계속되고 있는 `크리덴셜 스터핑` 공격, 한달 사이 3차례 발생
'크리덴셜 스터핑' 주의보
최근 복수의 기업과 기관에서 ‘크리덴셜 스터핑(Credential Stuffing)’이라 불리는 해킹 공격이 연달아 발생하고 있다. 해당 공격의 피해를 본 플랫폼 및 사이트에서는 이용자의 민감 개인정보가 유출됐으며, 일부 기업에서는 고객의 금전적 피해가 발생하기도 했다.
크리덴셜 스터핑이란 해커가 미리 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 탈취하는 공격 방식이다. 만약 앞서 다크웹 등을 통해 로그인 정보가 유출된 사람이 다른 계정에 동일한 비밀번호를 사용하고 있다면, 해당 공격 방법에 의해 또 다른 계정이 탈취될 가능성이 있는 것이다.
해당 공격으로 인한 피해는 몇 년 전부터 꾸준히 증가하고 있다. 특히 최근 몇 년 동안은 게임 아이템이나 포인트와 같은 디지털 재화를 다루는 기업을 대상으로 지속적인 해킹 시도가 발생하기도 했다. 또한 최근에는 디지털 재화를 취급하지 않는 기업을 대상으로도 이용자의 개인정보를 노리는 것으로 추정되는 공격 시도가 계속해서 보고되고 있다.
한국장학재단·워크넷·스타벅스에서 발생한 크리덴셜 스터핑 공격 사례
최근 한 달 동안 국내서 발생한 피해 기업 및 기관은 한국장학재단·워크넷·스타벅스로 알려졌다. 지난달 말 한국장학재단은 공지사항을 통해 해킹으로 인한 개인정보 유출 정황이 확인됐다고 밝혔다. 해킹 공격을 6월 25일·26일 양일간 발생했으며, 한국장학재단은 로그인 시도 정황 포착 즉시 해외 IP 접근을 차단하고 이후 로그인 방식을 공인인증서로 변경했다.
한국장학재단의 개인정보 유출 규모는 확인되지 않았으나, 유출 가능성이 있는 개인정보 항목은 ▲성명 ▲이메일 ▲주소 ▲휴대폰 번호 ▲고객번호 ▲학자금대출 신청현황 ▲학자금 대출 내역 ▲학자금 대출 잔액 ▲장학금 신청현황 ▲장학금 수혜내역 ▲장학 주요 공지 ▲대학생 연합생활관 신청현황 ▲대학생 연합생활관 입주내역 ▲기부내역으로 확인됐다.
한국고용정보원이 운영하는 취업 정보 포털 ‘워크넷’ 또한 크리덴셜 스터핑 공격으로 인한 개인정보 유출 피해가 발생한 것으로 나타났다. 한국고용정보원에 따르면 지난 5일 크리덴셜 스터핑으로 의심되는 해킹 공격이 중국 등 해외 IP를 통해 발생했으며, 이를 통해 23만 명에 달하는 고객 개인정보가 유출된 것이 확인됐다.
한국고용정보원에 따르면 유출 가능성이 있는 개인정보는 개인 이력 항목에 포함된 ▲이름 ▲성별 ▲출생년도 ▲주소 ▲일반전화 ▲휴대전화 ▲이메일 ▲학력 ▲경력 ▲훈련참여이력 ▲참여프로젝트 ▲주요활동 및 수상경력 ▲해외경험 ▲외국어능력 ▲보유자격 ▲증명사진 ▲운전가능여부 ▲차량소유여부로 총 18개다. 한국고용정보원은 로그인 시도 정황을 포착한 즉시 해당 IP 접근 차단을 실시했으며, 유출이 의심되는 고객에 문자메시지 또는 이메일을 통해 안내했다.
스타벅스 또한 최근 크리덴셜 스터핑 공격으로 인한 피해를 입은 것으로 알려졌다. 스타벅스에 따르면 이용자 개인정보는 유출되지 않았으나, 일부 이용자들은 이미 앱카드로 상품이 결제되는 등의 피해를 본 상황이다. 해킹 공격으로 인한 피해는 지난 8일 이후 발생한 것으로 알려졌으며, 스타벅스 측은 공격자의 해외 IP를 차단하고 피해가 확인된 고객의 충전금을 보전한 상황이다.
피해기업 및 기관의 아쉬운 대처
보안업계 관계자에 따르면 크리덴셜 스터핑 공격은 이미 확보된 로그인 정보를 통해 타인의 계정에 접속하는 행위라는 점에서, 이를 사전에 탐지하기는 쉽지 않다. 적은 시도를 통해 계정 접속에 성공한다면, 이를 정상 로그인과 구분하기 어렵기 때문이다. 일반적으로 기업들은 크리덴셜 스터핑과 같은 무차별 대입 공격을 감지하기 위해 이상로그인탐지시스템(IPS)이나, 일정 횟수 이상 비밀번호가 맞지 않을 시 보안 문자나 그림을 입력하게 하는 캡챠(CAPCHA) 등을 도입하고 있다. 하지만 이는 피해를 최소화하는 조치에 불과하다.
따라서 보안업계에서는 크리덴셜 스터핑 공격을 사전에 방지할 수 있는 조치로 IP 보안이나 2차 비밀번호, 로그인 알람 등을 통한 보안정책을 도입할 것을 권고하고 있다. 하지만 대부분 사이트 및 플랫폼에서는 이용자의 사용자 편의성 저하를 우려해, 이러한 보안정책을 적용하는 것을 망설이고 있다.
크리덴셜 스터핑으로 인한 개인정보 및 금전 피해는 사전에 방지하기 쉽지 않은 상황이지만, 최근 해킹 피해를 본 일부 기업 및 기관은 아쉬운 보안 실태가 지적되고 있다. 특히 5년간 약 106억원의 보안 예산을 집행한 것으로 알려진 워크넷의 경우, 크리덴셜 스터핑과 같은 무차별 대입공격을 방지하기 위한 보안기술인 ‘캡차(CAPTCHA)’조차 적용돼 있지 않았던 것으로 확인됐다.
또한 3000억원에 이르는 고객 충전금을 보유한 것으로 알려진 스타벅스는. 앱을 통한 이용금액 결제가 가능함에도 별도의 인증절차를 도입하지 않고 있다. 또한 스타벅스는 지난 8일 크리덴셜 스터핑으로 인한 충전금 부정 사용이 확인됐음에도 이틀이 지나서야 이를 한국인터넷진흥원(KISA) 등 관계 기관에 신고한 것으로 나타났다.
'ICT와 AI 정보' 카테고리의 다른 글
카일 광축 레인보우 무빙 LED 키보드 리니어 (0) | 2023.08.11 |
---|---|
파랑새였다가 X된 트위터 (0) | 2023.07.24 |
색상과 디자인이 예쁜 초절전 기능 무선 마우스 (0) | 2023.07.20 |
"AI 챗봇이 더 일 잘해요" 인도에서 상담직원 90% 해고 (0) | 2023.07.16 |
중국 등 해외IP서 무단 접속 23만여 건, `워크넷` 개인정보 유출 (0) | 2023.07.07 |
핵보다 위험하지만 짜릿한 AI기술 혁명이 온다 (박태웅 의장) (0) | 2023.07.03 |
2023년 6월 현재 인기 프로그래밍 언어 최신 순위, 파이썬(Python) 1위 (0) | 2023.06.18 |
러시아의 유럽 은행 사이버 공격 예고 (0) | 2023.06.15 |