계 수백만 명의 사람들이 갑자기 재택근무를 하게 되면서 일상 워크플로우를 다루는 많은 엔터프라이즈급 보안 체계에서 벗어났기 때문입니다.

원격 근무는 곧 일상적인 현상으로 자리 잡았습니다. 인터넷으로 업무를 하는 사람들이 증가하면서 애플리케이션 및 서비스에 대한 원격 접속도 탄력을 받기 시작했습니다. 그러나 애플리케이션, 게임, 웹 기반 서비스를 사용하는 많은 사람들은 보안 대신 사용 편의성과 접속을 선택했습니다. 범죄자들은 공격면을 즉각적으로 악용하고 있습니다.

사용자들은 과연 무엇을 희생시키고 있는 걸까요? 대부분 오래된 소프트웨어를 사용하고, 개인 이메일과 회사 이메일을 혼용하여 개인적인 일을 처리하고, 비밀번호를 재사용하면 보안이 취약해집니다.

비밀번호 재사용은 흔히 발생하는 심각한 보안 문제입니다. 2017년 12월부터 2019년 11월까지 Akamai의 고객들을 대상으로 850억 건의 크리덴셜 스터핑 공격이 발생했는데 이 중 거의 20%는 정확하게 API 엔드포인트를 노렸습니다. 이러한 공격 규모는 범죄자들이 악용할 수 있는 리소스가 많다는 것을 의미합니다. 이들은 공격을 자동화하고 계정이 일치하는지 확인 및 검증한 후 결과를 기다립니다.

최근 범죄자들은 크리덴셜 스터핑 목록을 다시 살펴보았습니다. 그리고 COVID-19 사태 이후 인기를 끌고 있는 서비스를 대상으로 테스트하기 시작했습니다. 가장 인기 있는 서비스 중 하나인 줌(Zoom)은 광범위한 협업을 지원하는 화상회의 플랫폼으로, COVID-19 사태 이후 기업, 정부, 학교를 위한 필수적인 서비스로 부상했습니다.

그러나 최근 줌은 보안 문제로 논란에 휩싸였는데 이런 논란 자체가 중요하고 필요한 것입니다. 이로 인해 Zoom의 설립자 겸 CEO인 에릭 위안(Eric S. Yuan)은 Zoom이 직면한 가장 큰 문제인 신뢰, 안전, 개인정보 보호 문제를 해결하는데 모든 엔지니어링 리소스를 집중할 것이라고 말했습니다. 또한 Zoom은 보안 업계 버그 바운티 프로그램 분야의 독보적인 전문가 케이티 무소리스(Katie Moussouris), 그리고 무소리스의 기업 Luta Security와 함께 자사 버그 바운티 프로그램을 다시 시작했습니다.

2020년 4월 13일, Zoom은 부정적인 헤드라인을 맞으며 한 주를 시작했습니다. 해킹된 Zoom 계정 50만 개가 다크 웹에서 거래되고 있다는 것이었습니다. 일부 언론사는 이 계정들이 해킹을 당했다고 주장했습니다. '다크 웹 데이터 유출'로 인해 계정이 탈취되었다고 주장하는 언론사도 있었습니다.

문제는 이 '해킹된' 계정이라는 표현에 오해의 소지가 있다는 것입니다. Zoom에서 데이터 유출이 발생한 적이 없고, 정체불명의 '다크 웹 데이터 유출'도 존재하지 않습니다. 또한 이러한 계정들 중 대부분은 지난 몇 년 동안 다양한 크리덴셜 스터핑 목록의 일부로 교환, 판매되거나 무료로 제공되어 왔습니다.

언론사들이 언급한 Zoom 계정은 판매 중인 컬렉션의 일부였습니다. 이 데이터를 구매한 보안 회사도 자사의 고객이 목록에 포함되어 있는지 확인하기 위해 데이터를 구매했으며, 그 과정에서 대중의 주목을 받게 된 것입니다.

마케팅 전술의 효과를 추측해보는 대신, 이러한 무서운 헤드라인들이 즉각적으로 어떤 영향을 미쳤는지 살펴보겠습니다. 전 세계 기업들이 이 뉴스를 접했고, 비즈니스 리더들은 위협 인텔리전스 팀을 동원해 이 목록을 추적하고 검증하는 작업에 착수했습니다. 저는 헤드라인이 발표되고 며칠 후에 외부의 위협 인텔리전스 연구원들을 지원했기 때문에 이에 대해 잘 알고 있습니다.


현금 재활용

크리덴셜 스터핑은 숫자 게임입니다. 범죄자가 확보한 인증정보 목록이 충분하다면 공격 성공까지는 시간 문제입니다. 비밀번호를 재사용하거나, 보안이 취약하고 쉽게 추측할 수 있는 비밀번호를 사용하거나, 공격을 받는 쪽에서 가시성이 부족하면 공격의 절반은 이미 성공한 것입니다. 대부분의 크리덴셜 스터핑 공격은 자동화되고 올인원 툴이나 인간의 행동을 모방하는 봇을 이용하기 때문에 악성 트래픽과 정상 트래픽을 구분하는 것이 어렵습니다.

크리덴셜 스터핑 목록은 쉽게 확보할 수 있습니다. 범죄자들이 사용하지 않는 목록을 공개해 누구나 사용할 수 있도록 하고 그 대가로 자신의 평판을 올리기 때문입니다. 일례로 올해 3월 말부터 4월 초 사이 범죄자들이 Zoom의 인증정보를 여러 공개 포럼에 무료로 올리기 시작했습니다. 이미 유출된 이메일 주소와 비밀번호를 확인해주는 'Have I Been Pwned?' 사이트에서 포럼에 올라온 Zoom의 인증정보를 확인해본 결과, 공개된 1354개 중 이전에 공개된 적이 없었던 인증정보는 50개에 불과했습니다. 나머지 인증정보는 2012년 이후부터 발생한 여러 데이터 유출로 인해 이미 공개된 것들이었습니다.

