[전자신문]ID와 비밀번호 노리는 사이버 공격, 어떤 게 있을까

해킹, 피싱뿐만 아니라 무작위로 입력하는 방식으로 비밀번호 탈취 시도
복잡하고 긴 비밀번호 생성하고 관리 도구 이용...2단계 인증 설정 등으로 보호해야

[보안뉴스 이상우 기자] 우리 주변에서 자신의 ID와 비밀번호가 도용됐다는 사례를 흔히 찾아볼 수 있다. 가령, 자신이 하지도 않는 모바일 게임에서 미리 등록해둔 간편결제수단을 이용해 게임 내 재화를 구매했다거나, 오랜 기간 접속하지 않았던 포털 사이트 계정이 스팸 메일 및 광고 쪽지 발송에 쓰였다는 사례도 쉽게 볼 수 있다. 또한, 소셜 미디어 로그인 시에도 간혹 해외에서 접속 시도가 발생해 차단했다는 알림 메시지를 받기도 한다.

 

[이미지=utoimage]

 

해킹에 의한 유출

 

ID와 비밀번호가 유출되는 대표 사례는 해킹으로, SQL 삽입(SQL Injection) 기법이 많이 쓰인다. SQL이란 데이터베이스 관리 및 활용을 위한 언어로, 어떠한 정보를 데이터베이스에 기록하거나 데이터베이스에서 필요한 자료를 찾을 때 쓰인다.

웹사이트에는 사용자가 데이터를 입력하기 위한 여러 양식이 존재한다. 예를 들면 로그인 시 입력하는 ID와 비밀번호 창이나 회원가입 시 각종 정보를 입력하는 칸 등이며, 웹 브라우저 주소 표시줄 역시 웹사이트의 폴더 경로를 및 파일을 표시하는 데 쓰일 수 있다. 사이버 공격자 역시 이러한 양식을 자신이 원하는 SQL 명령어를 입력하는데 악용하고, 데이터베이스 내에 있는 회원 정보나 ID 및 비밀번호 데이터를 외부로 전송하도록 제어할 수 있다.

이러한 공격에 대응하기 위해서 웹사이트 관리자는 부적절한 명령어가 입력되지 않도록 데이터를 검증하고, 웹 방화벽을 구축해 외부인의 명령어 삽입을 차단해야 한다.

사회공학적 기법에 의한 유출

 

피싱은 계정정보 탈취를 위해 자주 쓰이는 사회공학적 기법이다. 사이버 공격자는 실제와 아주 유사한 가짜 사이트를 제작하고, 사용자가 여기에 접속하도록 유도한 뒤 ID와 비밀번호, 더 나아가 보안카드 등 2차 인증수단 정보까지 입력하라고 안내하는 경우도 있다. 가짜 사이트를 이용한 계정 탈취는 실제로도 많이 발생하고 있으며, 사용자를 속이기 위해 더욱 교묘한 수법을 이용한다.

우선 공격자는 사용자가 관심을 가질만한 내용으로 해킹 이메일을 제작한다. 가령, 이메일 보관함 용량이 부족하다는 이메일은 사이버 공격자의 대표적인 수법이다. 사용자 이메일로 ‘용량 초과로 인한 미수신 메일’ 등의 내용을 포함해 URL 클릭을 유도하고, 사용자가 이를 클릭할 경우 업무용 메일 서비스 로그인 화면과 유사한 사이트로 연결한다. 여기에 속아 ID와 비밀번호를 입력하면 해당 정보는 사이버 공격자에게 전송되고, 공격자는 이를 통해 기업의 업무 시스템에 접근할 수 있게 된다. 뿐만 아니라 평소 사용자가 주고 받은 이메일을 확인한 뒤, 사용자를 사칭해 타인에게 악성코드가 들어있는 첨부 파일을 발송하는 등 또 다른 사이버 공격에 악용할 수도 있다.

사용자를 속이는 유형은 이뿐만이 아니다. 소셜 미디어나 포털 사이트 계정의 해외 로그인 이력이 발생했다며 이를 확인하기 위해서 로그인하라는 경우도 있고, 발주서나 인보이스 등의 파일을 보안메일로 보냈으니 확인을 위해 로그인을 요구하는 사례도 있다. 뿐만 아니라 북한을 배후에 둔 해킹 조직의 경우 ‘통일’이나 ‘안보’ 등의 키워드를 이용해 해당 분야의 정부기관이나 언론사를 노리는 피싱 공격을 감행하는 등 개인의 관심사부터 사회적 이슈까지 다양한 수단을 악용한다.

이러한 공격을 예방하기 위해 사용자는 알 수 없는 상대방이 보낸 이메일의 URL을 클릭하지 말고, URL로 연결된 웹사이트에서 ID나 비밀번호 혹은 개인정보를 입력할 때는 웹 브라우저 주소 표시줄에 올바른 주소가 입력돼 있는지 정확히 확인해야 한다.

무차별 대입과 사전 대입 공격

 

웹사이트의 취약점을 이용하거나 사용자를 속이는 것 외에도 공격자가 직접 ID와 비밀번호를 알아내는 공격도 있다. 흔히 브루트 포스(Brute Force)라고 부르는 무차별 대입 공격이 대표적인 사례다. 무차별 대입 공격이란 가능한 모든 비밀번호 조합을 무작위로 입력해 이를 찾아내는 방식으로 가령 4자리 숫자 비밀번호를 찾는다면 0000~9999에 이르는 수많은 조합을 모두 입력해보는 방법이다. 단순하고 시간이 오래 걸릴 수 있지만 의외로 효과적인 방법으로 알려졌다. 특히, 컴퓨팅 성능이 과거보다 향상됨에 따라 이러한 공격은 더욱 위협적으로 진화하고 있다.

