"이러니 당할 수 밖에"…초당 200회 무한 로그인 시도하는 해커들

등록 2024.01.27 12:01:00수정 2024.01.27 12:51:41

워크넷·장학재단 웹페이지서 초당 200회에 달하는 로그인 시도

크리덴셜 스터핑 공격…'자동화된 툴' '봇넷' 이용해 성공률 높여

SMS 인증 등을 통한 2차 인증 적용·비밀번호 사이트별로 설정 권고

[서울=뉴시스]송혜리 기자 =

[서울=뉴시스]

"한국고용정보원 워크넷에는 국내외 26개 아이피(IP)를 통해 1초당 최대 166회, 총 4500만번 이상 로그인 시도가 있었고 이 중 56만번 로그인에 성공한 기록이 확인됐다."

"한국장학재단 홈페이지에는 국내외 44만여개 아이피를 통해 1초당 최대 240회, 총 2100만번 이상 로그인 시도가 있었고 이 중 3만6000번 로그인에 성공한 기록이 확인됐다."

개인정보보호위원회가 최근 해킹 공격을 받아 이용자 개인정보가 유출된 두 기관에 과태료를 부과하며, 공개한 경위다.

두 기관은 이른바 웹사이트 한 곳에서 확보한 아이디와 비밀번호를 여러 다른 인터넷 서비스에 무작위로 대입해 계정정보를 해킹하는 '크리덴셜 스터핑(Credential Stuffing)'공격을 받았다.

무엇보다 이들 사이트는 초당 166회·240회, 총 4500만번·2100만번의 로그인 시도가 있었다는 점이 주목된다. 과거 단순히 웹사이트 이곳 저곳 돌아다니면서 계정정보를 대입해 '로그인이 되면 좋고 아니면 말고' 식의 해킹이 아니었던 것이다.

현재 수사기관은 해당 공격자들이 어떤 방법으로 크리덴셜 스터핑 공격을 수행했는지 조사 중이지만, 공격자들이 성공률을 높이기 위해 '자동화 프로그램'까지 사용하고 있다는 게 보안 전문가들의 설명이다.

다크웹에서 계정정보 구입 후 무한 로그인…탈취한 정보 다시 다크웹에 판매

'크리덴셜 스터핑'공격은 해커가 이미 유출되거나 사전에 탈취한 사용자 계정(ID)과 비밀번호를 다른 홈페이지 등에 무작위로 대입해 로그인이 성공하면 해당 사용자 정보를 빼가는 공격 수법이다. 상당수 이용자들이 여러 웹사이트에서 동일한 아이디와 비밀번호를 쓰고 있다는 맹점을 악용한다.

방법은 단순하지만 비용 대비 효율적이어서 많은 공격자들이 자주 사용하는 공격방식 중 하나다. 국내 발생사례도 급증하고 있다. 개인정보위는 유출신고 접수 기준으로 2022년 1건에서 지난해 18건으로 대폭 증가했다고 공개했다.

크리덴셜 공격은 뫼비우스의 띠처럼 '계정구입(수집)-계정탈취-계정판매'가 끝없이 반복되는 구조다.

최초에 웹 해킹, 멀웨어(악성코드), 피싱, 워터링홀(웹사이트에 악성코드를 심어놓는 공격) 등의 방법으로 훔쳐낸 특정 개인의 아이디·암호가 다양한 경로를 통해 다크웹에 유통된다.

공격자는 이를 구매한다. 더러는 공격 성공률을 높이기 위해 최대한 많은 사람들의 아이디·암호를 구매한다.

이후 공격자는 침입을 위한 도구를 준비한다. '로그인 자동화 툴'과 악성코드의 감염된 '봇넷' 등을 이용해 구매한 아이디와 암호를 다양한 웹사이트의 로그인 폼에 반복해 대입한다. 아울러 웹사이트 접속자가 사람이 맞는지 확인하는 '캡챠' 등을 회피하거나, 발신지 주소를 숨기는 등의 속임수 수단도 활용한다.

SK쉴더스 관계자는 "하나의 PC에서 공격을 수행하게 된다면 시스템 성능 및 시간적으로 한계가 있기 때문에 공격자들은 보통 여러 PC를 봇넷에 감염시킨 후, 봇넷에 감염된 PC들을 활용해 동시에 많은 공격을 수행한다"면서 "공격 수행 시에는 효율을 위해 공격자가 수동으로 공격을 하기보다, 획득한 정보와 공격 목표에 알맞는 자동화 스크립트를 개발 및 실행한다"고 설명했다.

로그인에 성공하면, 해당 웹사이트에서 추가적인 개인 정보를 획득하거나, 악의적인 행위를 수행한다. 이러한 방법으로 획득 한 계정 정보는 또 다시 다크웹에 판매되면서 2, 3차 피해로 이어진다.

크리덴셜 스터핑 공격 시나리오(사진=SK쉴더스) *재판매 및 DB 금지

보안 업계 '2차 인증' 당부…'털린 내 정보 찾기' 서비스로 정보 관리 할 수 있어

이용자들은 편의를 위해 여러 사이트에서 동일한 아이디와 암호를 사용하는 경우가 많아, 하나의 계정정보가 유출될 경우 연쇄적인 피해 가능성이 크다.

크리덴셜 스터핑 공격 피해를 예방하기 위해서는 아이디와 비밀번호만을 사용하는 기본적인 1차 인증 수준을 넘어, 보안앱과 인증된 기기 인증이나 SMS 인증 등을 적용한 2차 인증을 적용해야 한다. 아울러 대소문자, 숫자, 특수 문자 포함해 8자리 이상의 비밀번호를 사용하되, 주기적으로 변경하고 개인만의 비밀번호 생성 규칙을 2~3개 정도를 만들어 각 사이트 별로 다르게 설정하도록 해야 한다.

SK쉴더스 관계자는 "개인 계정과 회사 내부 아이디·암호를 동일하게 생성해 사용할 경우, 크리덴셜 스터핑 공격을 통해 기업 내부시스템까지 침투가 가능하고, 이렇게 획득한 내부정보나 계정은 다크웹에서 경매로 판매하는 사례도 많아, 회사 시스템의 계정은 개인이 사용하는 계정정보와 다르게 설정해야 한다"고 당부했다.

정부는 이용자들이 '털린 내 정보 찾기' 서비스를 통해 직접 자신의 계정정보 유출 여부를 확인하고, 본인의 계정정보를 변경하는 등의 자발적인 조치가 필요하다고 안내하고 있다.

'털린 내 정보 찾기' 서비스는 이용자가 평소 온라인 상에서 사용하는 계정정보(아이디, 암호)를 입력하면, 해당 정보가 다크웹 등 음성화 사이트 에서 불법유통 됐는지 확인할 수 있는 서비스다.

계정정보 유출이 확인된 경우, 이용자는 계정정보 변경 등의 조치를 통해 추가적인 피해 확산을 방지할 수 있다. 아이디·암호를 알지 못하는 경우엔 개인정보포털의 '정보주체 권리행사(웹사이트 회원 탈퇴)' 서비스를 이용해 사용하지 않는 웹사이트의 회원 탈퇴를 할 수 있다.

◎공감언론 뉴시스 [email protected]