하지만 거래되는 인증정보가 오래된 것이라는 사실은 문제가 되지 않았습니다. 그림 1에서 볼 수 있듯 한 판매자는 기본적인 유효성 검사기를 실행하고 예상 Zoom 사용자 목록을 만들기 시작했습니다. 판매자는 자신의 스토어에서 인증정보를 개당 50센트에 판매했지만, 이후 가격은 25센트로 떨어졌고 차츰 인증정보는 스토어에서 완전히 자취를 감추었습니다. 판매 중인 목록들이 과거의 유출 사고에서 나온 것임을 말해주는 또 다른 지표는 각 레코드 당 1페니 미만인 대규모 목록들이 존재한다는 점입니다. 

그림 1: 한 범죄자는 즉각적으로 Zoom 계정들을 겨냥해 재사용된 사용자 이름과 비밀번호 목록을 생성했습니다.


크리덴셜 스터핑과 괴롭힘 

최근 빌 앤 멜린다 게이츠 재단(Bill and Melinda Gates Foundation), 우한 바이러스 연구소(WIV), 미국 국립보건원(NIH), 세계보건기구(WHO)에서 재사용된 인증정보가 유출되는 사고가 발생했습니다.

4월 19일에는 이 기관들에서 데이터 유출이 발생했다는 주장과 함께 사용자 이름과 비밀번호가 인터넷에서 퍼지기 시작했습니다. 뉴욕 타임스 NBC 뉴스의 기자들을 지원하는 과정에서 전부는 아니지만 거의 대부분의 유출된 비밀번호가 이전의 데이터 유출 사고에서 재사용되었다는 것을 알게 되었습니다.

예를 들어 일반에 공개된 빌 앤 멜린다 게이츠 재단의 계정 270개 중 1개를 제외한 모든 계정이 2012년 이후 발생한 데이터 유출 사고로 이미 공개된 것이었습니다. 우한 바이러스 연구소의 모든 계정들도 이미 이전에 노출된 것이었습니다. 미국 국립보건원이나 세계보건기구의 계정 목록도 재활용된 것으로, 그 중 대부분은 AntiPublic 인증정보 뿐만 아니라 Collection 1에 포함되어 있습니다.

이런 인증정보가 유출된 이유를 사용자 댓글이나 포럼 게시물에서 찾아보면, 다른 사람들에게 인증정보를 이용해 불법적으로 계정에 접속하고 정보를 공개하도록 부추김으로써 정책 입안자와 정치적 경쟁자를 괴롭히는 것이 목표임을 알 수 있습니다.


결론

크리덴셜 스터핑은 규모에 상관 없이 모든 기업에 영향을 미치는 문제입니다. 어떤 기업도 이런 공격에서 자유롭지 못합니다. 하지만 보다 효과적으로 공격에 대응하는 기업들이 있습니다. 개인에게도 크리덴셜 스터핑은 문제가 됩니다. 하지만 자신의 리스크 허용 수준을 평가함으로써 문제에 대처할 수 있습니다. 

예를 들어 대부분의 사람들이 비밀번호를 짧고 간단하게 만들어 여러 곳에 사용합니다. 이렇게 쉬운 비밀번호를 사용할 때는 계정이 노출되는 리스크를 고려해야 합니다. 만일 해당 계정이 미래에 높은 가치를 지닐 가능성이 조금이라도 있거나 개인정보, 고유한 계정 자산, 재무 상태, 기록 등 범죄자에게 가치가 될 정보를 포함하고 있다면 쉽게 추측할 수 있는 비밀번호가 아니라 더욱 강력한 비밀번호를 만들어 사용하는 것이 최선입니다.

비밀번호 관리 프로그램을 통해 복잡하고 긴 비밀번호를 사용하고, 여러 계정에 동일한 비밀번호를 사용해서는 안됩니다. 이는 크리덴셜 스터핑 공격으로부터 계정을 방어하는 데 매우 중요한 요소입니다. 비밀번호를 재사용하면 계정 하나가 탈취되었을 때 다른 계정들도 침해될 수 있기 때문입니다.

가치가 높은 계정은 다른 계정보다 더 강도 높은 보안이 필요합니다. 어떤 가치가 높은 것인지는 사용자가 직접 결정해야 합니다. 은행, 이메일 계정, 소셜미디어 계정은 대체로 가치가 높은 계정입니다. 이 계정들은 지금처럼 의무적으로 집에 머물러야 하는 때에 특히 더 중요합니다. 

비밀번호 관리 프로그램의 사용과 비밀번호를 복잡하게 만드는 것 이외에도 Google Authenticator 또는 Duo 등 멀티팩터 인증을 사용해야 합니다. SMS가 유일한 옵션이더라도 멀티팩터 인증을 활성화하고 사용해야 합니다. 이러한 방어 체계는 범죄자가 계정을 수동적으로 스캔하거나 유출하기 어렵게 만들기 때문입니다.

 크리덴셜 스터핑을 방어할 때 핵심은 계정마다 서로 다른 비밀번호를 사용하고 비밀번호를 최대한 길게 복잡하고 만드는 것입니다. 매번 복잡한 비밀번호를 만드는 것은 어렵습니다. 그래서 사람들은 동일한 비밀번호를 여러 계정에 사용하고, 이전에 사용했던 비밀번호를 재사용합니다. 그래서 비밀번호 관리 프로그램이 중요합니다.

 

지금 비밀번호를 변경하고 계정마다 서로 다른 비밀번호를 만드세요. 손을 씻는 것도 잊지 마시기 바랍니다.