 

[이미지=utoimage]

 

실제로 지난 2014년에는 아이클라우드 계정을 노린 무차별 대입 공격이 발생했으며, 이를 통해 클라우드에 저장된 헐리우드 유명 배우의 나체 사진이 노출되는 일도 있었다. 공격자는 ‘나의 아이폰 찾기’ 기능에 로그인 시 틀린 ID와 비밀번호 입력 횟수에 제한이 없는 것을 악용했다.

다만, 무차별 대입 공격의 경우 비밀번호가 길어지면 이를 알아내는데 더육 오랜 시간이 걸리기 때문에 이러한 공격을 어느 정도 예방할 수 있다.

반복적인 입력을 통한 무차별 대입 공격과 달리, 사전 대입 공격은 사전(Dictionary)에 단어를 이용해 효율성을 높인 기법이다. 여기서 사전이란 실제 단어가 있는 사전뿐만 아니라 자주 사용하는 비밀번호 조합을 기록한 파일일 수도 있다. ID와 비밀번호에 이처럼 흔히 쓰이는 단어나 여기에 숫자 등을 추가하는 단순한 비밀번호의 경우 사전 대입 공격에 취약하다. 이에 특정 단어를 비밀번호로 사용하고 싶다면 ‘Sunday’와 같은 알려진 단어보다는 ‘Difdydlf(일요일)’와 같은 방식으로 설정하는 것이 상대적으로 안전하다. 물론 후자의 경우도 공격자가 한국어에 익숙하다면 쉽게 노출될 수 있기 때문에 숫자나 특수문자를 중간에 섞어 비밀번호를 설정하는 것이 좋다.

해킹 없이도 이뤄지는 크리덴셜 스터핑 공격

 

의외로 많은 사용자가 여러 온라인 서비스에 동일한 ID와 비밀전호를 사용하고 있다. 만약 보안이 취약한 사이트에서 SQL 인젝션 등의 기법으로 자신의 ID·비밀번호가 유출됐다면, 이를 동일하게 사용하는 다른 사이트의 계정정보 역시 노출된 셈이 된다. 이처럼 이미 유출된 ID·비밀번호 조합을 다른 서비스에 입력하면서 유효한 조합을 찾아내는 기법을 ‘크리덴셜 스터핑(Credential Stuffing)’이라고 부른다.

우리는 오늘날 수많은 ID와 비밀번호를 통해 각종 온라인 서비스를 이용한다. 서비스 이용을 위해 계정을 생성할 때, 사용자는 최소 8자리 이상의 대·소문자, 숫자, 특수문자 등이 포함된 비밀번호를 설정하고, 3개월 정도를 주기로 이를 변경하라고 안내받는다. 그런데 이용하는 서비스 숫자가 늘어날수록 우리가 외워야 하는 비밀번호 숫자는 더 늘어날 수밖에 없다. 이 때문에 우리는 동일한 비밀번호를 여러 서비스에 중복해서 사용하고, 변경 시에도 숫자나 특수문자 하나를 뒤에 붙이는 정도로 끝낸다.

이로 인해 보안이 취약한 웹 서비스에서 자신이 즐겨 사용하는 비밀번호가 유출된다면, 공격자는 이를 이용해 다른 웹사이트에 로그인을 시도할 수 있다. 실제로 이러한 정보는 다크웹 등을 통해 거래되기도 한다. 즉, 공격자는 데이터베이스를 직접 유출하거나 비밀번호 입력을 위한 해킹 툴을 이용하지 않고도 다크웹 등에서 입수한 정보만으로 계정정보 탈취를 위한 공격을 시도할 수 있다. 만약 사용자가 보안이 취약한 동호회 홈페이지에서 사용하는 ID와 비밀번호를 인터넷 뱅킹에도 동일하게 사용하고 있다면 실제 금융사고로도 이어질 수 있다는 얘기다.

ID와 비밀번호 보호 위해선 관리 도구 사용하고 2단계 인증 설정해야

 

가장 안전한 비밀번호는 길이가 길면서도 무작위로 생성된 난수를 이용하는 것이다. 하지만 사용자가 이를 일일이 기억하는 것은 쉬운 일이 아니다. 이에 가능하다면 비밀번호 관리 도구를 이용하는 것이 좋다. 구글 계정이나 엣지 웹 브라우저 등은 클라우드를 이용한 비밀번호 동기화 기능을 제공하며, 비밀번호가 취약한지 혹은 해당 비밀번호가 유출됐는지 사용자에게 직접 알려주기도 한다.

2단계 인증 역시 ID와 비밀번호를 지킬 수 있는 대표적인 수단이다. 로그인 시 계정정보 외에도 스마트폰 앱이나 문자메시지 등을 이용해 추가적인 인증을 하도록 설정해두면, 정보가 유출돼 타인이 로그인을 시도하더라도 실질적인 피해를 예방할 수 있기 때문이다. 특히, 자신이 로그인을 시도하지 않았는데도 2차 인증과 관련한 메시지를 받았다면, 사용자는 크리덴셜 스터핑을 의심하고 즉시 비밀번호를 변경할 수 있다.

 

[이상우 기자(boan@boannews.com)]

원문 ==> https://www.boannews.com/media/view.asp?idx=99167&page=1&kind=1